Sie wollen Cyber-Resilienz? Integrieren Sie E-Mail-Sicherheit in Ihr SIEM

Für viele Sicherheitsexperten ist das SIEM-System (Security Information and Event Management) ein magisches Fenster, durch das sie die gesamte Cyberabwehr des Unternehmens betrachten können. Das SIEM überwacht Daten aus der gesamten Infrastruktur des Unternehmens und alarmiert die Sicherheitsteams, wenn es einen Angriff oder ein anderes Ereignis gibt, das Abhilfemaßnahmen erfordert.

Deshalb verwenden Security Operations Center (SOC)-Teams oft das SIEM als ihre Hauptkonsole. Das SIEM-Bedrohungs-Dashboard ist das erste, was man morgens öffnet"," sagt Jules Martin, Mimecast VP Business Development.

Viele Fachleute überprüfen dieses Dashboard im Laufe des Tages ständig, um die Integrität der Unternehmensverteidigung zu überwachen und auf Angriffe zu achten. Und die größte Quelle dieser Angriffe ist die E-Mail. Daher ist es wichtig, E-Mail-Sicherheitsdaten in das SIEM zu integrieren, um dessen Effektivität zu maximieren und die allgemeine Cyber-Resilienz des Unternehmens zu erhöhen. Sie können mehr über den Wert der Integration von E-Mail mit SIEM-Produkten und anderen Sicherheitstools erfahren, indem Sie sich für Mimecasts Cyber Resilience Summit anmelden, der vom 23. bis 24. Juni 2020 stattfindet.

E-Mail ist ein Frühwarnsystem für Cyber-Resilienz

E-Mail ist ein allgegenwärtiges und leistungsfähiges Tool für die Zusammenarbeit. Aber sie ist auch die Hauptquelle für Malware-Infektionen - in 90 % der Fälle ist sie der Einstiegspunkt für Malware. [1] Oftmals ist dieser erste Angriff, wenn er erfolgreich ist, nur ein Fußabdruck, wobei die erste Infektion zusätzliche Malware herunterlädt, um das Netzwerk weiter zu infiltrieren. E-Mail ist auch ein Kanal für Betrug, einschließlich Phishing- und Spoofing-Angriffe.

Die weite Verbreitung von E-Mail als Bedrohungsvektor kann jedoch auch ein Segen sein, denn die schiere Menge an Bedrohungen, die per E-Mail eingehen, macht sie zu einem hervorragenden Frühwarnsystem für Cyberangriffe. Die Integration von E-Mail-Sicherheitsdiensten in das SIEM bietet nahezu in Echtzeit Einblick in diese Cyberangriffe und trägt dazu bei, die Cyber-Resilienz zu erhöhen, d. h. die Fähigkeit, den Betrieb aufrechtzuerhalten, auch wenn Ihr Unternehmen ständig angegriffen wird. "Es bedarf nur eines erfolgreichen Angriffs, und der Ruf Ihres Unternehmens ist beschädigt, Ihre Firma verliert Geld, und die Benutzer wurden kompromittiert", sagt Martin. "Je schneller und besser Sie erkennen können, desto besser können Sie sich schützen und desto schneller können Sie reagieren. Das ist es, was eine integrierte Architektur bietet."

Wie E-Mail-Sicherheit und SIEM-Integration Hand in Hand arbeiten

Die SIEM-Integration liefert Informationen aus vielen Quellen in einer einzigen, umsetzbaren Konsole, so dass sich die Benutzer nicht bei mehreren Diensten anmelden müssen. Einige Unternehmen haben bis zu 75 separate Sicherheitslösungen - was es fast unmöglich machen kann, sie alle einzeln zu überwachen. Aus diesem Grund sind SIEM-Systeme besonders wichtig für Unternehmen mit komplexen IT-Umgebungen, wie z. B. einer Hybrid-Cloud, oder für Unternehmen, die in stark regulierten Branchen, wie z. B. Finanzdienstleistungen, tätig sind.

E-Mail-Sicherheitsdienste ergänzen das SIEM-System, indem sie Schutz vor Spam und Malware bieten und fortschrittlichere Bedrohungen wie Spear-Phishing-Nachrichten blockieren. SIEM-Systeme (wie Splunk, LogRhythm und IBM QRadar) integrieren und korrelieren auch Sicherheitsdaten von anderen Tools, wie Firewalls und Endpunktschutz. Das SIEM integriert diese Sicherheitsdaten, um Verhaltensanalysen, Protokollverwaltung, Netzwerk- und Endpunktüberwachung sowie Forensik zu ermöglichen.

Die SIEM-Integration bietet Betreibern einen Überblick über Sicherheitsereignisse und kann so die mittlere Reaktionszeit (MTTR) bei Bedrohungen verkürzen. Angreifer können über viele Vektoren versuchen, ein Unternehmen zu infiltrieren. So könnte ein Angreifer beispielsweise versuchen, über E-Mail und das Internet einzudringen, einen Angriff zur Ausweitung der Rechte durchzuführen und die Firewall zu durchbrechen - und das alles über dieselbe IP-Adresse. Durch die Nutzung der SIEM-Integration kann das Unternehmen diese IP-Adresse blockieren, wenn sie in einem E-Mail-Angriff auftaucht, und auch mehrere andere Vektoren schützen. Darüber hinaus können URLs, die in E-Mail-Nachrichten empfangen werden, auf eine schwarze Liste gesetzt werden, so dass andere Benutzer diese URLs nicht öffnen können, wenn sie über einen beliebigen Kanal auftauchen.

Die Kombination aus E-Mail-Schutz und SIEM-Integration ermöglicht es Unternehmen, auf der Grundlage präziser Sicherheitsinformationen Prioritäten bei der Reaktion zu setzen. Sie können alle Ihre Daten in der SIEM-Umgebung überprüfen, Trends erkennen und bestimmte Angriffsziele und Bedrohungsvarianten identifizieren. Das SIEM kann auch Informationen an Tools zur Sicherheitsautomatisierung und -orchestrierung (SOAR) weitergeben, mit denen sich wiederholende Aufgaben automatisiert werden können. Diese Tools können den Verwaltungsaufwand für überlastete Sicherheitsexperten verringern, so dass sie mehr Zeit für Aufgaben mit hoher Priorität aufwenden können.

Die Quintessenz

Eine SIEM-Integrationsstrategie, die E-Mail-Bedrohungsdaten nutzt, ist für den Aufbau von Cyber-Resilienz von entscheidender Bedeutung - sie hilft Unternehmen, ihren Betrieb aufrechtzuerhalten, Schulen, den Unterricht fortzusetzen, und Behörden, den Bürgern weiterhin Dienstleistungen anzubieten. Die Integration von E-Mail-Sicherheit in das SIEM stärkt den Perimeter, erkennt und sammelt Informationen, lokalisiert Schwachstellen schneller, ermöglicht eine schnelle, automatisierte Reaktion und sorgt dafür, dass Unternehmen auch bei Angriffen weiterarbeiten können.

[1] Verizon Data Breach Investigations Report