Unter Security Monitoring versteht man die konstante Überwachung und Protokollierung sämtlicher Vorgänge innerhalb einer Netzwerk-Umgebung und teilweise sogar darüber hinaus. Jegliche Aktivitäten von der System- bis zur Benutzerebene werden analysiert und in einem Zusammenspiel aus künstlicher und menschlicher Intelligenz korreliert, ausgewertet und behandelt. Dieser Ansatz ermöglicht die frühzeitige Erkennung von potenziellen Bedrohungen und eine sofortige Reaktion auf Sicherheitsvorfälle. So wird auch eine vermeintlich legitime Aktion genauer betrachtet, wenn sich beispielsweise ein Benutzer innert kürzester Zeit aus verschiedenen Ländern anmeldet.
Während Firewalls oder Antiviren-Lösungen oft nur lokal fungieren, sprich als Torwächter vor dem Netzwerk und am Endpunkt (PCs, Server, Maschinen), bietet das Security Operation Center einen holistischen Ansatz. So werden besagte Lösungen miteingebunden, Logs & Informationen aus allen möglichen Quellen gesammelt und zentral in einer Art Flugschreiber aufbereitet. Dadurch können Angriffe nicht erst bei deren Einschlag auf besonders schützenswerte Systeme erkannt, sondern auf allen Ebenen und oft bereits beim ersten verdächtigen Anzeichen oder einem initialen Zugriff unterbunden werden. Zudem stehen bei einem besonders schwerwiegenden Vorfall (Major Incident) unmittelbare Ressourcen zur Eindämmung, Forensik und Bewältigung (Incident Response) zur Verfügung.
Sachlage
Der zeitliche Aspekt spielt beim Security Monitoring eine entscheidende Rolle, denn nach wie vor dauert es durchschnittlich über 200 Tage bis eine Kompromittierung entdeckt wird. In dieser Zeit können Cyberkriminielle einem Unternehmen nachhaltig schaden, kritische Infrastrukturen komplett lahmlegen oder an marktentscheidende Daten gelangen und diese im Darknet weiter veräussern.
Jeden Tag werden bis zu 100 neue Schwachstellen in IT-/OT-Systemen gemeldet und weltweit findet alle 10 Sekunden ein meist finanziell motivierter Angriff statt, was zu Schäden von über 10 Millionen Franken pro Minute führt. Die meisten Angriffe finden zu Randzeiten, während der Feriensaison oder an Wochenenden statt und umso wichtiger ist es, auch ausserhalb der regulären Betriebszeiten eine entsprechende Überwachung mit spezialisierten Fachkräften dahinter in Bereitschaft zu haben. Denn hat ein erfolgreicher Angriff erst einmal stattgefunden, sind Unternehmen erst nach 2-3 Monaten in der Lage, den regulären Betrieb wieder aufzunehmen.
Weshalb ist dies speziell für OT-Umgebungen relevant?
«OT» bezieht sich auf «Operational Technology» und beschreibt Systeme, die physische Prozesse steuern, z. B. in der industriellen Automatisierung, Energieversorgung oder VerkehrstechnikDie Implementierung von Erkennungs- und Reaktionsmechanismen, kombiniert mit einem auf OT-Sicherheit spezialisierten Security Operations Center, ist in OT-Umgebungen aus verschiedenen wichtigen Gründen essentiell.
- Sicherheitslücken in älterer Technologie: Viele OT-Systeme wurden lange vor dem aktuellen Stand der Cybersicherheit entwickelt. Diese Systeme wurden oft ohne eingebaute Sicherheit oder mit veralteten Sicherheitsstandards erstellt und können daher anfällig für Angriffe sein.
- Steigende Vernetzung: Mit dem Aufkommen von IoT (Internet of Things) und Industrie 4.0 sind OT-Systeme zunehmend mit IT-Netzwerken und dem Internet verbunden. Diese Vernetzung erhöht das Angriffspotenzial und erfordert fortgeschrittene Überwachung und Reaktion.
- Physische Auswirkungen: Im Gegensatz zu herkömmlichen IT-Systemen, bei denen ein Angriff zu Datenverlust oder -diebstahl führen kann, können Angriffe auf OT-Systeme physische Auswirkungen haben, z. B. die Abschaltung von Stromnetzen, die Störung von Produktionslinien oder sogar potenzielle Sicherheitsbedrohungen für Menschen.
- Komplexe Bedrohungslandschaft: Angreifer, die OT-Umgebungen ins Visier nehmen, verfügen oft über spezialisiertes Wissen und Fähigkeiten. Ein SOC, das sich auf OT spezialisiert hat, kann dabei helfen, diese speziellen Bedrohungen zu erkennen und darauf zu reagieren.
Handlungsempfehlungen
Überwachung & Analyse
Stellen Sie sicher, dass Sie wissen, was in Ihrem Netzwerk vorgeht. Sei es mit eigens dafür zur Verfügung gestellten Ressourcen oder einem darauf spezialisierten Dienstleister
Detection / IR / DR / BCM
Angriffserkennung, Incident Response, Disaster Recovery & Business Continuity Management gehen Hand in Hand. Erarbeiten Sie Notfall-Pläne & -Konzepte in welchen definiert wird, wie im schlimmsten Fall reagiert, wiederhergestellt und der Betrieb wieder aufgenommen werden kann. Trainieren Sie diese Pläne regelmässig in unterschiedlichen Szenarien.
Auditierung
Lassen Sie Ihre Infrastruktur auf technische wie auch betriebliche Abläufe untersuchen. Im Zuge eines Audits oder Penetrationstests erhalten Sie klare Anhaltspunkte zu Schwachstellen und wie Sie diese beheben können. Achten Sie bei der Beauftragung konkret auf den Skope und die konkrete Definition, was und wer getestet wird.
Threat Intelligence & Threat Hunting
Security Analysts halten sich ständig auf dem Laufenden bezüglich aktueller Bedrohungen, Angriffsmustern und neuen Schwachstellen. Ergänzend dazu besteht die Möglichkeit gezielt auf die Jagd nach Informationen und Angriffsindikatoren in Bezug auf das eigene Unternehmen zu gehen