SIEM: Herausforderungen bei der Detektion von Bedrohungen in verschlüsseltem Datenverkehr

Da Unternehmen immer mehr mobile und IoT-Geräte einsetzen und zunehmend komplexe Cloud-Architekturen einführen, sind Daten und Workflows nicht mehr auf ein statisches und sicheres Netzwerksegment beschränkt. Zudem erhöht sich der Anteil des web- und anwendungsbasierten Datenverkehrs. Ein Großteil dieses Datenverkehrs enthält vertrauliche Daten. Um dieser Änderung Rechnung zu tragen, verlassen sich Unternehmen zunehmend auf Verschlüsselung, hauptsächlich Secure Sockets Layer (SSL) bzw. Transport Layer Security (TLS), um ihre Daten während der Übertragung zu schützen.

Verschlüsselung kommt jedoch nicht nur auf Seite der Verteidiger zum Einsatz. Cyberkriminelle nutzen aktiv Verschlüsselung, um die Sicherheitserkennung zu umgehen und so der Entdeckung zu entgehen. Gartner prognostizierte im Jahr 2017, dass mehr als 70 % der Malware-Kampagnen im Jahr 2020 irgendeine Art von Verschlüsselung verwenden würden, um Malware zu verbergen (vgl. Gartner). Das WatchGuard Threat Lab hat in einem Report aus Q2 2021 veröffentlicht, dass sogar 91,5% der Malware Verschlüsselung einsetzten (vgl. WatchGuard).

Verschlüsselung auf Seiten der Angreifer kommt dabei in verschiedenen Cyber Kill Chain Phasen (vgl. Lockheed Martin Cyber-Kill-Chain) zum Einsatz. So wird beispielsweise SSL/TLS-Verschlüsselung bei der Auslieferung von Malware verwendet, indem die Malware verschlüsselt und über einen genehmigten Port gesendet wird. In der Command and Control Phase wird Verschlüsselung ebenfalls zur Tarnung der Aktivitäten eingesetzt.

Die Analyse von verschlüsseltem Datenverkehr geht jedoch mit einigen Herausforderungen einher. Der offensichtlichste Ansatz, das Entschlüsseln des Datenverkehrs, steht in Teilen im Widerspruch mit Datenschutz- und Performanzanforderungen. Der Vortrag betrachtet alternative Ansätze zur Detektion von Bedrohungen in verschlüsseltem Datenverkehr anhand konkreter Beispiele.

Speaker

 

Nicolas  Bayer
Nicolas Bayer ist Lead Consultant im Bereich Information Security bei der ADVISORI FTC GmbH. Seine Tätigkeitsschwerpunkte liegen in der Planung und Implementierung von SIEM-Systemen, der Konzeptionierung und Implementierung von SIEM-Use-Cases, der Beratung bezüglich Informationssicherheit, der App- und Dashboardentwicklung unter Splunk sowie der Aufnahme und Prüfung von IT-Systemen und –Prozessen. Herr Bayer hat über 10 Jahre Erfahrung im IT-Consulting und IT-Audit im Finanzsektor. Herr Bayer ist u.a. Certified Detection Analyst (GCDA), GIAC Advisory Board Member, zertifizierter Elasticsearch Engineer und verfügt über Splunk Zertifizierungen.

Martin  Reinhardt
Martin Reinhardt ist Lead Consultant im Bereich Information Security bei der ADVISORI FTC GmbH. Seine Tätigkeitsschwerpunkte liegen in der Planung und Implementierung von SIEM-Systemen, der Konzeptionierung und Implementierung von SIEM-Use-Cases, der Beratung bezüglich Informationssicherheit, der App- und Dashboardentwicklung unter Splunk sowie der Aufnahme und Prüfung von IT-Systemen und –Prozessen. Zudem besitzt er weitreichende Kenntnisse zu den Funktionen einer Bank und verfügt über ca. 15 Jahre Berufserfahrung im Finanzbereich. Herr Reinhardt ist u.a. Certified Detection Analyst (GCDA) und zertifizierter Splunk Architect.


Gold-Sponsoren

Advisori protiviti audicon

Silber-Sponsoren

ibs Schreiber
versio.io
Dynatrace

Medienpartner

IT-Governance



IT-GRC-Kongress Newsletter

Sie möchten über den IT-GRC-Kongress
auf dem Laufenden gehalten werden?

 

Anmelden