Logs, SIEM, EDR und Co.: Erkennung von Cyberangriffen
Die kaum übersehbare Menge an Logfiles erschwert heutzutage das Erkennen von Angriffen auf Unternehmen und Organisationen. Gleichzeitig mangelt es an Securityfachpersonal. Wie stellt man es also an, Angriffe zeitnah zu erkennen und darauf zu reagieren?
IT-Sicherheitsverantwortliche und Systemadministratoren sehen den Wald vor lauter Logfiles nicht mehr oder anders gesagt: Ohne eine automatische Erkennung führt die Flut von Logfiles dazu, dass Cyberangriffe oft nur schwer und verspätet erkannt werden. So hat sich die Zeitspanne zwischen dem Aufdecken einer Sicherheitslücke und den ersten umfangreichen Angriffen, die eine Sicherheitslücke ausnutzen, in den vergangenen Jahren signifikant verkürzt. Im Umkehrschluss hat sich der permanente Zeitdruck, unter dem IT-Sicherheitsverantwortliche stehen, stark erhöht.
Hinzu kommt, dass die für viele SIEM-Systeme (Security Information and Event Management) nach Volumen an Logdaten anfallenden Lizenzkosten ohne jeglichen Mehrwert in die Höhe schnellen. Dies macht die Einrichtung eines effizienten und effektiven Systems zur Angriffserkennung (SzA) als Bestandteil eines Informationssicherheitsmanagementsystems (ISMS) unerlässlich. Um die ersten Anzeichen für einen informationstechnischen Sicherheitsvorfall (Security Incident) ausmachen zu können, braucht es eine gezielte und strukturierte Herangehensweise an Indikatoren und Heuristiken sowie funktionierende Meldeketten und eine Priorisierung von Sicherheitsvorfällen.