Das neue Control „Monitoring activities“ zählt zu den „Technological controls“ der ISO/IEC 27002:2022. Wird das Control wie beschrieben umgesetzt, werden Netze, Systeme und Anwendungen auf anormales Verhalten überwacht und potentielle Informationssicherheitsvorfälle können erkannt werden.
Welche Parameter sollten überwacht werden?
Laut Vorgabe der ISO/IEC 27002:2022 sollten die folgenden Punkte in die Überwachung und Protokollierung einbezogen werden:
- ausgehender und eingehender Netz-, System- und Anwendungsverkehr
- Zugriff auf Server, Netzwerktechnik, Überwachungssysteme, kritische Anwendungen etc.
- Änderungen an System- und Netzkonfigurationsdateien auf kritischer oder administrativer Ebene
- Protokolle von Sicherheitstools, z. B. Antivirus, Intrusion Detection System (IDS), Intrusion Prevention System (IPS), Webfilter, Firewalls, Data Leakage Prevention
- Ereignisprotokolle in Bezug auf System- und Netzwerkaktivitäten
- Überprüfung, ob der auszuführende Code berechtigt ist, im System zu laufen, und ob er nicht manipuliert wurde
- die Nutzung von Ressourcen und deren Auslastung, z. B. CPU, Festplatten, Speicher, Bandbreite etc.
Anormales Verhalten
Des Weiteren werden in der ISO/IEC 27002:2022 folgende anormale Verhaltensweisen genannt welche vom Überwachungstool erkannt werden sollten:
- ungeplantes Beenden von Prozessen oder Anwendungen
- Aktivitäten, die typischerweise mit Malware oder auffälligem Datenverkehr in Verbindung gebracht werden, der von bekannten bösartigen IP-Adressen oder Netzwerkdomänen ausgeht
- bekannte Angriffsmerkmale, z. B. Denial-of-Service (DoS)
- ungewöhnliches Systemverhalten, z. B. Protokollierung von Tastatureingaben und Abweichungen bei der Verwendung von Standardprotokollen
- Engpässe und Überlastungen, z. B. Netzwerkwarteschlangen, Latenzzeiten und Netzwerk-Jitter)
- unbefugter Zugriff (tatsächlich oder versucht) auf Systeme oder Informationen
- unbefugtes Scannen von Geschäftsanwendungen, Systemen und Netzen
- erfolgreiche und erfolglose Versuche, auf geschützte Ressourcen zuzugreifen, z. B. DNS-Server, Webportale und Dateisysteme
- ungewöhnliches Benutzer- und Systemverhalten im Verhältnis zum erwarteten Verhalten
Konfiguration des Überwachungstools
Um eine Vielzahl an unerwünschten Meldungen durch zu feingranulare Einstellungen zu vermeiden, sollte die Organisation eine Basis für normales Verhalten festgelegen. Bei der Festlegung ist es sinnvoll, die Auslastung der Systeme zu normalen Zeiten und zu Spitzenzeiten sowie die übliche Zeit des Zugriffs, den Ort des Zugriffs, die Häufigkeit des Zugriffs für jeden Benutzer oder jede Benutzergruppe zu berücksichtigen. Anhand dieser vordefinierten Schwellwerte kann das Überwachungssystem konfiguriert werden.
Die Überwachung sollte durchgehend und wenn möglich in Echtzeit erfolgen. Das zu verwendende Überwachungstool sollte dabei große Datenmengen verarbeiten können, Benachrichtigungen in Echtzeit liefern und sich an ständig verändernde Bedrohungen durch schnelle Updates anpassen können.
Reagieren und Handeln
Neben einer guten Software ist es wichtig, dass das Personal, welches für das „Incident Response Management“ zuständig ist, auf Warnungen reagieren kann und entsprechend geschult ist, um potenzielle Vorfälle richtig zu interpretieren. Die Systeme und Prozesse sollten redundant sein, um Warnmeldungen stetig zu empfangen und möglichst schnell darauf reagieren zu können. Bei fehlendem Know-How sollten Dienstleister für das „Incident Response Management“ hinzugezogen werden.
Es ist wichtig den Verantwortlichen ungewöhnliche Ereignisse mitzuteilen, um die kontinuierliche Verbesserung im Bereich der Bewertung und Entscheidung über Informationssicherheitsereignisse und -vorfälle voranzutreiben. Es sollten Prozesse etabliert sein, um auf positive Hinweise des Überwachungssystems rechtzeitig zu reagieren, um die Auswirkungen negativer Ereignisse auf die Informationssicherheit zu minimieren. Fehlalarme sollten dazu genutzt werden das Überwachungstool besser zu justieren, um fortan die Anzahl der falschen Alarme zu verringern.
Weitere Verbesserungsmöglichkeiten
Die Sicherheitsüberwachung eines Unternehmens kann außerdem noch weiter verbessert werden. Die ISO/IEC 27002:2022 verweist unter anderem auf Control „5.7 Threat intelligence“ (wir berichteten) sowie die Durchführung einer Reihe von technischen Sicherheitsbewertungen wie Schwachstellenbewertungen, Penetrationstests, Simulationen von Cyberangriffen und Cyber-Response-Übungen. Die Verwendung der Ergebnisse dieser Bewertungen kann zur weiterführenden Steigerung der Informationssicherheit führen.