SANS-Umfrage zur Ereignisprotokollierung

Die kritischen Sicherheitskontrollmaßnahmen (Critical Security Controls, CSC) des SANS Institute sind in den letzten Jahren ins Blickfeld der Öffentlichkeit gerückt. Nachdem Sicherheitsexperten sich inzwischen mehr und mehr den Techniken zuwenden,...
Michael Buckbee
2 minute gelesen
Letzte aktualisierung 1. November 2021

Die kritischen Sicherheitskontrollmaßnahmen (Critical Security Controls, CSC) des SANS Institute sind in den letzten Jahren ins Blickfeld der Öffentlichkeit gerückt. Nachdem Sicherheitsexperten sich inzwischen mehr und mehr den Techniken zuwenden, die Hacker für ihre Angriffe nutzen, fällt der Ansatz „Offense informs defense“ (Einsatz von Verteidigungsmethoden, die auf Erkenntnissen aus bereits erfolgten Angriffen basieren) des SANS Institute auf fruchtbaren Boden. Und mit dem Data Breach Investigations Report (DBIR) 2014 von Verizon wurde er von Neuem – und von einer wichtigen Instanz – untermauert. Die CSC werden seit Jahren durch den DBIR bestätigt, doch im aktuellen Bericht stellte das Sicherheitsteam von Verizon erstmals eine direkte Verbindung zwischen gängigen Angriffsmustern und CSC her.

Hacker werden die Schutzmechanismen eines Unternehmensnetzwerks irgendwann durchbrechen, so lautet eine der Annahmen, die den SANS-CSC zugrunde liegen. Daher sollten nicht mehr Daten verfügbar und zugänglich sein als unbedingt notwendig. Darüber hinaus sind zusätzliche Abwehrmechanismen erforderlich, um auffällige Muster zu identifizieren, die ein Hinweis auf Eindringlinge sein könnten. Beispielsweise indem man Audit-Protokolle und Kontoaktivitäten überwacht.

Wir werden in Kürze eine Beitragsreihe veröffentlichen, in der wir näher auf die SANS-Kontrollmaßnahmen eingehen. In der Zwischenzeit werfen wir einen Blick auf einige interessante Umfragedaten auf der Website des SANS Institute. 2012 wurden 600 IT‑Experten zum Einsatz von Programmen zum Event Logging in ihren Unternehmen befragt.

Zwei der Ergebnisse aus dieser SANS-Umfrage haben meine Aufmerksamkeit geweckt, und sie bestätigten einige der Ideen, die wir bereits im Rahmen dieses Blogs diskutiert haben. Zum einen besagen die SANS-Daten, dass die größte Herausforderung bei der Integration von Audit-Protokollen mit anderen Tools darin liegt, wichtige Ereignisse inmitten der normalen Hintergrundaktivitäten zu erkennen.

Was hindert Unternehmen daran, die Ausgangslage richtig zu beurteilen? Wie die Leser dieses Blogs bereits wissen, es ist nicht so einfach, mithilfe herkömmlicher technischer Möglichkeiten festzulegen, was normale Muster sind. Nicht einfach, aber auch nicht unmöglich: Varonis DatAdvantage lernt, wie Dateien und E‑Mails normalerweise verwendet werden, und warnt die IT‑Mitarbeiter bei außergewöhnlichen Aktivitäten, die von diesen Mustern abweichen.

Laut Umfrage fühlen sich IT‑Experten von der Menge und Komplexität der Protokolldaten überfordert. Die größte Gruppe, rund 35 %, gibt an, dass sie zwischen gar keiner und ein paar Stunden pro Woche auf die Durchsicht der Protokolle verwendet. 10 % wenden einen Tag pro Woche auf, 11 % sogar mehr als einen Tag. Die Umfrage richtete sich übrigens hauptsächlich an Großunternehmen. Dieses zweite Ergebnis zeigt: in der Hälfte der Unternehmen werden die Protokolle nicht annähernd in Echtzeit analysiert.

Diese Daten überraschen mich nicht. Unser eigener Bericht über Verletzungen der Datensicherheit enthält ähnlich entmutigende Umfragedaten. Lediglich 6 % der Unternehmen haben die Benachrichtigung bei Sicherheitsverletzungen komplett automatisiert.

Eine unserer Schlussfolgerungen daraus war, dass IT‑Sicherheitsexperten zunächst die Menge der vertraulichen Daten verringern sollten die Hackern in die Hände fallen könnten. Die Echtzeit-Überwachung ist natürlich eine wichtige SANS-Kontrollmaßnahme und entscheidender Bestandteil jedes Plan B zur Verteidigung.

Trotzdem brauchen Unternehmen eine durchsetzbare Richtlinie, die verhindert, dass Nutzer Vermögenswerte offen zugänglich machen, indem sie das geistige Eigentum des Unternehmens in Ordnern mit unangemessenen Berechtigungen speichern. Dies lässt sich durch die regelmäßige Klassifizierung und Suche nach personenbezogenen Informationen in den Dateien sowie durch die kontinuierliche Überwachung der Ordner und die Deaktivierung zu umfassender Berechtigungen für diese Daten erreichen.

Dieses Ziel lässt sich übrigens mithilfe der Varonis IDU Classification Engine rasch und problemlos verwirklichen.

The post SANS-Umfrage zur Ereignisprotokollierung appeared first on Varonis Deutsch.

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

die-dramaturgie-der-daten:-wie-bsi-grundschutz-und-data-governance-zusammenhängen
Die Dramaturgie der Daten: Wie BSI Grundschutz und Data Governance zusammenhängen
IT-Sicherheitsthemen schaffen es inzwischen lässig und beinahe täglich in die Top-Headlines der Medien sowie der einschlägigen Blogs und Diskussionsforen. Themen, mit denen sich das BSI (Bundesamt für Sicherheit in der...
weshalb-ein-honigtopf-keine-umfassende-sicherheitslösung-ist
Weshalb ein Honigtopf keine umfassende Sicherheitslösung ist
Ein wesentliches Sicherheitsprinzip und vielleicht eine der wichtigsten Lektionen, die Sie als Sicherheitsexperte lernen werden, ist AHAT (Always have an audit trail = Immer ein Protokoll machen). Warum? Wenn Sie...
welche-auswirkungen-hat-die-digitale-transformation-auf-traditionelle-cybersecurity-ansätze?
Welche Auswirkungen hat die digitale Transformation auf traditionelle Cybersecurity-Ansätze?
Um dies herauszufinden, haben wir bei den Analysten von Forrester eine Studie in Auftrag gegeben. Diese kam zu teilweise erschreckenden Ergebnissen: So sieht jeder zweite Sicherheitsverantwortliche (54 %) seine aktuellen Sicherheits-Ansätze als überholt an.
warum-ihr-unternehmen-vor-dem-einsatz-von-ki-tools-eine-copilot-sicherheitsüberprüfung-benötigt
Warum Ihr Unternehmen vor dem Einsatz von KI-Tools eine Copilot-Sicherheitsüberprüfung benötigt
Die Überprüfung Ihrer Sicherheitslage vor dem Einsatz von generativen KI-Tools wie Copilot für Microsoft 365 ist ein wichtiger erster Schritt.