Fuellbild
Blog
Zurück zur Übersicht

CSI: Balance-Akt zwischen Sicherheit und Flexibilität

Balabit CSI Contextual Security Intelligence

Es ist der Faktor Mensch, der für einen Grossteil der Sicherheitsvorfälle und Datenverluste in Unternehmen verantwortlich ist. Vor allem die eigenen Mitarbeiter sind davon betroffen. Um dieses Problem in den Griff zu bekommen, setzen IT-Sicherheitsverantwortliche gerne auf eine umfassende Kontrolle. Doch die Kollegen fühlen sich dadurch bei ihrer Arbeit oft eingeschränkt. Sie suchen – und finden – Wege, die lästigen Vorschriften zu umgehen. Einen praktikableren Lösungsansatz bietet hier der Ansatz der „Contextual Security Intelligence“: Er kommt ohne Sicherheitskontroll-Tools, ohne zusätzliche Authentifizierungsebenen und Policies aus und erlaubt den Mitarbeitern „Arbeiten as usual“.

Es ist ein Trugschluss, dass für die Mehrzahl der Angriffe auf IT-Systeme und den Verlust von Geschäftsdaten externe Hacker und Cyber-Kriminelle verantwortlich sind. In vielen Fällen stecken aktuelle oder ehemalige Mitarbeiter von Unternehmen dahinter. Laut einer Untersuchung des Bitkom sind in 52 Prozent der Fälle „Insider“ wie IT-Systemverwalter oder User mit privilegierten Zugriffsrechten Initiatoren von Angriffen auf IT-Systeme. Die zweite grosse Tätergruppe (39 Prozent) kommt aus dem Umfeld von Unternehmen: Lieferanten, Dienstleister und Kunden.

„Vertrauen ist gut, Kontrolle ist besser“ – nach diesem Motto verfahren daher viele IT-Sicherheitsfachleute, wenn sie IT-System gegen Angriffe schützen. Dabei schiessen sie häufig über das Ziel hinaus und reglementieren grundsätzlich alles: Welche Endgeräte Mitarbeiter nutzen sollen, welche Anwendungen ihnen zur Verfügung stehen, auf welche IT-Ressourcen sie wann, von wo zugreifen dürfen, welche Authentifizierung sie einsetzen müssen.

 

Überzogene IT-Sicherheitsvorgaben gehen zu Lasten des Geschäfts

Das nervt. Die Anwender fühlen sich bevormundet. Sie müssen viel Zeit darauf verwenden, die  Sicherheitsvorgaben zu erfüllen, statt ihren eigentlichen Aufgaben nachzugehen: Die Bürokratie nimmt zu, der Managementaufwand steigt, Agilität und Effizienz des Unternehmens leiden.

Notwendig ist ein neuartiger Ansatz. Er sollte IT-Sicherheits- und Compliance-Vorgaben ebenso berücksichtigen wie die Bedürfnisse von Mitarbeitern, die ihren Job möglichst gut erledigen und das Unternehmen voranbringen möchten. Solch einen Ansatz hat BalaBit mit Contextual Security Intelligence™ (eCSI) entwickelt. Auch BalaBit greift auf vorhandene Sicherheits-Tools und Verfahren wie Authentifizierung, Regelwerke (Policies) zurück und erweitert sie um das Echtzeit-Monitoring der Aktivitäten von IT-Usern. Zusätzlich empfiehlt es sich, eine Reihe von kontextbezogenen Informationen mit einzubeziehen, die die vorhandenen Standard-Log-Daten ergänzen. Diese Daten werden mithilfe spezieller Algorithmen bearbeitet. Das Ergebnis sind Aktivitäten – von Warnmeldungen bis zu Aktionen, die automatisch ausgelöst werden. Diese Flexibilität fehlt statisch orientierten Security-Systemen wie Firewalls und Intrusion-Detection-Systeme.

BalaBit Blindspotter Compliance

 

Keine pauschale Einschränkung von Nutzern

Statt die IT-Nutzer generell einzuschränken, setzt BalaBit auf eine Kombination von kontinuierlichem Monitoring und speziellen Analyse-Algorithmen. Das Ziel ist, ungewöhnliche Verhaltensmuster und Aktivitäten von Nutzern zu erkennen, die ebenso unverwechselbar sind wie ein Fingerabdruck. Solche Analysen berücksichtigen beispielsweise Faktoren wie die Tageszeiten, an denen ein User auf das Unternehmensnetz zugreift, von welchen Standorten aus der Zugang erfolgt, welche Endgeräte, Applikationen und Apps er dabei verwendet und wie schnell seine Eingaben auf dem Keyboard erfolgen. Diese Details werden ausgewertet, um ungewöhnliche Verhaltensmuster zu erkennen.

 

Fazit: Sicher ─ und dennoch flexibel

IT-Sicherheitstechniken wie BalaBits eCSI-Komponenten, die auf einer Analyse von Verhaltensmustern und Umgebungsvariablen basieren, werden in den kommenden Jahren klassische regelbasierte IT-Security-Lösungen ersetzen. Das ist auch gut so. Denn Unternehmen erhalten mit eCSI einen Ansatz, der Angriffe von außen und von innen erkennt und wirkungsvoll unterbindet, jedoch dem IT-User keine Zwangsjacke aus überzogenen Kontrollverfahren und Regelwerken verpasst.

Davon profitieren beide Seiten. Die IT-Abteilung, weil sie auf effektive und effiziente Weise IT-Sicherheits- und Compliance-Strategien umsetzen kann, und die Mitarbeiter, weil sie ohne hinderliche Einschränkungen ihre Arbeit tun können. Das Resultat ist somit eine ausgewogene Mischung aus IT-Sicherheit und Flexibilität.

 

Drei Schritte zur Implementierung von eCSI

Der Gedanke, durch ein erweitertes Monitoring ein höheres IT-Sicherheitsniveau zu erreichen, klingt auf den ersten Blick verführerisch. In der Praxis weist dieser Ansatz jedoch Schwächen auf. So ist Monitoring höchst anspruchsvoll, zum anderen wurde diese Technologie bislang kaum als präventive IT-Sicherheitsmaßnahme verwendet. Dazu weisen die Monitoring-Lösungen vieler Unternehmen erhebliche Lücken. Um die drei größten Schwachstellen zu beseitigen, empfiehlt BalaBit folgende drei Schritte:

  1. Führen Sie ein Upgrade des Logging-Systems durch, um es zu einer soliden Basis für das Monitoring zu machen. Zwar stellen so gut wie alle IT-Systeme Log-Daten bereit, aber weder normale Logging-Protokolle noch Log-Daten erfüllen grundlegende Vorgaben im Bereich IT-Security.
     
  2. Machen Sie sich bewusst, dass „Privileged User“ wie Systemverwalter, Manager und externe IT-Fachleute ein ernsthaftes Risiko darstellen. Mit uneingeschränkten Zugriffsrechten und kaum kontrolliert bieten sie ein perfektes Ziel von Angriffen mittels Advanced Persistent Threats (APT). Mit einem PAM-Tool (Privileged Account Management) lassen sich die riskantesten internen Prozesse in ein Monitoring einbinden.
     
  3. Implementieren Sie Tools für User Behavior Analytics (UBA). Sie zeichnen ein umfassendes Bild der Arbeitsweise in einem Unternehmen und machen Abweichungen von solchen Routinen transparent. Sie ermitteln auf Basis von Big Data-Analysen anormale und deshalb potenziell verdächtige Aktivitäten. Sie erstellen Prioritätslisten von sicherheitsrelevanten Vorkommnissen, versenden Alarmmeldungen, erzwingen ein erneutes Einloggen von Usern oder schränken notfalls sogar den Zugang zu bestimmten IT-Ressourcen ein.
BalaBit Blindspotter Datenquellen

 

Was Contextual Security Intelligence eigentlich ist

Contextual Security Intelligence ist ein IT-Sicherheitskonzept. Es besteht aus einem kontinuierlichen Monitoring und speziellen Algorithmen, die ungewöhnliche Aktivitäten von IT-Nutzern erkennen. Grundlage ist das normale Verhalten eines Users, etwa zu welchen Zeitpunkten und von welchen Orten aus er für gewöhnlich auf IT-Ressourcen zugreift, welche Endgeräte er dabei nutzt etc. Diese Daten ergeben in Summe eine Art Fingerabdruck. Abweichungen von diesem Profil können Indiz dafür sein, dass ein Cyber-Krimineller mithilfe von gestohlenen Account-Daten auf das Unternehmensnetz zugreift.


Zur BalaBit Shell Control Box: Für die Aufzeichnung und Rückverfolgung von User-Tätigkeiten. Dient auch der forensischen Analyse.

Zum BalaBit Blindspotter: Hilft normales Verhalten von untypischen User-Aktivitäten zu unterscheiden.


Gastartikel
Dieser Blogartikel wurde von BalaBit, einem langjährigen Partner der terreActive AG, zur Verfügung gestellt. Der Autor Martin Grauel ist Wirtschaftsinformatiker (BA) und IT-Security-Spezialist bei BalaBit, einem Unternehmen für Log-Management und fortschrittliche Monitoring-Technologien. Er berät als Presales Engineer unsere gemeinsamen Kunden und unterstützt bei der Implementierung von BalaBit Lösungen.