SANS-Umfrage zur Ereignisprotokollierung

Die kritischen Sicherheitskontrollmaßnahmen (Critical Security Controls, CSC) des SANS Institute sind in den letzten Jahren ins Blickfeld der Öffentlichkeit gerückt. Nachdem Sicherheitsexperten sich inzwischen mehr und mehr den Techniken zuwenden, die Hacker für ihre Angriffe nutzen, fällt der Ansatz „Offense informs defense“ (Einsatz von Verteidigungsmethoden, die auf Erkenntnissen aus bereits erfolgten Angriffen basieren) des SANS Institute auf fruchtbaren Boden. Und mit dem Data Breach Investigations Report (DBIR) 2014 von Verizon wurde er von Neuem – und von einer wichtigen Instanz – untermauert. Die CSC werden seit Jahren durch den DBIR bestätigt, doch im aktuellen Bericht stellte das Sicherheitsteam von Verizon erstmals eine direkte Verbindung zwischen gängigen Angriffsmustern und CSC her.

Hacker werden die Schutzmechanismen eines Unternehmensnetzwerks irgendwann durchbrechen, so lautet eine der Annahmen, die den SANS-CSC zugrunde liegen. Daher sollten nicht mehr Daten verfügbar und zugänglich sein als unbedingt notwendig. Darüber hinaus sind zusätzliche Abwehrmechanismen erforderlich, um auffällige Muster zu identifizieren, die ein Hinweis auf Eindringlinge sein könnten. Beispielsweise indem man Audit-Protokolle und Kontoaktivitäten überwacht.

Wir werden in Kürze eine Beitragsreihe veröffentlichen, in der wir näher auf die SANS-Kontrollmaßnahmen eingehen. In der Zwischenzeit werfen wir einen Blick auf einige interessante Umfragedaten auf der Website des SANS Institute. 2012 wurden 600 IT‑Experten zum Einsatz von Programmen zum Event Logging in ihren Unternehmen befragt.

Zwei der Ergebnisse aus dieser SANS-Umfrage haben meine Aufmerksamkeit geweckt, und sie bestätigten einige der Ideen, die wir bereits im Rahmen dieses Blogs diskutiert haben. Zum einen besagen die SANS-Daten, dass die größte Herausforderung bei der Integration von Audit-Protokollen mit anderen Tools darin liegt, wichtige Ereignisse inmitten der normalen Hintergrundaktivitäten zu erkennen.

Was hindert Unternehmen daran, die Ausgangslage richtig zu beurteilen? Wie die Leser dieses Blogs bereits wissen, es ist nicht so einfach, mithilfe herkömmlicher technischer Möglichkeiten festzulegen, was normale Muster sind. Nicht einfach, aber auch nicht unmöglich: Varonis DatAdvantage lernt, wie Dateien und E‑Mails normalerweise verwendet werden, und warnt die IT‑Mitarbeiter bei außergewöhnlichen Aktivitäten, die von diesen Mustern abweichen.

Laut Umfrage fühlen sich IT‑Experten von der Menge und Komplexität der Protokolldaten überfordert. Die größte Gruppe, rund 35 %, gibt an, dass sie zwischen gar keiner und ein paar Stunden pro Woche auf die Durchsicht der Protokolle verwendet. 10 % wenden einen Tag pro Woche auf, 11 % sogar mehr als einen Tag. Die Umfrage richtete sich übrigens hauptsächlich an Großunternehmen. Dieses zweite Ergebnis zeigt: in der Hälfte der Unternehmen werden die Protokolle nicht annähernd in Echtzeit analysiert.

Diese Daten überraschen mich nicht. Unser eigener Bericht über Verletzungen der Datensicherheit enthält ähnlich entmutigende Umfragedaten. Lediglich 6 % der Unternehmen haben die Benachrichtigung bei Sicherheitsverletzungen komplett automatisiert.

Eine unserer Schlussfolgerungen daraus war, dass IT‑Sicherheitsexperten zunächst die Menge der vertraulichen Daten verringern sollten die Hackern in die Hände fallen könnten. Die Echtzeit-Überwachung ist natürlich eine wichtige SANS-Kontrollmaßnahme und entscheidender Bestandteil jedes Plan B zur Verteidigung.

Trotzdem brauchen Unternehmen eine durchsetzbare Richtlinie, die verhindert, dass Nutzer Vermögenswerte offen zugänglich machen, indem sie das geistige Eigentum des Unternehmens in Ordnern mit unangemessenen Berechtigungen speichern. Dies lässt sich durch die regelmäßige Klassifizierung und Suche nach personenbezogenen Informationen in den Dateien sowie durch die kontinuierliche Überwachung der Ordner und die Deaktivierung zu umfassender Berechtigungen für diese Daten erreichen.

Dieses Ziel lässt sich übrigens mithilfe der Varonis IDU Classification Engine rasch und problemlos verwirklichen.

The post SANS-Umfrage zur Ereignisprotokollierung appeared first on Varonis Deutsch.