Warum jedes VPN ein starkes SIEM an seiner Seite braucht?

Virtuelle private Netzwerke werden seit fast zwei Jahrzehnten von Einzelpersonen und Organisationen genutzt. Ein VPN erstellt einen sicheren Tunnel, der die Übertragung verschlüsselter Informationen von einem Punkt zum anderen ermöglicht. In der Geschäftswelt ermöglicht es Mitarbeitern, sich mit dem Netzwerk ihrer Organisation zu verbinden und Informationen sicher zu senden und zu empfangen. VPNs haben angesichts der Arbeit von zu Hause aus eine größere Rolle gespielt.

Es ist unklar, wie lange die Menschen von zu Hause aus arbeiten werden. Einige Unternehmen haben bereits gezeigt, dass sie auch nach dem Ende der Pandemie einen Teil ihrer Belegschaft im Homeoffice arbeiten lassen werden. Die Tatsache, dass immer mehr Menschen von zu Hause aus arbeiten, hat die Aufmerksamkeit von Cyberkriminellen auf sich gezogen. Sie sehen in der Arbeit von zu Hause aus Schwachstellen, die sie ausnutzen können.

Auf VPNs gerichtete Cyber-Angriffe

Will Ellis von Privacy Australia hat Experten zitiert und festgestellt, dass Cyberkriminelle ihre Angriffe vor allem dadurch verüben, dass sie versuchen, in VPNs einzudringen. Er sagte: „Leider waren sie in den letzten Monaten in vielen Fällen erfolgreich. Dies hat Unternehmen und Regierungsinstitutionen dazu veranlasst, die Sicherheitsmaßnahmen zu verschärfen.“

Sobald Cyberkriminelle das VPN durchbrechen und Zugang zum Netzwerk einer Organisation erhalten, sind sie wie Kinder im Süßwarenladen. Sie können das Netzwerk und die Dienste durchsuchen. Sie können nach Belieben nach Schwachstellen, Fehlkonfigurationen und Schwächen suchen. Dem Schaden, den Kriminelle anrichten können, sind keine Grenzen gesetzt, sobald sie Zugang haben, um Daten zu manipulieren, Systeme zu zerstören oder den Transport sensibler Daten zu unterbrechen.

Für Sie empfohlen: VPN vs. Proxy: Was sind die Unterschiede? Welches ist besser?

Es sind mehr als nur grundlegende Sicherheitsmaßnahmen erforderlich

Die meisten Unternehmen nutzen bereits die empfohlenen grundlegenden Schritte zur Verbesserung ihrer VPN-Sicherheit. Dazu gehört die Forderung nach sicheren Passwörtern, die komplex und einzigartig sind und sich regelmäßig ändern. Durch die Bereitstellung oder rollenbasierte Zugriffskontrolle werden Ressourcen nach Gruppen begrenzt. Die Multi-Faktor-Authentifizierung wird auch für privilegierte Benutzer oder diejenigen verwendet, die auf sensible Daten und Software zugreifen müssen.

Die Bedeutung dieser Schritte sollte nicht unterschätzt werden. Eine Organisation würde sich selbst etwas vormachen, wenn sie glauben würde, dass diese grundlegenden Schritte alles seien, was erforderlich sei, um sich vor Cybersicherheitsangriffen zu schützen, die immer raffinierter werden.

Ausgeklügelte Angriffe erfordern eine ausgefeilte Lösung, beispielsweise eine Plattform für das Sicherheitsinformations- und Ereignismanagement. SIEMs sind Tools, die für die Erfassung und Korrelation der Daten der Sicherheitstools, die ein Unternehmen verwendet, einschließlich seines VPN, verantwortlich sind.

SIEMs ermöglichen die Zusammenstellung der von separaten Sicherheitstools gesammelten Informationen, um Einblicke in Sicherheitsbedrohungen zu geben, die durch die separate Betrachtung der Daten möglicherweise nicht einfach zu gewinnen sind. Diese Plattformen können einer Organisation dabei helfen, wirklich risikoreiche Ereignisse zu identifizieren und sie vom Lärm zu unterscheiden.

Beispielsweise könnte sich ein Mitarbeiter von New York City aus mit einem VPN verbinden. Fünfundvierzig Minuten später stellt derselbe Mitarbeiter von Minneapolis, MN aus eine Verbindung zum VPN der Organisation her. Eine SIEM-Plattform sollte in der Lage sein, zu erkennen, dass dies physikalisch unmöglich ist, und dies dann als verdächtiges Verhalten zu kennzeichnen, das untersucht werden muss.

Welchen Nutzen kann eine SIEM-Plattform für Ihr Unternehmen haben?

SIEM-Lösungen bieten Bedrohungserkennung in Echtzeit. Sie steigern die Effizienz, senken die Kosten, minimieren potenzielle Bedrohungen, verbessern die Berichterstellung und Protokollanalyse und fördern die IT-Compliance. Da SIEM-Lösungen Ereignisprotokolle verschiedener Geräte und Anwendungen verknüpfen können, können IT-Mitarbeiter potenzielle Sicherheitsverstöße schnell erkennen, darauf reagieren und überprüfen. Je schneller eine Cybersicherheitsbedrohung erkannt wird, desto geringere Auswirkungen kann sie haben. Manchmal kann der Schaden vollständig verhindert werden.

SIEM-Plattformen ermöglichen einem IT-Team einen umfassenden Überblick über alle Bedrohungen, vor denen die Sicherheitstools eines Unternehmens es schützen. Eine einzelne Warnung eines Malware- oder Antivirenfilters ist möglicherweise keine so große Sache oder löst keinen Alarm aus. Wenn jedoch gleichzeitig eine Warnung von der Firewall, dem Antivirenfilter und dem VPN vorliegt, kann dies darauf hindeuten, dass ein schwerwiegender Verstoß vorliegt. SIEM sammelt Warnungen von verschiedenen Orten und zeigt sie dann auf einer zentralen Konsole an, wodurch die Reaktionszeiten maximiert werden.

Das könnte Ihnen gefallen: VPN vs. RDS vs. VDI: Was ist für einen sicheren Fernzugriff zu wählen?

Wie trägt SIEM dazu bei, Sicherheitsrisiken in einer Heimarbeitsumgebung zu mindern?

Die Coronavirus-Pandemie hat Unternehmen dazu gezwungen, schneller von der Belegschaft vor Ort auf eine vollständig dezentrale Belegschaft umzusteigen, als es vielen Unternehmen möglich war. Dies bedeutete, dass sie ein Gleichgewicht und möglicherweise einen Kompromiss zwischen der Bereitstellung eines konsistenten Service für ihre Kunden und der Aufrechterhaltung eines hohen Maßes an Cybersicherheit finden mussten.

Das manuelle Konfigurieren von Regeln und Abwehrmaßnahmen, die diese Änderung erfolgreich bewältigen können, ist zeitaufwändig. Organisationen, die noch keine SIEM-Plattformen nutzten, spielten in den ersten Wochen der Ausgangsbeschränkungen eine frustrierende, gefährliche und kostspielige Aufholjagd.

Organisationen, die SIEM bereits nutzten, konnten den Übergang einfacher gestalten. Da sie über ein umfassendes System verfügten, das Verhaltensanalysen und maschinelles Lernen nutzte, konnten sie sich automatisch an Veränderungen in der Arbeitsumgebung anpassen. Dies entlastet ihre IT-Teams erheblich.

Einer der Hauptvorteile der Verhaltensanalyse ist die Möglichkeit, eine grundlegende normale Aktivität für ein Unternehmen und seine Benutzer zu betrachten und dann automatisch zu erkennen und einen Alarm auszulösen, wenn es Abweichungen von dieser normalen Aktivität gibt. Auf diese Weise sind die Sicherheitskontrollen einer Organisation flexibel und können sich ändern, wenn sich die Geschäftsumgebung ändert. Sie passen sich automatisch an neue Dinge an, beispielsweise wenn Mitarbeiter, die von zu Hause aus arbeiten, zur neuen Normalität geworden sind.

Einsatz von SIEM zur Erkennung und Minderung des durch CEO Fraud verursachten Schadens

Durch die Arbeitsumgebung zu Hause ist die E-Mail-Kommunikation wichtiger denn je. Dies liegt daran, dass die persönliche Interaktion, die zur Arbeit im Büro gehörte, wegfällt. Da eine Flut von E-Mails hin und her gesendet wird, besteht leider die Möglichkeit, dass betrügerische E-Mails im Namen des Managements, der Direktoren oder anderer verantwortlicher Personen versendet werden.

CEO-Betrug ist eine relativ neue Form der Cyberkriminalität. Social-Engineering-Angriffe werden verwendet, um eine Person in der Organisation dazu zu verleiten, Geld oder vertrauliche Informationen an die Person oder Personen zu senden, die den Betrug begehen.

CEO-Betrug gab es schon vor COVID-19. Schätzungen zufolge könnten in nur drei Jahren Verluste in Höhe von mehr als 2,3 Milliarden US-Dollar entstehen. Wenn Menschen in einer Büroumgebung arbeiteten, in der sie persönlichen Kontakt mit dem Management hatten, dachten viele Unternehmen fälschlicherweise, dass sie E-Mail-Betrügereien leicht selbst erkennen könnten.

Bei der Untersuchung von Fällen von CEO-Betrug wird jedoch deutlich, dass mehrere E-Mails zwischen den Betrügern und dem Opfer ausgetauscht wurden, ohne dass das Opfer davon Kenntnis hatte. CEO-Betrug ist eine raffinierte und praktisch unmögliche Art von Betrug, die ohne die richtigen Tools aufgedeckt werden kann. Wenn es in der relativ sicheren Büroumgebung schwierig war, es zu erkennen, stellen Sie sich vor, dass es jetzt passiert, wenn die Mitarbeiter verteilt sind und die Menge an persönlichen Kontakten reduziert ist.

CEO-Betrug äußert sich auf zwei Arten. In einem Fall wird das E-Mail-Konto eines leitenden Managers gehackt. Die andere Möglichkeit besteht darin, dass eine E-Mail von einer Domäne gesendet wird, die der legitimen Geschäftsdomäne ähnelt. Zunächst kompromittieren Betrüger die E-Mail-Konten leitender Mitarbeiter. Im zweiten Fall wird Typosquatting eingesetzt, um Mitarbeitern vorzutäuschen, sie hätten Informationen von Personen in Führungspositionen erhalten.

Eine SIEM-Lösung kann helfen. Es ermöglicht einem Unternehmen, den Risiken kompromittierter Anmeldedaten zuvorzukommen. Wenn das E-Mail-Konto eines CEO, Managers oder einer anderen Person in einer verantwortlichen Position kompromittiert wird, können SIEM-Lösungen dabei helfen, den Verstoß zu erkennen und zu stoppen, bevor er auftritt. Dies liegt daran, dass SIEM-Lösungen die Daten in Ihrem gesamten Netzwerk überwachen. Dazu gehören Active Directory-Dienste, O365, Firewalls, Speichereinheiten, Salesforce und mehr.

Sobald alle Informationen im SIEM gepostet wurden, werden die Daten gesammelt, korreliert und durch erweiterte Analysen untersucht. Das Ziel besteht darin, Indikatoren für Kompromisse oder Muster zu finden, die anzeigen, ob verdächtiges Verhalten vorliegt. Diese Informationen können aufgezeichnet und sofort an das Sicherheitsteam einer Organisation gesendet werden.

Da dies in Echtzeit geschieht, können viele Angriffe verhindert werden, bevor sie schädliche Auswirkungen haben. Fortgeschrittenes maschinelles Lernen kann trainiert werden, um langsame Angriffe zu erkennen, die sich in das Netzwerk einschleichen. Ungewöhnliche Aktivitätsmuster können erkannt und Bedrohungen eingedämmt werden, bevor sie auftreten. Sie können dieselben Ansätze auch zur Identifizierung anderer Arten von E-Mail-Bedrohungen verwenden, beispielsweise Spear-Phishing-Betrug. Auch hier sehen wir die Leistungsfähigkeit einer SIEM-Lösung, die einen Mehrwert bietet, den ein VPN nicht bietet.

Das könnte Ihnen auch gefallen: NordVPN vs. SiteLock VPN – Welches ist das Beste für Sie?

Verwendung von SIEM-Informationen zur Verbesserung der Cybersicherheit

Wenn Anomalien erkannt werden, können Unternehmen Schutzmaßnahmen ergreifen, um zukünftige Gefährdungen zu verhindern. Ein Schritt könnte darin bestehen, die Mitarbeiter über die Bedrohungen der Cybersicherheit aufzuklären, denen sie ausgesetzt sind. Indem den Mitarbeitern die verschiedenen Angriffsversuche gezeigt werden, werden sie dazu ermutigt, riskantes Verhalten einzudämmen.

Einige Präventionstipps, die einem IT-Team vielleicht als gesunder Menschenverstand erscheinen, werden von den Mitarbeitern möglicherweise übersehen. Mitarbeiter sollten beispielsweise daran erinnert werden, unaufgeforderte E-Mails zu ignorieren, die eine sofortige Antwort erfordern. Sie sollten dazu ermutigt werden, die E-Mail-Adressen und Domänen des Absenders regelmäßig zu überprüfen und diese mit echten E-Mail-Adressen und Domänen zu vergleichen. Mitarbeiter sollten daran erinnert werden, keine unerwarteten Anhänge zu öffnen und besondere Vorsicht walten zu lassen, wenn E-Mails von unbekannten Absendern eingehen.

Sicher ist, dass Cyberkriminelle nicht aufhören werden, nach Schwachstellen zu suchen. Unternehmen müssen sich selbst, ihre Daten und ihre Mitarbeiter schützen, indem sie Sicherheitsfunktionen wie VPNs, Antiviren-Tools und Malware-Schutz nutzen und diese dann mit SIEM-Plattformen sichern.