Das 1×1 der IT-Sicherheit: Azure Sentinel wacht über die IT-Infrastruktur

Das 1x1 der IT-Sicherheit

Noch im Jahr 2015 dauerte es im Durchschnitt 146 Tage, bis ein Unternehmen einen Einbruch in sein Firmennetzwerk entdecken konnte. Eindringlinge hatten fast fünf Monate Zeit, um unentdeckt und in aller Ruhe nach sensiblen Daten zu stöbern, Schadsoftware zu installieren und Firmennetze auszuspionieren. Ein Jahr später betrug die durchschnittliche Zeit bis zur Entdeckung von Cyberkriminellen weltweit nur noch 99 Tage. So dauert es beispielsweise in Deutschland länger, weil die Cloud-Nutzung im Vergleich zu den USA weniger weit vorangeschritten ist. Aber auch 99 Tage reichen aus, um großen Schaden anzurichten. Um diese Zeit auf null zu reduzieren, gibt es das Konzept des Security Information and Event Management (SIEM). Im Idealfall stoppt das System Eindringlinge bereits, bevor sie Schaden anrichten können. Das SIEM von Microsoft heißt Azure Sentinel („Wächter“). Wie es Daten, Geräte und Anwendungen schützt, zeigen wir in dieser Folge des „1×1 der IT-Sicherheit“.

Wir hinterlassen eine Menge digitaler Spuren, wenn wir uns in Unternehmensnetzwerken mit Notebooks, Tablets oder Smartphones bewegen. Jeder Zugriff auf Serverlaufwerke, Daten, Webseiten, jede Anmeldung mit einem Gerät in einem Netzwerk und in der Cloud wird aufgezeichnet und in Protokolldateien gespeichert, sogenannten Log-Dateien. Vernetzte Geräte im Industrial Internet of Things (IIoT), Maschinen und Anlagen mit Sensoren und ganz allgemein „vernetzte Dinge“ erzeugen und hinterlassen ebenfalls solche Spuren. Das gilt auch für unerwünschte Eindringlinge – kriminelle Hacker, die Zugang zu Unternehmensnetzen suchen, um dort Daten zu entwenden oder Schadsoftware zu installieren, die Netzwerke lahmlegt oder sabotiert. Eine intelligente Sicherheitslösung muss in der Lage sein, die umfangreichen Protokolle möglichst nahezu in Echtzeit nach Auffälligkeiten zu untersuchen und diese zu klassifizieren: Steckt wirklich ein versuchter Angriff dahinter oder handelt es sich um einen Fehlalarm? Handelt es sich um Anomalien in der Cloud oder Netzwerkzugriffe? Werden Daten an ungewöhnliche Stellen übertragen?

Mit einer Lösung für Security Information and Event Management (SIEM) lassen sich solche Überwachungsaufgaben automatisieren. Azure Sentinel nutzt dafür die Performance, Verfügbarkeit und Sicherheit sowie die künstliche Intelligenz der Microsoft Cloud und übernimmt eine zentrale Aufgabe in der Sicherheitsarchitektur vernetzter Unternehmen.

Was ist Security Automation?

Anzahl und Qualität von Angriffen auf IT-Infrastrukturen steigen ebenso stark an wie die Zahl vernetzter Geräte und Anlagen – unter anderem im Industrial Internet of Things (IIoT). Tatsächlich führt dieses Wachstum dazu, dass fast jeder zweite Alarm (44 Prozent) in Firmennetzwerken nicht untersucht wird. Außerdem steigt durch das Angriffsvolumen die Zeit bis zur Eindämmung solcher Attacken auf 69 Tage. Die schiere Menge an Signalen kann von Menschen kaum noch untersucht werden, deswegen ist der Einsatz von künstlicher Intelligenz und Machine Learning in einer vernetzten Welt unerlässlich.

Security Automation meint den Einsatz automatischer Systeme zur Erkennung und Verhinderung von Cyber-Bedrohungen. Sie sollen dazu beitragen, solche Angriffe besser abzuwehren. Das Konzept adressiert dafür die drei wichtigsten Handlungsfelder der IT-Sicherheit:

    • Prävention etwa über Sicherheitseinstellungen in Netzwerken und auf mobilen Geräten,
    • Detektion von Anomalien, die auf mögliche und tatsächliche Angriffe hindeuten und
    • Reaktion zur Wiederherstellung von sicheren Systemen und zum Beheben von Schäden.

Security Automation bietet weitere Vorteile: Sie erfüllt die steigenden Erwartungen an Cybersicherheit, die von immer komplexeren Bedrohungsszenarien und der zunehmenden Komplexität von IT-Infrastrukturen und Firmennetzen geweckt werden. Zudem nimmt sie der IT durch den Rückgang manueller Tätigkeiten bei Kontrolle, Eingriffen und Berichten ein wenig vom immerwährenden Effizienzdruck, der auf ihr lastet. Und schließlich unterstützt die Automatisierung Unternehmen dabei, regulatorische und Compliance-Anforderungen selbst dann besser zu erfüllen, wenn kein Gesetz sie explizit erfordert. Azure Sentinel übernimmt bis zu 80 Prozent der Aufgaben automatisch. Das entlastet die IT Security-Abteilung erheblich und sorgt für einen besseren Schutz.

Azure Sentinel – das cloud-native SIEM von Microsoft

Azure Sentinel ist ein cloud-natives SIEM, das viele Sicherheitsaufgaben automatisch übernimmt und ausführt. Durch die Cloud-Basis entfällt die Notwendigkeit für Unternehmen, in den Aufbau, den Betrieb und die Wartung des Systems zu investieren. Die laufenden Kosten orientieren sich zudem am tatsächlichen Verbrauch. Als Cloud-System ist Azure Sentinel frei skalierbar. Abfrage- oder Speicherlimits gehören damit ebenso der Vergangenheit an wie zusätzliche Investitionen in Hardware für das Abfangen von Kapazitätsspitzen.

Als Teil des Azure Security Center ist Azure Sentinel eng mit den anderen Tools und Technologien für die IT-Sicherheit und für die Nutzung künstlicher Intelligenz integriert. Sentinel hat auch Zugriff auf die große Analyse-Datenbank in der Microsoft Cloud, die täglich mit über zehn Petabyte an Daten aus dem Betrieb von Cloud-Infrastrukturen sowie mit Erkenntnissen über Security-Incidents gefüttert wird. So lassen sich viele Millionen von Datensätzen in Sekunden filtern, um schnelle Einblicke in aktuelle Sicherheitsvorfälle und -maßnahmen zu erhalten.

Azure Sentinel ist direkt über das Azure Security Center erreichbar. Das SIEM sammelt regelmäßig und automatisch sicherheitsrelevante Informationen von allen Benutzer*innen, Geräten, Anwendungen und Infrastrukturen sowie aus dem Security Center. Dabei fokussiert sich Azure Sentinel nicht nur auf Microsoft-Anwendungen, sondern ist offen für alle gängigen Systeme und Hersteller. Diese lassen sich problemlos einbinden. Es korreliert alle Daten und wertet sie auf Abweichungen und mögliche Angriffe aus – im Idealfall also, bevor ein Schaden eintritt. Azure Sentinel nutzt dafür nicht nur die praktisch unbegrenzten Rechenkapazitäten der Microsoft Cloud, sondern auch die künstliche Intelligenz von Azure, um auch bisher unbekannte Angriffsszenarien und unentdeckte Angriffe zu erkennen und zu bekämpfen – übrigens unter Ausschluss sogenannter falsch-positiver Resultate, die für unproduktive Fehlalarme sorgen würden.

Kampf mit „Köpfchen“: Wie KI in Azure Sentinel bei der Abwehr von Cyber-Angriffen hilft

Als cloud-basiertes System bietet Azure Sentinel auch die Integration von Modellen für maschinelles Lernen (ML) sowie für User and Entity Behavior Analysis (UEBA), eine Analyse des Verhaltens von Benutzer*innen und Systemen. Über solche Methoden und Werkzeuge lassen sich Angriffe und Bedrohungen schneller erkennen. Das trägt dazu bei, die Zahl von Fehlalarmen und damit einer zu befürchtenden Alarmmüdigkeit drastisch um bis zu 90 Prozent zu reduzieren.

In drei Schritten zu optimaler IT-Sicherheit

Azure Sentinel lässt sich in nur drei Schritten einrichten: 1) kostenloses Azure-Konto anlegen, 2) Azure Sentinel Dashboard aufrufen und 3) Dokumentation und Anleitungen zu Azure Sentinel studieren. Viel Erfolg!

Weitere Beiträge der Serie

Weitere Beiträge der Reihe „Das 1×1 der IT-Sicherheit“ gibt es hier.


Ein Beitrag von Stratos Komotoglou
Senior Subsidiary Product Marketing Manager Microsoft 365 Security bei Microsoft Deutschland
@HerrStratos

 

Tags: , , ,

Weitere Infos zu diesem Thema

20. August 2020
Mehr Budget, größere Teams: Wie die COVID-19-Pandemie die digitale Transformation in der Cybersicherheit beschleunigt

Zahlreiche Unternehmen haben als Reaktion auf die COVID-19-Pandemie ihre Budgets für IT-Sicherheit erhöht und auch ihre IT-Teams vergrößert. Das ist das Ergebnis einer aktuellen, internationalen Umfrage von Microsoft unter knapp 800 Führungskräften aus Unternehmen mit mehr als 500 Beschäftigten in Deutschland, Indien, Großbritannien und in den USA.