Fragen und Antworten rund um unseren Active Cyber Defense Service
von Tina Siering
Frage 1: Was ist ein Managed Detection and Response (MDR) Service?
Branchenunabhängig haben viele IT-Verantwortliche mit Blick auf die IT Security das gleiche Problem: zu viele Anforderungen und zu wenig Personal. Ein externer Dienstleister kann mit gezieltem Know-how helfen, Prozesse neu zu gestalten und auch Gefahren von Betriebsblindheit zu minimieren. Indem ein Unternehmen einen Managed Detection and Response Service (MDR) bucht, lagert es Kompetenzen im Bereich „Cyber Threat Hunting“ (Ziel: rechtzeitiges Erkennen von Angriffsaktivitäten im Netzwerk) an einen externen Cyber Security-Dienstleister aus. Die beauftragten IT-Sicherheitsexperten suchen aktiv und rund um die Uhr nach möglichen Kompromittierungen und kontaktieren den Kunden umgehend bei Handlungsbedarf – noch bevor ein Schaden entsteht.
Der Active Cyber Defense (ACD) Service von Allgeier secion ist ein solcher MDR-Service, eine in der Kunden-Infrastruktur installierte Lösung zum Erkennen ungewöhnlicher Netzwerkkommunikation, die von einer definierten Standardkommunikationabweicht und auf einen potentiellen Angriff schließen lässt. ACD identifiziert sicherheitsrelevante Vorfälle anhand einer kontinuierlichen Bedrohungsprüfung der Netzwerkdaten. Cyberkriminelle erhalten somit gar nicht erst die Chance, sich monatelang unentdeckt im System zu bewegen. Die zeitkritische Lücke zwischen „Detection“ und „Response“ wird durch einen MDR-Service signifikant verkleinert.
ACD lohnt sich insbesondere für mittelständische Unternehmen, die intern nicht über die erforderlichen personellen und finanziellen Ressourcen verfügen, um ihre Systeme rund um die Uhr selbst zu monitoren. Angesichts des akuten Fachkräftemangels besteht einer der größten Vorteile darin, dass durch die Beauftragung ein komplettes Expertenteam dauerhaft zur Seite steht, inkl. effektiver Tools und erprobter Detektierungsmethoden.
Die Hauptmerkmale von Active Cyber Defense – zusammengefasst als Überblick:
- ACD überwacht alle Netzwerksysteme, darunter Server, Desktops, IoT- und Netzwerkgeräte, Drucker, ICS sowie Smartphones, Notebooks, Tablets und BYOD.
- Für die Nutzung des Service ist keine Installation von Agents auf Clients erforderlich. Es wird auf Netzwerkebene geprüft, ob Systeme zu Command & Control-Servern kommunizieren und womöglich eine Kompromittierung stattgefunden hat.
- Indem ACD ungewöhnliches und maliziöses Kommunikationsverhalten enttarnt, lassen sich kompromittierte Systeme schnell identifizieren, isolieren und bereinigen.
- Im Falle eines aktiv laufenden Angriffs kann der Auftraggeber auf die Unterstützung der Incident Response (IR)-Experten von Allgeier secion zählen, die in diesem Fall unterstützend zur Seite stehen.
- Alle IR-Prozesse sind speziell auf ACD abgestimmt: Der Auftraggeber erhält unmittelbar ein umfassendes Lagebild und wird im Bedarfsfall dabei unterstützt, effektive Gegenmaßnahmen einzuleiten.
Frage 2: Wie aufwändig ist die Implementierung von ACD und wie läuft sie ab?
Die Implementierung des ACD-Service dauert in der Regel ein bis drei Tage. Der benötigte Zeitaufwand ist abhängig von der Komplexität des Kundennetzes. Die benötigte Hardware in Form von Netzwerk-Sensoren wird dem Kunden zur Installation vorab zugesandt. In dieser Phase wird zudem die Port-Spiegelung auf einem Netzwerk-Switch eingerichtet. Die Analyseeinheit des Active Cyber Defense Service benötigt eine eigene, sichere VPN-Verbindung, deren Einrichtung und Konfiguration von den ACD-Analysten übernommen wird.
Zum Vergleich: Bei der Implementierung einer SIEM-Lösung müssen Sie mit einer Zeitspanne von mehreren Monaten rechnen, was vor allem durch die langen Konfigurations- und Anpassungsphasen begründet ist. Nach der initialen Einrichtung folgt die Safe-Listing-Phase, die durchschnittlich drei Wochen dauert. In dieser Phase werden Kommunikationsmetadaten analysiert und der „Normalzustand“ des Systems erlernt. Für den Kunden bedeutet dies keinen zusätzlichen Aufwand. Mögliche Findings durch die Allgeier secion Security Analysten werden in diesen drei Wochen in einem wöchentlichen Kunden-Update kommuniziert. Danach sind die Security Analysten des ACD-Teams bereit für ihren Einsatz.
Frage 3: Was müssen Sie als ACD-Kunde tun?
Kurz gesagt: nichts. Da es sich bei ACD um einen Full Managed Service handelt, benötigen Sie keine eigenen personellen Ressourcen. Die Security Experten von Allgeier secion übernehmen nach der Implementierung der Analyseeinheit und dem erfolgreichen Abschluss der Safe-Listing-Phase das 24/7-Monitoring zur Incident Detection. Finden in Ihrer IT-Infrastruktur auffällige Aktivitäten statt, werden Sie umgehend darüber informiert und haben dadurch genügend Zeit, geeignete Abwehrmaßnahmen zu ergreifen, bevor ein Schaden entsteht. Übrigens: Da ACD komplett als On-Premise-Dienst implementiert wird, verbleiben alle Daten bei Ihnen im Unternehmen. Zum einen, um die gesetzlichen Datenschutzanforderungen zu erfüllen und zum anderen wegen der passiven Positionierung der Netzwerksensoren im Netz: eine Ausleitung der Daten (bspw. in eine Cloudinstanz) würde für Angreifer sichtbaren Traffic verursachen.
Frage 4: Wie entlastet ACD das interne IT-Security-Team Ihres Unternehmens?
Viele IT-Abteilungen im Mittelstand haben vor allem aufgrund einer dünnen Personaldecke und eingeschränkten Budgets mit Problemen zu kämpfen, die ACD reduzieren kann:
- Unterstützung bei der Bewertung von Warnmeldungen
Tagtäglich treffen in den IT-Abteilungen mittelständischer Unternehmen tausende Warnmeldungen ein. Kleinere Sicherheitsteams sind mit dieser Fülle an Alerts auch zeitlich schnell überfordert. - Ermittlung des Bedrohungspotentials – Analyse und Bewertung
Für die Nutzung des Managed Service bedarf es keiner Installation von Agents auf Clients. Es wird auf Netzwerkebene überprüft, ob Systeme zu Command & Control Servern kommunizieren - und somit kompromittiert sind. Durch das Erkennen von auffälligem Kommunikationsverhalten identifiziert ACD kompromittierte Systeme sehr frühzeitig in der Angriffskette, nämlich bereits während der sogenannten Intrusion Phase. Funktionsweise: Die Metadaten, die in Unternehmen durch Kommunikation entstehen, werden mittels Statistik und Algorithmen zu Risk-Scores errechnet. Hat ein Risk-Score einen gewissen Schwellenwert erreicht, prüfen die Cyber Analysten genauer und kanalisieren möglicherweise zugrundeliegende Angriffsaktivitäten über High-, Middle- und Low-Risk-Bewertungen. Entsprechend gewichtete Infos bieten dem Kunden einen echten Mehrwert, denn durch die Interpretation und Priorisierung der Daten durch die ACD-Analysten lässt sich isoliert betrachten, auf welche Auffälligkeiten reagiert werden muss. - Bereitstellung von Fachkräften
Im Bereich IT-Sicherheit fehlen schon heute weltweit Millionen von Experten – und das wird sich auch in den nächsten Jahren nicht ändern. Mit ACD steht Ihnen innerhalb kürzester Zeit ein vollständiges Managed Service-Team zur Seite und ist rund um die Uhr für Sie im Einsatz. - Überwachung aller Systeme Ihres Netzwerks
Der Active Cyber Defense (ACD)-Service bezieht die Überwachung aller Systeme Ihres Netzwerks mit ein, wie beispielsweise Desktops, Laptops, Mobiltelefone, Tablets, Server, Netzwerk-Geräte, Drucker, IoT, ICS, BYOD.
Frage 5: Warum ist eine schnelle Reaktion auf Cyberangriffe so wichtig?
Im Falle einer erfolgreichen Cyberattacke gilt es, möglichst schnell zu reagieren. Je länger sich ein Angreifer unbemerkt im Netzwerk bewegen kann, desto größer ist in der Regel auch der Schaden für Ihr Unternehmen. Im Durchschnitt dauert es ganze sechs Monate, bis ein Cyberangriff entdeckt wird. In dieser Zeit haben Hacker genügend Zeit, sich im gesamten System auszubreiten und Daten auszuleiten.
Um Kompromittierungen binnen kürzester Zeit zu identifizieren, setzen die ACD-Analysten auf gezielte Threat-Hunting-Methoden und geeignete Software. Der Managed Service ermöglicht den proaktiven Schutz vor Cyberangriffen, indem Netzwerk-Traffic dauerhaft analysiert wird, sodass sich auffällige Verhaltensmuster umgehend aufdecken lassen. Durch das Erkennen von auffälligem Kommunikationsverhalten identifiziert ACD kompromittierte Systeme. Incident Response Maßnahmen führt das ACD-Team bei Bedarf ebenfalls durch. Diese können über ein entsprechendes IR-Kontingent dazugebucht werden.
Frage 6: Warum ACD anstatt einer SIEM-Lösung?
Ein Security Information and Event Management (SIEM) ist eine hochkomplexe Sicherheitslösung zur Identifizierung von Cyberbedrohungen. Zu den Kernfunktionen des SIEM gehören die Log-Verwaltung und -zentralisierung, die Erkennung von Sicherheitsereignissen, wobei die zeitliche Genauigkeit und Zuordenbarkeit der Events äußerst wichtig sind. Da ein SIEM-Tool (je nach Unternehmensgröße) sehr viele Events täglich sichtet, bedarf es eindeutiger Regeln im SIEM-System, um wirklich relevante Ereignisse zu definieren und zu identifizieren.
Da SIEM-Lösungen sicherheitsrelevante Daten so in Echtzeit auf Auffälligkeiten prüfen und auf Gefahren aktiv aufmerksam machen, sorgen sie im Falle eines Angriffs zwar für sehr kurze Reaktionszeiten, bringen aber auch Nachteile mit sich:
- Die Implementierung einer SIEM-Lösung ist sehr aufwändig und zeitintensiv. Da die gesamte Systemlandschaft sowie andere Sicherheitslösungen integriert werden müssen, dauert es normalerweise mehrere Monate, bis das System einsatzbereit ist.
- SIEM-Lösungen sind kostenintensiv und sprengen oftmals das Budget von mittelständischen Unternehmen. Neben dem hohen Anschaffungspreis sollten Sie auch die Unterhalts-, Wartungs- und Aktualisierungskosten nicht unterschätzen.
- Eine SIEM-Lösung ist nur dann sinnvoll, wenn Sie auch über ein unternehmensinternes SOC mit IT-Sicherheitsspezialisten verfügen. Denn für die Analyse, Konfiguration und Integration von SIEM-Berichten ist umfassendes Fachwissen erforderlich. Darüber hinaus kann nur ein Expertenteam passende Handlungsempfehlungen aussprechen und Gegenmaßnahmen eigenständig einleiten.
- SIEM-Lösungen melden nicht nur relevante Bedrohungen, sondern generieren auch Unmengen an irrelevanten Alarmmeldungen. Für die Priorisierung und Bearbeitung der Alarme benötigen Sie also ein relativ großes Team. Die zeitnahe Identifizierung von echten Angriffen kann jedoch nur dann gelingen, wenn auch die Regeln zur Datenanalyse so festgelegt sind, dass die eintreffenden Meldungen richtig eingeordnet werden. Hierfür sind entsprechendes Experten-Know-how sowie eine regelmäßige Aktualisierung des Regelwerks unabdingbar.
- Ist ein SIEM-Tool falsch konfiguriert oder werden wichtige Warnmeldungen aufgrund einer zu hohen Arbeitslast ignoriert, sinkt die Effektivität der Sicherheitslösung.
Die ACD-Analysten sammeln und bewerten Kommunikationsartefakte im Netzwerktraffic. Bei der Analyse wird nicht auf herkömmliche Kommunikation, wie die Verwendung von Signaturen (Pattern) gesetzt, sondern ggf. maliziöse Angreiferkommunikation zu Command & Control Servern auch erkannt, wenn sie erstmals (Zero-Day) auftritt. Ein großer und wichtiger Unterschied zur Funktionsweise eines SIEM Systems.
Fazit
Managed Detection and Response-Services stellen gerade für kleinere IT-Teams ohne eigene IT Security Fachkräfte und mit überschaubarem Budget eine große Entlastung dar. Sie übernehmen die Rundum-Überwachung aller Netzwerksysteme und Warnmeldungen und können diese auf Basis einer umfassenden Bedrohungsanalyse korrekt identifizieren und priorisieren. MDR-Services wie der Active Cyber Defense (ACD) sorgen für ein hohes Maß an IT Security, da sie auf die proaktive Angriffsfrüherkennung im Netzwerk setzen und so erfolgreiche Cyberangriffe rechtzeitig erkennen und größeren Schaden vermeiden. ACD ist zu einer attraktiven monatlichen Servicepauschale verfügbar und schont somit gleichzeitig auch Ihr Budget!