Kommt es in Unternehmen zu Sicherheitsvorfällen, kann die Relevanz der Bedrohung oft nicht richtig bewertet werden. Dies liegt daran, dass die gängigen Security-Lösungen kaum Themen wie Infrastruktursicherheit, Malware-Erkennung, Threat Intelligence Datafeed und autoritatives IP Address Management abdecken.
Sicherheitswarnhinweise stammen in der Regel aus Security Information and Event Management-Lösungen (SIEM) oder aus Firewalls. Doch reichen die beiden Tools nicht aus, um die tatsächlich gefährlichen Sicherheitsvorfälle herauszufiltern, die in der Regel nur fünf bis zehn Prozent aller angezeigten Warnhinweise ausmachen. Während SIEM-Lösung nicht jede Art von Vorfällen erkennen und beurteilen können, bieten viele Firewalls nur eingeschränkten Schutz vor Malware, Viren oder Trojanern.
Je mehr Quellen, umso besser
Sicherheitsexperten raten den Unternehmen daher dringend, zusätzliche Security-Research-Lösungen einzuführen und in einem Portal zusammenzufassen, das Kontextinformationen verschiedensten Ursprungs miteinander verknüpft. Denn je mehr Informationen vorliegen und Quellen kombiniert werden, umso rascher kann ein Unternehmen einen Vorfall bewerten und auf die Bedrohung reagieren.
Infrastruktur zuverlässig kontrollieren
So kann ein Domain Name System (DNS), ergänzt um DNS Security, ein starker Kontrollpunkt für Infrastruktursicherheit werden. Da die Kernfunktion des DNS in der Umsetzung von Domainnamen in IP-Adressen besteht, ist es ihm möglich, normale Transaktionen von böswilligen zu unterscheiden und herauszufiltern. In Kombination mit Threat-Intelligence-Diensten können Daten aus unterschiedlichen Quellen gesammelt, gefiltert und analysiert werden. Zudem bietet eine dedizierte DNS-Firewall Schutz vor Schadsoftware, indem Malware-Infektionen und die Verbreitung innerhalb eines Netzwerks, Phishing-Kampagnen sowie Data Exfiltration verhindert werden.
Geräte im Netzwerk erfassen
Darüber hinaus sollte ein autoritatives IP Address Management eingesetzt werden, um jedes IP-fähige Gerät im Netzwerk erfassen und ein möglicherweise infiziertes Endgerät identifizieren und isolieren zu können. Wird ein Sicherheitsvorfall gemeldet, wissen die Security-Verantwortlichen, ob sich ein Nutzer im Hochsicherheitsbereich im Serversegment oder im Gäste-WLAN eingeloggt hat – und können gezielt darauf reagieren.
Welche Lösungen noch notwendig sind, um Sicherheitswarnhinweise gezielt zu deuten, beschreibt ein Beitrag auf funkschau.de
Auch interessant:
