Cybersecurity Information
Cybersecurity-Grundbegriffe erklärt: Was ENISA macht und wie SIEM, IDS und IPS Angriffe auf Deine Netzwerke und Server erkennen und aktiv abwehren.
Organisationen
ENISA
Die Agentur der Europäischen Union für Cybersicherheit, ENISA, hat die Aufgabe, zu einem hohen gemeinsamen Maß an Cybersicherheit in ganz Europa beizutragen.
Die ENISA trägt zur Cyberpolitik der EU bei, erhöht die Vertrauenswürdigkeit von IKT-Produkten, -Dienstleistungen und -Prozessen durch Zertifizierungssysteme für Cybersicherheit, arbeitet mit den Mitgliedstaaten und EU-Einrichtungen zusammen und hilft Europa, sich auf die Cyberherausforderungen von morgen vorzubereiten.
Bevor Du Dich mit den großen Organisationen beschäftigst, hilft es, die eigene IT-Sicherheit zu bewerten und so den Reifegrad Deiner Umgebung einzuschätzen.
Abkürzungen
Security Information And Event Management (SIEM)
SIEM-Technologie (Security Information and Event Management) unterstützt die Erkennung von Bedrohungen, die Einhaltung von Vorschriften und die Verwaltung von Sicherheitsvorfällen durch die Erfassung und Analyse (sowohl in Echtzeit als auch in der Vergangenheit) von Sicherheitsereignissen sowie einer Vielzahl anderer Ereignis- und Kontextdatenquellen. Zu den Kernfunktionen gehören eine umfassende Erfassung und Verwaltung von Protokollereignissen, die Möglichkeit, Protokollereignisse und andere Daten aus unterschiedlichen Quellen zu analysieren, sowie operative Funktionen (z. B. Ereignisverwaltung, Dashboards und Berichterstattung).
Typische Quellen für das SIEM sind Firewalls, Server, Router, IDS, IPS und Anwendungen. Gerade bei Servern lohnt es sich, vorab den SSH-Server abzusichern, damit das SIEM weniger Fehlversuche melden muss. Das SIEM sorgt für die Zentralisierung, die Normalisierung und die Strukturierung aller gesammelten Daten. Durch die Korrelation der Datensätze ist es beispielsweise möglich, Einbruchsversuche durch fehlerhafte Anmeldeversuche und/oder unerlaubte Zugriffe der Firewall zu erkennen.
Intrusion Detection System (IDS)
Ein IDS System erkennt Angriffe auf Computersysteme oder Rechnernetze. Das IDS kann eine Firewall ergänzen oder auch direkt auf der Firewall (oder dem zu überwachenden Computersystem) laufen und so die Sicherheit von Netzwerken und Computersystemen erhöhen. Um die Angriffsfläche selbst zu prüfen, kannst Du Deine Netzwerke mit nmap scannen und offene Ports aufspüren.
Angriffe werden geloggt und der Administrator wird darüber informiert.
Intrusion Prevention System (IPS)
Im Gegensatz zum IDS greift das IPS aktiv ein und kann dadurch (e.g. verwerfen von Paketen) Angriffe aktiv verhindern.
Ergänzend zu diesen Netzwerkmaßnahmen solltest Du auch die einzelnen Hosts im Blick behalten und etwa regelmäßig unter Ubuntu Viren scannen.
Mehr aus „Security & Datenschutz"
ChatGPT für CISOs
ChatGPT für CISOs: So nutzt Du das LLM im ISMS für Richtlinien, Risikoanalysen und NIS2-Umsetzung, inkl. praxiserprobter Prompts und ISO27001-Workflow.
WeiterlesenTools für ein technisches Security Audit
Tools für ein technisches Security Audit: Netzwerk-Sniffer, Vulnerability-Scanner, Pentest-Werkzeuge und Methodologien zum Aufdecken von Schwachstellen.
WeiterlesenCyberSecurity Assessment
CyberSecurity Assessment mit NIST SP 800-53 Rev. 5: Sicherheits- und Datenschutzkontrollen als Referenz, um die eigene IT-Sicherheit zu bewerten.
WeiterlesenÜber diesen Blog
Ein Sammelsurium an Denkanstößen.
Hier sammle ich Wissen, Argumente und Links zu allem, was mich beschäftigt — von Technik über Küche bis Nachhaltigkeit. Beruflich berate ich zu Cybersecurity.