Angriffserkennung, Security Monitoring
IT-Sicherheitsgesetz 2.0 - Angriffserkennung
Ein Instrument zur Angriffserkennung ist beispielsweise ein SIEM-System (Security Information & Event Management), dass die Erkennung von Bedrohungen (Stichwort: Threat Intelligence) im laufenden Betrieb unterstützt und somit für eine schnellere und effizientere Abwehr sorgt und damit den Schaden bei einem erfolgtem Angriff erheblich reduziert. Das SIEM-System ist ein wichtiger Bestandteil einer Defensive Security Strategie, die darauf abzielt, die IT-Infrastruktur einer Organisation vor Cyberangriffen zu schützen und zu verteidigen. Ein weiterer wichtiger Aspekt der Defensive Security ist das Blue Teaming, das die Rolle des internen IT-Sicherheitsteams beschreibt, das die IT-Systeme und Netzwerke überwacht, Schwachstellen behebt und auf Sicherheitsvorfälle reagiert. Das IT-Sicherheitsgesetzt 2.0 verpflichtet KRITIS-Unternehmen ab 2023 Systeme zur Angriffserkennung einzusetzen, wie zum Beispiel SIEM-Systeme, und empfiehlt auch die regelmäßige Durchführung von Blue- und Red-Team-Übungen, um die IT-Sicherheit zu stärken.
Security Monitoring als Managed Service
Um langfristige Sicherheit zu gewährleisten, Compliance sicherzustellen, potenzielle Gefahren frühzeitig zu erkennen und abzuwehren, bieten wir die folgenden Managed Services im Rahmen unseres Insentis Digital Security Assurance Programms© an:
Security Operations Center (SOC) als Service
Wir monitoren Ihre Applikations- und IT-Landschaft auf verdächtige Aktivitäten 24/7. Falls noch nicht verfügbar, richten wir Ihnen eine passende SIEM- sowie SOAR-Lösung ein und verbinden alle zu überwachenden Systeme und Applikationen. Wir informieren Sie, wenn Handlungsbedarf besteht oder relevante Ereignisse auftreten. Darüber hinaus unterstützen wir Sie bei Vorfällen im Rahmen unserer Incident Response Beratungsleistungen und erstellen Maßnahmen gemäß "Lessons Learned", um die Wahrscheinlichkeit der Vorfälle systematisch zu reduzieren und damit die Sicherheit zu erhöhen.
Security Operations Center (SOC)
Ein Security Operations Center (SOC) ist eine zentralisierte Funktion innerhalb eines Unternehmens zum Schutz vor Cyberangriffen. Es setzt sich zusammen aus Sicherheitsexperten, Prozessen und Technologien, um so eine 24/7 Echtzeitüberwachung der Unternehmenssicherheit zu ermöglichen. Zu den zentralen Aufgaben eines SOC zählen:
- Proaktive Echtzeitüberwachung von Netzwerken, Hardware & Software
- Incident Response
- IT-Forensische Untersuchungen
- Verwaltung und Verbesserung des Security-Monitorings
- Laufende Optimierung der IT-Sicherheit
- Technische Unterstützung bei allen sicherheitsrelevanten Fragestellungen
- Berichterstellung zur gegenwärtigen Sicherheitslage für das Management
Welchen Mehrwert bietet ein SOC?
Ein SOC bietet zahlreiche Vorteile für die Sicherheit und das Geschäft eines Unternehmens, wie zum Beispiel:
- Frühzeitige Erkennung & Reaktion auf Sicherheitsvorfälle
- Reduzierung von Risiken und Ausfallzeiten
- Abwehr diverse Cyberangriffe, wie bspw. Ransomaware, Phishing, APT-Angriffe
- Verbesserte Kontrolle und Prävention von Bedrohungen
- Unterstützung von Audit- und Compliance-Zielen
- Zeitnahe Wiederherstellungen von Systemen nach einem Angriff
- Vertrauen von Kunden stärken
- Senkung der mit Sicherheitsvorfällen verbundenen Kosten
Aufbau eines Security Operation Centers
Mit unserer Expertise unterstützen wir Sie beim Aufbau eines Security Operation Centers. Zu Beginn steht die Wahl eines geeigneten SOC-Modells. So könnten Sie je nach Anforderungen Ihr SOC komplett selbst betreiben (Inhouse SOC), das Security Monitoring vollständig einem Dienstleister überlassen (Managed SOC) oder ein Hybrid SOC aufbauen. Mit unserer Hilfe finden Sie das für Sie optimale Konzept.
Endpoint Detection and Response (EDR) und Network Detection and Response (NDR), Logging, SIEM & SOAR
Darüber hinaus unterstützen wir Sie auch bei der Auswahl, Einrichtung und Anbindung entsprechender SOC-Technologien, wie zum Beispiel:
- Endpoint-Protection: Diese Technologie schützt die Endgeräte (z.B. Laptops, Smartphones, Tablets) vor Malware, Ransomware und anderen Angriffen, indem sie verdächtige Aktivitäten erkennt und blockiert. Endpoint-Protection kann auch als Endpoint Detection and Response (EDR) bezeichnet werden, da sie nicht nur Schutz, sondern auch Erkennung und Reaktion auf Endgeräte-Ebene bietet.
- Firewall, Intrusion Detection System (IDS) & Intrusion Prevention System (IPS): Diese Technologien überwachen und filtern den Netzwerkverkehr, um unerwünschte oder schädliche Datenpakete zu identifizieren und zu stoppen. Sie können auch als Network Detection and Response (NDR) bezeichnet werden, da sie nicht nur Schutz, sondern auch Erkennung und Reaktion auf Netzwerk-Ebene bieten.
- Logging-Systeme: Diese Technologien sammeln und speichern Daten über die Aktivitäten und Ereignisse im Netzwerk, auf den Endgeräten und auf den Anwendungen. Sie ermöglichen eine detaillierte Analyse und Nachverfolgung von Sicherheitsvorfällen und helfen bei der Einhaltung von gesetzlichen Vorgaben.
Security Information and Event Management (SIEM)
Das SIEM ist das Herzstück eines Security Operation Centers. Hier werden sämtliche Daten aus Firewalls, Netzwerk-Appliances, Intrusion Detections Systemen und anderen IT-Systemen gesammelt und gefiltert. Anhand dieser Event-Daten können Bedrohungen erkannt, klassifiziert und analysiert werden. Wir erarbeiten für Sie ein geeignetes SIEM-Konzept (On-Premise oder Cloud) und unterstützen Sie bei der Einrichtung von SIEM-Lösungen wie Azure Sentinel, Splunk, QRadar oder Elastic.
Security Orachestration, Automation and Response (SOAR)
Ein SOAR-System kann durch automatisierte Arbeitsabläufe und Reaktionen helfen Gefahren schnellstmöglich einzudämmen, beispielsweise durch Isolierung infizierter Systeme und Sperren kompromittierter Benutzerkonten. Mit Hilfe entsprechender Playbooks sind Sie allen Eventualitäten gerüstet.
Identity Theft Monitoring
Weltweit werden täglich Zugangsdaten abgezogen und einige davon auch im Darknet angeboten, sodass Identitätsdiebstal ein signifikantes Risiko darstellt: Wir überwachen für Sie die Identitäten Ihrer Mitarbeiter oder Ihrer Kunden auf Leaks über alle gängigen Kanäle und informieren Sie bzw. die Opfer darüber und geben Handlungsanweisungen.
Vulnerability und CVE-Monitoring
Wir überprüfen alle Ihre eingesetzte Third-Party-Komponenten wie Libraries, Software, Container und Systeme auf veröffentlichte Sicherheitslücken und erstellen Empfehlungsmaßnahmen, durch direkte Updates der omponenten, Workarounds oder virtuelles Patching mittels einer Application Layer Firewall (WAF).
Compliance Monitoring
Wir überwachen Ihre Webseiten, Applikationen und Ihre IT-Infrastruktur auf die Einhaltung von Standards und gesetzlichen Anforderungen wie EU-DSGVO, ITSicherheitsgesetz 2.0, PSD2, KRITIS B3S, MaRisk oder PCI-DSS
Blue Teaming
Blue Teaming ist eine Praxis, die sich mit dem Schutz und der Verteidigung einer IT-Sicherheitsumgebung und der Reaktion auf Vorfälle, die diese Umgebung bedrohen, befasst. Blue Team Cybersecurity Operatoren sind in der Lage, die Sicherheitsumgebung, die sie schützen, auf Schwachstellen zu überwachen, ob sie bereits vorhanden sind oder durch Angreifer verursacht werden.
Wir bieten Ihnen professionelle Blue Teaming Services an, um Ihre IT-Sicherheit zu stärken und zu optimieren. Wir unterstützen Sie bei der Überwachung, Erkennung und Reaktion auf potenzielle oder tatsächliche Cyberangriffe, die Ihre IT-Infrastruktur bedrohen. Wir arbeiten eng mit Ihrem internen Blue Team zusammen oder stellen Ihnen ein externes Blue Team zur Verfügung, das über die erforderlichen Fähigkeiten und Werkzeuge verfügt, um Ihre IT-Systeme und Netzwerke zu schützen. Wir führen regelmäßige Sicherheitsaudits durch, um Schwachstellen zu identifizieren und zu beheben, und wir arbeiten mit Red Teams zusammen, um Ihre Sicherheitsmaßnahmen zu testen und zu verbessern.