Security Monitoring bezeichnet zunächst einmal die kontinuierliche Überwachung der Sicherheit von IT-Systemen. Ziel ist die Erkennung von Anomalien und verdächtigen Vorgängen, die Hinweis auf eine Cyberattacke sein können. Diese Hinweise werden geprüft und bewertet, um dann ggf. zeitnah die angemessenen Gegenmaßnahmen einleiten zu können. Oftmals werden die Begriffe „Security Monitoring“ und „SIEM“ (Security Information and Event Management) synonym verwendet. Dabei gibt es durchaus Unterschiede im Leistungsumfang.
Das SIEM ist das zugrundeliegende System. Dabei werden im ersten Schritt, softwaregestützt Daten aus verschiedensten Log-Quellen (z. B. Firewall, Active Directory) gesammelt. Im nächsten Schritt werden diese Daten in ein einheitliches, verständliches Format gebracht. Auch kann ein SIEM erste Analysen liefern und bei verdächtigen Aktivitäten im Netzwerk Alarm schlagen.
Da manche bekannten Schwachstellen nicht geschlossen werden können, ohne die Arbeitsfähigkeit eines Unternehmens zu gefährden, ist es mit einem SIEM außerdem möglich, die Schwachstellen kontinuierlich unter Berücksichtigung ihrer potenziellen Ausnutzbarkeit zu überwachen. Das betrifft insbesondere Systeme, die häufig mit dem Internet kommunizieren, beispielsweise den E-Mail-Server.
Das Security Monitoring geht noch einen Schritt weiter als das bloße SIEM. Hier kommt wesentlich mehr menschliche Analysearbeit hinzu. Dabei rückt die konkrete Interpretation der gesammelten Informationen in den Fokus. Angenommen, ein System meldet eine Auffälligkeit bei der Nutzeranmeldung. Ein Benutzer gibt immer wieder das falsche Passwort ein. Dies kann einerseits Hinweis auf eine bösartige Brute-Force-Attacke sein. Andererseits besteht auch die Möglichkeit, dass der Benutzer gerade an diesem Tag dazu aufgefordert wurde, sein Passwort zu ändern, das neue noch nicht verinnerlicht hat und deshalb mehrfach das alte eingibt. Diese zweite Option wird von einem Analysten erkannt und kann als Regel hinterlegt werden. Die Software „lernt“ also, dass ab dem Zeitpunkt eines Passwortwechsels, Falscheingaben verstärkt zu erwarten sind. Dadurch werden Fehlalarme verringert.
Ob und welche Aktivitäten im Netzwerk verdächtig sind und welche nicht, kann von der zu überwachenden Systemstruktur und dem Nutzerverhalten abhängig sein. Klare Regeln kristallisieren sich erst während des laufenden Betriebs des Security Monitoring heraus. Das Monitoring wird gewissermaßen angelernt, kontinuierlich weiterentwickelt und dadurch immer effizienter. Nach der Analyse abgegebener Alarme werden die Regeln ggf. angepasst. Jedes Unternehmen hat hier seine eigenen Parameter, weswegen diese individuelle Abstimmung des SIEM und der Monitoring-Systeme sehr wichtig ist.
Zusammenfassend lässt sich also sagen, dass Security Monitoring zur Erkennung, Analyse und Abwehr von potenziellen Sicherheitsvorfällen dient. Durch ein SIEM werden die gesammelten Daten korreliert und zentral ausgewertet. Die Korrelation der Daten ermöglicht es, Muster und Trends zu identifizieren, die vom gewohnten Schema abweichen. Diese Analysen erfolgen nahezu in Echtzeit, wodurch die besonders schnelle Reaktion auf Sicherheitsvorfälle ermöglicht wird. Durch den Einsatz von Machine Learning können zudem Angriffe entdeckt werden, die für herkömmliche Systeme unsichtbar sind.
Warum brauchen Unternehmen Security Monitoring?
Dass die Bedrohungen durch Cyberkriminalität schon seit Jahren kontinuierlich zunehmen, ist nichts Neues mehr. Dennoch ist dieser Umstand ein stichfestes Argument, das für den Einsatz eines SIEM und Security Monitoring spricht.
Nur Unternehmen, die aktives Security Monitoring betreiben, haben überhaupt erst die Chance, den Ernstfall schnell zu erkennen und adäquat zu reagieren. Cyberangriffe und daraus resultierende Schäden können so entweder abgewehrt oder auf ein Minimum reduziert werden. Das Monitoring greift also in zwei der drei Kernbereiche der Cyber Security: Detektion und Reaktion. Und die kontinuierliche Überwachung der kritischen IT-Infrastruktur und vorhandener Sicherheitseinrichtungen steigert die Sicherheit eines jeden Unternehmens deutlich.
Zusätzlich werden durch das Security Monitoring auch Anforderungen verschiedener Normen erfüllt, darunter z. B. das BSI IT-Grundschutzkompendium, CIS Controls und ISO 27001.