Die üblichen Sicherheitsmaßnahmen in Netzwerken gegen Angriffe bestehen vor allem im Schutz des Perimeters, denn für gewöhnlich kommen Angreifer von außerhalb. Das ist eine naheliegende Maßnahme, die sich auch früher bewährt hat. Schließlich zeigt ein Blick in die Geschichte, dass schon die alten Römer ihr großes Reich verteidigen mussten. Dafür nutzten sie natürliche Barrieren wie Flüsse, errichteten aber auch Wachposten und Wälle, die an kritischen Standorten durch Truppen verstärkt wurden. Dies ging lange gut, aber die Gegner waren gewieft und lernten, diese Hindernisse zu umgehen und an unbeobachteten Stellen in das römische Reich zu gelangen. Ohne Kenntnis der Römer, dass die Eindringlinge bereits unter ihnen waren, konnten diese ungehindert durch das Reich ziehen und Dörfer plündern. Bis sie früher oder später von einer Legion gestellt wurden, verging jedoch immer etwas Zeit.
Lessons Learned: Kenne Deinen Feind
Was konnte also getan werden, um derartige Vorfälle zu verhindern oder zumindest die Folgen zu minimieren? Die Lösung ist simpel: Kenne Deinen Feind. Durch den Einsatz von Spähern war es möglich, die Bewegungen und Aktionen der Eindringlinge zu beobachten und entsprechende Gegenmaßnahmen zu treffen – sowohl entlang der Grenzen als auch im Inneren. Gleichzeitig musste man auf der Hut vor Falschinformationen sein, die die Verteidiger auf die falsche Fährte locken sollten. Dieser Informationsaustausch zwischen den Verteidigern konnte durch verfälschte Nachrichten, aber auch durch abgefangene Boten manipuliert oder gar verhindert werden.
Diese Erkenntnis lässt sich gut auf die Gegenwart übertragen: Das Wissen über die Verhaltensmuster von Angreifern ermöglicht es, schnell und zielgerichtet reagieren zu können. Selbst wenn diese sich zunächst wie normale Nutzer verhalten, so verlassen sie an irgendeiner Stelle den üblichen Rahmen und geben sich als Nutzer, den man nicht haben möchte, zu erkennen.
amasol SecOps – ein nutzerzentrierter Security-Ansatz mit Blick auf den Geschäftserfolg
Darauf basiert der amasol SecOps-Lösungsansatz, der den unerwünschten User in den Mittelpunkt der Betrachtung stellt.
So wie Feinde Grenzposten und Wälle umgehen und auf diese Weise ins römische Reich gelangen konnten, können sich Angreifer auch Verteidigungssystemen des Netzwerkperimeters wie IPS/IDS entziehen. Auch Logs sind nicht unfehlbar, denn diese Dateien können manipuliert oder gelöscht werden. Zudem geben Logs oftmals erst im Nachhinein Einblick in das Vorgehen und den Kontext eines Angriffs. Daher ist es naheliegend, das Nutzerverhalten im Rahmen von User Behavior Analytics in Echtzeit zu betrachten, um Angriffe frühzeitig und effizient unterbinden zu können. Auf diese Weise können Sie nicht nur sich verteidigen oder auf bereits Geschehenes reagieren, sondern selbst aktiv auf die Jagd gehen.
Den unerwünschten User stets im Blick – in Echtzeit und simuliert
Der amasol SecOps-Lösungsansatz liefert die Werkzeuge (und Waffen), um den Blick für jede Bewegung zu schärfen: Die Komponenten Real-User Network Analytics und Runtime Application Self-Protection bieten Ihnen einen kontinuierlichen Blick auf das Geschehen in Ihrem Netzwerk und die genutzten Applikationen, während die Breach and Attack-Simulationskomponente eingesetzte Sicherheitsvorkehrungen validiert sowie potenzielle Schwachstellen aufdeckt.
Einen vertiefenden Teaser zur Etablierung einer User-zentrierten Security-Betrachtung finden Sie hier.
Möchten Sie mehr zum amasol SecOps-Lösungsansatz wissen? Dann sprechen Sie uns gerne an: Fabian Fink, Account Manager, oder Olga Wall, Consultant.
Mehr Details über die Komponenten der amasol SecOps-Lösung erfahren Sie auch demnächst in den folgenden Teilen dieser Beitragsreihe.