Holdereggers Cybersecurity-Briefing

"Detect" - Cyberangriffe frühzeitig erkennen und analysieren

Uhr

Das NIST Cybersecurity Framework kann Unternehmen, die an ihrer Cyberresilienz arbeiten, als Stütze dienen. Das Rahmenwerk basiert auf fünf Funktionen. Was bei der dritten, "Detect", wichtig zu beachten ist und wie KI dabei helfen kann, erklärt Kolumnist Thomas Holderegger von Accenture.

(Source: Laurence Dutton / iStock.com)
(Source: Laurence Dutton / iStock.com)

Bei den ersten beiden Funktionen des NIST Cybersecurity Framework - "Identify" und "Protect" - entwickeln Unternehmen die Voraussetzungen für die Fähigkeit, Cyberangriffe zu erkennen ("Detect"). Sie bauen also Wissen und Daten auf, um eine gute Cybersicherheitsstrategie aufzustellen, und erwerben die Fähigkeiten, ihre geschäftsrelevanten Daten, Systeme und Prozesse zu schützen.

"Detect" ist nun der nächste Schritt: Hier entwickeln Unternehmen geeignete Fähigkeiten und sammeln die nötigen Daten, um einen Cyberangriff zu erkennen und seine möglichen Auswirkungen auf die Unternehmenssysteme zu verstehen. Denn eines ist heute klar: "Assume breach" - rechne mit einem Angriff.

Dazu wird ein operatives Team benötigt, das überwachen kann, was im Netzwerk und an den Endpunkten passiert. Dies geschieht oft über Endpoint Detection & Response-Systeme (EDR), die Log-Daten von Infrastruktur- und Netzwerkkomponenten sammeln und in ein SIEM (Security Information and Event Management) einspeisen. Dort werden diese konsolidiert, korreliert und nach Angriffsmustern und -spuren untersucht.

Unternehmen haben zwar meist einen unterschiedlichen Risikoappetit und individuelle Sicherheitsbedürfnisse. Grundsätzlich sollten sie aber sicherstellen, dass die für ihren Geschäftsbetrieb kritischen Systeme, die wichtige Daten hosten oder wichtige Geschäftsprozesse sicherstellen, im SIEM integriert sind.

Zudem sollten die EDR- und SIEM-Systeme laufend mit "Threat Intelligence" aufdatiert werden. Dabei handelt es sich um Daten und Informationen, die es ermöglichen, die Nadel im Heuhaufen zu finden: Was für Spuren hinterlassen anderswo beobachtete Angriffe? Welche Angriffe sind momentan relevant für mich? Die Fähigkeit der "Threat Intelligence" wurde ja im Rahmen der Funktion "Identify" geschaffen und kommt hier nun zum Einsatz. So können wichtige Systeme in Echtzeit auf bekannte Spuren von Angreifern untersucht und Angriffe möglichst früh erkannt werden.

Auch KI spielt bei "Detect" eine wichtige Rolle. Angriffe dauern oft mehrere Monate, was die Datenanalyse und -korrelation erschwert. Mit KI können Unternehmen beispielsweise effizient erkennen, ob ein aktuelles Ereignis einen Zusammenhang mit einem früheren Vorfall hat - und welche Geräte und Systeme genau betroffen sind. KI hilft auch schneller zu verstehen, was für eine Schadsoftware und was für eine Angreifergruppe hinter dem Angriff stecken. Dadurch können erste Massnahmen viel schneller und effizienter eingeleitet werden, als dies bisher möglich war.

In meiner nächsten Kolumne zu "Respond" schauen wir uns genauer an, mit welchen Fähigkeiten Unternehmen auf einen dank "Detect" erkannten Angriff reagieren können.

Übrigens: Ende Februar hat das NIST eine aktualisierte Version seines Frameworks vorgestellt, das neu die Funktion "Govern" beinhaltet. Weiterführende Informationen zu den Neuerungen finden Sie hier.

Alle bisher auf SwissCybersecurity.net erschienenen Kolumnen von Thomas Holderegger finden Sie hier.

Thomas Holderegger, Security Lead for Switzerland bei Accenture. (Source: zVg)

Thomas Holderegger, Security Lead for Switzerland bei Accenture. (Source: zVg)

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
FA9L53Yp

Dossiers

» Mehr Dossiers

Aktuelle Ausgabe

Direkt in Ihren Briefkasten CHF 60.- » Magazin Abonnieren » Zum shop » Newsletter