Microsoft Azure Sentinel: Moderne Cybersecurity durch intelligente Sicherheitsanalysen

Microsoft Azure Sentinel Moderne Cybersecurity

Der digitale Wandel ist für viele Mitarbeiter:innen ein Segen. Arbeitskräfte konnten sich nämlich aufgrund der Pandemie wieder auf Wesentliches besinnen lernen. Die Zeit mit Geliebten zu verbringen, anstatt mühsam ins Büro zu fahren und dabei wenig Zeit für Kinder oder Freunde finden zu können – diese Entwicklung schätzten viele dieser Arbeitnehmer:innen noch darüber hinaus. Für Unternehmen gab es keine andere Wahl, als das neue Normal zu akzeptieren. Denn auch sie können durch entsprechende Infrastrukturen nicht nur viele dieser Talente gewinnen, sondern zudem noch erhebliche Kosten sparen und Produktivität steigern. Technologien wie das Intranet, Kollaborationstools oder Cloudanwendungen können Organisationen hinsichtlich der Anforderungen an den Modern Workspace digital unterstützen und sie somit zukunfts- und wettbewerbsfähig machen. Die Zukunft der Arbeit kann die Zufriedenheit der Belegschaft und Unternehmen gleichermaßen anheben – eine Win-Win-Situation, wäre da nur nicht die Bedrohung aus dem Netz: Cyberattacken.

Moderne Arbeit stößt an Grenzen: Cyberbedrohungen gefährden Unternehmen

Cyberbedrohungen können für Unternehmen eine ernsthafte und teure Angelegenheit werden. Der „Bericht zur Lage der IT-Sicherheit in Deutschland“ des Bundesamtes für Sicherheit in der Informationstechnik fasste kürzlich zusammen, welche Daten in den Jahren 2021/2022 zu Cyberbedrohungen in Deutschland gesammelt werden konnten. Dabei ermittelte das BSI, dass die Anzahl der Schadprogramme um 116,6 Mio. angestiegen sei. Für die Wirtschaft ergaben sich, wie dem Bericht entnommen werden konnte, folgende Hauptbedrohungen:

Ransomware

Diese stellt eine Schadsoftware zur Verhinderung des Zugriffs auf lokale oder vernetzte Daten und Systeme dar. Dabei werden Nutzerdaten (Office- Bild- und Videodateien) oder Dateninfrastrukturen (Datenbanken, Serversysteme) verschlüsselt und mit einer Erpressungsnachricht versehen. Nur durch ein spezifisches Entschlüsselungstool für die wirkende Ransomware können diese Dateien wieder gewonnen werden. Den Betroffenen wird meist mit der Vernichtung der verschlüsselten Dateien gedroht. Bevor die Daten verschlüsselt werden, stehlen die Angreifer meistens auch sensible Daten, um mit Veröffentlichung dieser zu drohen. Die Lösegeld- und Schweigegelderpressung wird auch Double Extortion genannt. Dieser Art von Angriff ist es geschuldet, dass in Deutschland 207 Tage Katastrophenfall herrschte, da in diesem Zeitraum laut Bericht des BSI wegen einer Ransomware-Attacke kein Eltern-, Arbeitslosen- und Sozialgeld gezahlt sowie KfZ-Zulassungen oder andere bürgerliche Dienstleistungen nicht erbracht werden konnten.

Schwachstellen

Lücken in Software und Hardwareprodukten werden oftmals von Cyberkriminellen genutzt, um Schaden anzurichten oder wertvolle Daten zu stehlen. Im Jahr 2021 wurden dem BSI 139 Coordinated Vulnerability Disclosure (CVD)-Meldungen gesendet. Coordinated Vulnerability Disclosure (CVD) macht es möglich, Informationen zu Schwachstellen für betroffene Softwareprodukte in einer transparent, systematischen zeitlichen Abfolge zu veröffentlichen. Betrachtet man die Beurteilungen aus öffentlichen Quellen, ließ sich ein Wert von 20.174 Schwachstellen durch das CVSS-Scoring-System im Jahr 2021 ermitteln. Dies stellt einen 10%igen Zuwachs im Vergleich zum Vorjahr dar. Handelt es sich um Schwachstellen in Hardwareprodukten, liegen diese meist tief in der Architektur oder dem Herstellungsprozess – Angriffe können also auf Transistoren in hoch generierten Schaltungen, auf die Mikroarchitektur eines Prozessors oder in der Produktion oder Lieferkette einer Hardware stattfinden. Berichten zufolge seien 2 Arten von Angriffen besonders beliebt: das Ausnutzen von Besonderheiten der transienten Ausführung von Befehlen bei Prozessoren und von Seiteneffekten bei der Operation von Arbeitsspeichern.

Angriffe auf offene oder falsch konfigurierte Online Server

Advances Persisent Threats (APT) können auf mehrere Arten von IT-Systemen vorgenommen werden. Das BSI hält dahingehend neue Entwicklungen fest: Angriffe auf Perimeter Systeme, wie bspw. Firewalls, Server, VPN-Gateways oder Router, zu welchen direkt durch das Internet Zugang gefunden wird. Hierbei werden von Angreifern Schwachstellen gesucht, ohne Sicherheitsupdates. Mittels der Installation von Webshells können Angreifer sich dann mit den Servern verbinden und Kommandos geben. Immer beliebter werden auch Cloud-Dienste als Angriffsvektor für den Einstieg in interne IT-Netze. Indem Passwörter erraten oder gestohlen werden, erhalten die Angreifer Zugang zum Netzwerk und können somit auf die Rechner der Kund:innen zugreifen. Denial-of-Service oder auch DoS-Angriffe werden als Überlastungsangriffe auf Internetdienste bezeichnet. Dies geschieht manchmal auch anhand von mehreren Systemen parallel, dann spricht man von Distributed Denial of Service (DDoS-Angriffen). Sie stellen eine der Hauptbedrohungen für Unternehmen dar.

Herausforderungen beim Umgang mit Cyberbedrohungen

Angesichts der Ergebnisse des BSI-Berichts wird verdeutlicht, dass die Risiken von Cyberbedrohungen sich nicht nur in ihrer Raffinesse und Vielfalt wandeln, sondern auch, dass durch die zunehmende Digitalisierung immer mehr Unternehmen von dem potenziellen Schaden betroffen sein können. Doch diese Gefahren entsprechend abzuwehren oder sogar zu verhindern, kosten Unternehmen enorm viel Zeit, Geld und Ressourcen. Zudem herrschen bei Cyberattacken oft Unklarheiten, was zusätzlich die Abwehr erschweren kann.

Die Attacken sind oft so raffiniert, dass die Angreifer vor der Attacke schon lange im System eines Unternehmens sitzen – rund 200 Tage sollen diese laut einer Studie von Deloitte im System vor einer Attacke verweilen. Der plötzliche Angriff kommt für Organisationen dann meist sehr unerwartet und trifft diese unvorbereitet. Die Studie von Deloitte mit dem Namen “Cyber Security im Mittelstand” ermittelte außerdem, dass für den Großteil der Teilnehmer:innen die Identifikation der Angriffe neben der Reaktionsgeschwindigkeit die größten Herausforderungen darstellten. Der Studie zufolge reichten Angreifern schon wenige Minuten oder Stunden für das Auslesen von Daten, das Installieren von Schadsoftware oder gar die Übernahme der Systeme der Organisationen.

Für 61 % der Befragten ist das frühzeitige Erkennen von relevanten Angriffen ein anderer problematischer Faktor bei der Cybersecurity. Die Befragung zeigte auch, dass Cyber Security in Unternehmen eine enorme Kostenbelastung darstelle. Mit einem jährlichen Mittelwert von 80.050 Euro schützten Organisationen ihre Systeme, so die Ergebnisse der Umfrage. Und dennoch verzichten viele Unternehmen auf angemessene Investitionen in dem Bereich, da sonst dieses Geld nicht in bspw. Marketing oder Produktentwicklung fließen könne. Wie können Unternehmen eine Antwort auf dieses Dilamma finden?

Effiziente Sicherheitslösung für Unternehmen: Microsoft Azure Sentinel macht Unternehmen wettbewerbsfähig

Um die unternehmensinternen IT-Infrastrukturen effizient zu sichern, bietet Microsoft Azure Senitel eine KI-gestützte Lösung zum Aufdecken von Cyberbedrohungen. Mithilfe von leistungsstarken Such- und Abfragetools werden Datenquellen von Unternehmen so untersucht, dass Sicherheitsanalysen optimal entlastet und unterstützt werden. Für Unternehmen ergeben sich aus der Nutzung von Microsoft Azure Sentinel etliche Vorteile. Was genau der Einsatz von Microsoft Azure Sentinel bringen kann, hat Forrester mit der StudieThe Total Economic Impact™ Of Microsoft Azure Sentinel” dargelegt:

Mehr Effizienz durch Microsoft Azure Sentinel

„Mit Azure Sentinel hat sich die False-Positive-Rate drastisch verbessert, und wir können jetzt innerhalb von Minuten reagieren, während wir mit unserer alten Lösung durchschnittlich acht Stunden benötigten.“ CISO, eCommerce / Modebranche

SOC Teams erhalten einen praktischen Überblick über Sicherheitsprotokolle, Warnungen und Vorfälle. Damit verringern sich Fehlalarme und Untersuchungen werden einfacher gestaltet sowie auch MTTR reduziert. Mithilfe des KI-gestützten Correlation Engines und Analysen von Benutzerverhalten wird eine Prioritätenliste erstellt, durch die Bedrohungen mit hoher Priorität beseitigt und falsche positive Meldungen reduziert werden. Herkömmliche SIEM-Lösungen hätten nach Aussagen der Befragten Alarme nicht gut korreliert. Dadurch habe nur ein einziges Ereignis mehrere Alarme ausgelöst, ohne dass SOC Teams schnell die Ursache identifizieren konnten. Mittels einer intuitiven Benutzeroberfläche, einer integrierten Wissensdatenbank und ML lässt sich vonseiten der Sicherheitsteams schnell auf die gebrauchten Informationen zugreifen, um effizient Untersuchungen vornehmen zu können.

Kosteneinsparungen

„Mit Azure Sentinel sparen wir in drei Jahren 1,7 Millionen Dollar. Und das ist kein Eins-zu-eins-Vergleich, sondern wir sparen 1,7 Millionen Dollar, wenn wir uns von unserem MSP trennen, ein internes Sicherheitsteam einstellen, Azure Sentinel betreiben und ein Reaktionsteam einsetzen, das es vorher nicht gab.“ CISO, eCommerce / Modebranche

Weil Unternehmen ihren alten SIEM-Anbietern kündigten, konnten Lizenzkosten für Protokollerfassung und -speicherung gesenkt werden. Kostspielige Infrastrukturen vor Ort gehörten von da an auch der Vergangenheit an. Mit der cloudbasierten SIEM von Microsoft Azure Sentinel mussten Organisationen ihre Protokolldaten nicht mehr vor Ort speichern. Wegen der flexiblen und verbraucherbasierten Preisung von Azure Sentinel endete für sie auch die Bindung an Langzeitverträge. Azure Sentinel kann auch dazu dienen, erhebliche Speicherkapazitäten einzusparen, da Befragte berichteten, dass sie durch die Sicherheitslösung von Microsoft, ihren Bedarf besser skalieren könnten und ihre Ausgaben dahingehend angepasst hätten. So vermeiden Unternehmen bspw. im Worst-Case-Szenario bei der Wiederherstellung im Katastrophenfall, redundante Kopien aller Sicherheitsprotokolle zu erstellen und somit lokale Speicher komplett zu überlasten.

Bessere Verwaltung

„Mit Azure Sentinel gibt es keine Ausfallzeiten mehr. Es hat nie geblinkt. Es ist nie ausgefallen, und als wir eine bestimmte Kapazität erreicht hatten, hat Microsoft uns sogar einen eigenen dedizierten Cluster zur Verfügung gestellt und die Leistung verbessert.“ Senior VP für globales Bedrohungsmanagement, Finanzdienstleistungsbranche

Mit der Reduzierung der lokalen Infrastruktur und des Speicherplatzes werden weniger Wartungsarbeiten durchgeführt, wodurch Teams mehr Zeit für die Wertschöpfung im Unternehmen aufbringen können. Die cloudbasierte SIEM von Microsoft Azure Sentinel ist in der Lage, die Größe und Komplexität der lokalen Infrastrukturen zu senken und damit auch den Planungs- und Wartungsaufwand für die herkömmliche SIEM-Implementierung.

Zeitersparnis in Konfiguration & Deploy

„Azure Sentinel deckt alle grundlegenden SIEM-Anwendungsfälle ab. Es adressiert die Datenaggregation in horizontalem Maßstab für immer, und der Beweis liegt in der Praxis. Wie kann man in einem Zeitraum von sechs Monaten von 50 Gigabyte auf 8,5 Terabyte pro Tag kommen? Die Antwort lautet: mit Azure Sentinel.“ – Senior VP of Global Threat Management, Finanzdienstleistungsbranche

Die cloudnative SIEM von Microsoft Azure Sentinel ermöglicht es Unternehmens vom ersten Tag an, mit Aufnahmen von Protokollen zu beginnen. Durch die zusätzliche Vereinfachung des RFP Prozesses gewinnen sie an Zeit und Flexibilität, um mit Automation und Fine-tuning ein eigenes Ökosystem auszubauen. Deploys und Fine-tuning werden anhand von vorgefertigten Playbooks, Abfragen, Automatisierungen und anderen SIEM-Tools wesentlich vereinfacht, wodurch Unternehmens sich einen erheblichen Wettbewerbsvorteil sichern können. Organisationen können besonders durch vereinfachte Datenanbindungen und die Integration in viele Nicht-Microsoft-Systeme ihren Zeitaufwand und Arbeitsaufwand reduzieren.

Microsoft Azure Sentinel kann in Unternehmen einen erheblichen Beitrag dazu leisten, das Risiko für Cyberattacken zu reduzieren und dabei den Aufwand von Zeit und Kosten in einem angemessenen und angepassten Rahmen zu halten. Mit den Softwarelösungen von Microsoft schaffen es Unternehmen, den anspruchsvollen Bedingungen des heutigen Wettbewerbs standzuhalten und sogar enorme Vorteile zu generieren. Wenn du Interesse hast, Microsoft Azure Sentinel in deiner Organisation auszuprobieren, dann kontaktiere uns für ein Beratungsgespräch.


Nach oben scrollen