Brian Jackson - Fotolia

Lösungen zur Bedrohungsanalyse optimal einsetzen

Lösungen zur Bedrohungsanalyse sind wertvolle Werkzeuge, um Cyberrisiken zu begegnen. Mit diesen Tipps lässt sich der Einsatz der Dienste optimieren.

Im Grunde genommen geht es bei der Security-Analyse im Hinblick auf Bedrohungen darum, aus unzähligen Datensätzen und riesigen Datenmengen mit Hilfe von mathematischen und wissenschaftlichen Ansätzen die Bedrohungen zu erkennen. Solange Bedrohungen weitgehend statisch waren und zudem langlebig, konnten sich Unternehmen auf signaturbasierte Technologien verlassen, um diese aufzuspüren.

Längst agieren Sicherheitsbedrohungen aber sehr dynamisch und ändern sich ständig, so dass Unternehmen darauf angewiesen sind, diese über entsprechende Anomalien in den Daten oder im Verhalten zu erkennen. Und nicht zuletzt auch mit Hilfe entsprechender Dienste die Bedeutung des Risikos einzustufen. Die enorme Zunahme des Datenvolumens, das hierfür analysiert werden muss, macht eine Automatisierung unabdingbar. Das Zusammenspiel von Anomalie-Erkennung und Automatisierung realisieren aktuelle Lösungen zur Bedrohungsanalyse.

Jede Plattform oder jeder Dienst zur Sicherheitsanalyse setzt auf mathematische und wissenschaftliche Verfahren, um bekannte und unbekannte Bedrohungen zu erkennen. Hier einige Tipps, um bessere Ergebnisse zu erzielen.

Verschiedene Analyseverfahren kombinieren

Indem Analysetechniken kombiniert werden, lassen sich häufig bessere Ergebnisse erzielen. Jedes Verfahren hat im Hinblick auf die Erkennung bestimmter Anomalien seine Stärken. Daher sollten Dienste zum Einsatz kommen, die eine Vielzahl von Verfahren verwenden, oder aber mehrere Sicherheitsplattformen eingesetzt werden. Viele der Lösungen agieren anhand von Statistiken. So können die Lösungen bestimmte Anomalien schnell erkennen. Etwa, wenn eine erhöhte Netzwerkaktivität zwischen einem internen Datenbankserver und einem externen Host stattfindet.

Manche Dienste setzen verstärkt auf Machine Learning, um Bedrohungen erkennen zu können. Anhand von Statistiken und Algorithmen können hier bösartige Aktivitäten erkannt werden. Und diese Erkennung wird durch neu hinzukommende Informationen immer weiter verfeinert und verbessert. Diese Verfahren eignen sich hervorragend für die Bestimmung von Handlungsmustern und einer Ableitung für die Erkennung künftiger Muster. Erkennt die Lösung per Machine Learning beispielsweise eine bestimmte Art von Malware-Infektion, dann können diese Informationen auch weiter verwendet werden, um künftige Malware zu erkennen.

Kontextinformationen richtig einsetzen

In einer großen Datenmenge Anomalien aufzuspüren ist an sich kein allzu großes Problem. Die wichtigsten Anomalien zu identifizieren und zu priorisieren ist hingegen eine wirkliche Herausforderung. Ein Analysedienst kann nur dann seine Arbeit ordentlich verrichten, wenn er die Bedeutung jedes Ereignisses in einen Zusammenhang stellen kann. Daher müssen Kontextinformationen zu jeder Anwendung, jedem Gerät, jedem Benutzer und anderen logischen Einheiten im Unternehmen zur Verfügung stehen. Die Rolle des Benutzers kann beispielsweise darüber Aufschluss geben, ob sein aktuelles Verhalten verdächtig ist oder zu seiner normalen Tätigkeit passt. Weitere wertvolle Quellen für Kontextinformationen sind Threat-Intelligence-Feeds und Reputationsdienste, wodurch sich externe IP-Adressen, Domänen oder Websites bereits hinsichtlich verdächtiger Aktivitäten einstufen lassen.

Entsprechende Kontextinformationen erlauben es Analyselösungen, die gefährlichen von den unbedeutenden Anomalien zu unterscheiden. Damit reduziert sich auch die Anzahl der Fehler bei Überprüfungen (False Positiv) und Fehlalarme. Über Kontextinformationen kann die relative Bedeutung jeder bösartigen Anomalie eingeschätzt werden und somit die Reaktion darauf priorisiert werden. Daher sollte man sicherstellen, dass die Analyseplattform jederzeit auf die aktuellen internen wie externen Kontextinformationen Zugriff hat.

Unterstützung für Sicherheitsverantwortliche

Mit Hilfe von Sicherheitslösungen zur Analyse von Bedrohungen lässt sich im Hinblick auf die Erkennung von Risiken vieles automatisieren. Dennoch müssen Sicherheitsverantwortliche oft ihre eigenen Analysen durchführen. Hierfür ist es wichtig, dass die Analyseplattformen entsprechende Dashboards und Daten-Visualisierungs-Funktionen bereitstellen. Diese Visualisierung sollte mehr bieten als eine einfache Anzeige.

So sollte die Lösung dazu beitragen, bestimmte Anomalien hervorzuheben, die sonst eher unentdeckt bleiben würden. Entsprechende grafische Funktionen und Unterstützung sind Bestandteil einer Sicherheitsanalyse. Viele Lösungen bieten hier eine Reihe von Möglichkeiten, um Sicherheitsspezialisten bei ihrer Arbeit zu unterstützen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Mit verhaltensbasierter Angriffserkennung die Sicherheit erhöhen

Wie Advanced Security Analytics die Sicherheit verbessert

Angriffe erkennen: SIEM für die Echtzeitanalyse einsetzen

IT Security 2017: Datenpannen 3.0, Cyberversicherungen und Machine Learning

Artikel wurde zuletzt im August 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Vulnerability-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close