Anzeige: Road-Warriors mit SIEM/UEBA in den Griff bekommen

Was ISO, DSGVO, PCI, SOX, HIPAA sowie MITRE ATT&CK mit SIEM/UEBA zu tun hat

28. September 2020, 11:00 Uhr   |  Wolfgang Rieger, Senior Business Development bei Tech Data

Was ISO, DSGVO, PCI, SOX, HIPAA sowie MITRE ATT&CK mit SIEM/UEBA zu tun hat
© Wolfgang Traub

Traditionelle Security-Lösungen zielen auf den Schutz der Außengrenzen des eigenen Netzwerks, des Perimeter. Dieser ist jedoch nicht beliebig erweiterbar. Um die steigende Zahl der sogenannten Road Warrior, Remote und Home-Office-Worker die mobil oder an häufig wechselnden Orten arbeiten, schützen zu können, braucht es Technologien, die unabhängig vom Perimeter funktionieren. Eine abgestimmte Kombination aus Verhaltensanalysen und Ereignisüberwachung/-management zeigt hier hervorragende Ergebnisse, bietet dazu ISO-, DSGVO-, PCI-, SOX- und HIPAA-konforme Reports und stärkt außerdem die generelle Verteidigungsfähigkeit.

Der Versuch, den Perimeterschutz auf alle modernen Arbeitsmodelle ausdehnen zu wollen, gerät für Unternehmen schnell zur Sisyphus-Aufgabe. Bei einer überschaubaren Zahl von Heimarbeitsplätzen mag das noch einigermaßen funktionieren. Werden es jedoch immer mehr, ufert das Management der dafür genutzten VPN-Verbindungen aus und wird unrentabel. Mitarbeiter, die primär mobil und/oder an wechselnden Einsatzorten unterwegs sind, lassen sich jedoch auch bei größter Mühe nicht in ein Perimeter-basiertes Security-Konzept einbinden. Aus Sicht des Unternehmens gibt es keine Möglichkeit, Road Warrior zu schützen – wohl aber, sie zu bewachen.

Dazu passend: Live-Demo mit Experten-Runde

Wie sich solch eine Obhut praktisch umsetzen lässt, quält derzeit viele Unternehmen, sollen sich doch laut einschlägigen Studien wie dem „Future Workforce Report 2019“ von Upwork bis 2028 in 73 Prozent aller Unternehmensabteilungen auch remote Arbeitsplätze befinden. Die Herausforderung ist also gewaltig. Versuche, noch mehr Virenscanner und ähnliche Tools auf den Endpoints zu installieren, erweisen sich in der Praxis als kontraproduktiv und letzten Endes wirkungslos. Auch noch mehr und noch bessere Firewalls bringen nichts – sie erfassen nur den zentral organisierten Verkehr.

SIEM und UEBA – die beiden „Hände des Wachpostens“

Die erste Komponente für eine solide Bewachung ist das Security Incident and Event Management (SIEM). Auf Basis eines gelernten Normalbetriebs erkennen entsprechende Tools, wenn ungewöhnliche Aktivitäten im Datenverkehr stattfinden und machen Meldung. Wenn also beispielsweise von einem Office 365-Account, der normalerweise eher moderaten Datenverkehr produziert, plötzlich zig GByte am Daten abgerufen werden, wird das SIEM dort genauer hinsehen.

Eine noch genauere Analyse liefert die zweite Komponente, die User Behavior Analytics (UBA) oder User and Entity Behavior Analytics (UEBA). Laut Gartner handelt es sich dabei um eine spezielle Art der Sicherheitsanalytik, deren Fokus auf das Verhalten von Systemen und Menschen ausgerichtet ist, die sie nutzen. Entsprechende Tools arbeiten heute vermehrt mit Technologien wie maschinellem Lernen (ML) und Deep Learning (DL), um abnormales und riskantes Verhalten von Benutzern, Gruppen, Maschinen und anderen Entitäten in einem Unternehmensnetzwerk zu erkennen. Da sie nicht nur die vordefinierten Korrelationsregeln oder Angriffsmuster verwenden, sondern selbst logische Relationen herstellen und gleichzeitig mehrere Organisationssysteme und Datenquellen einbeziehen, können UEBA-Lösungen Sicherheitsvorfälle finden, die herkömmliche Tools nicht erkennen, oder auch Entwarnung geben, wo ein SIEM-System allein eine Meldung generieren würde.

Gehört der zuvor im SIEM auffällig gewordene Nutzer beispielsweise zu einer Gruppe „Business Development“, wird UEBA auch die anderen Mitglieder dieser Gruppe inspizieren. Findet es dort ähnliche Aktivitäten, wird es den Fall als „normal“ einstufen – eine (Falsch-Positiv-)Meldung an den Operator erfolgt nicht. Läuft dort aber nichts der Gleichen, sendet UEBA einen Alarm. Das ist nur ein einfaches Beispiel – tatsächlich bezieht das UEBA noch zahlreiche weitere Faktoren in seine Bewertung mit ein, um sein „Urteil“ möglichst hoch abzusichern.

SIEM/UEBA muss günstig und klar kalkulierbar sein

Einer der wesentlichen Punkte, die Unternehmen bislang vom umfangreicheren Einsatz von SIEM/UEBA-Tools abgeschreckt hat, waren die kaum kalkulierbaren und unter dem Strich leicht ausufernden Kosten. So sind beispielsweise Anbieter unterwegs, die ihre Preise nach täglichem Log-Volumen (in GByte), oder Ereignissen pro Sekunde (Events per Second, EPS) berechnen. Auf diese Kenngrößen hat das Unternehmen zumindest bei den Clients – und um die geht es bei den Road Worriern und Remote Workern – jedoch keinen Einfluss. Wenn dann dafür aber die gleichen Preise gelten wie bei dem Log-Volumen von Servern und Firewalls, wird die Kalkulation der Clients schnell zum undurchsichtigen, riskanten und teuren Ratespiel. Häufige Praxis in Unternehmen: Clients werden nicht mit einbezogen – die Road Worrier bleiben auf sich und die wenig erfolgreichen Virenscanner gestellt und werden nicht weiter bewacht.

LogPoint lizensiert im SIEM nach Nodes, also Geräten  – unterteilt nach „Full Nodes“ (Firewall, Server) und „Light Nodes“ (Clients) – und bei UEBA nach Entität (User + PC = 2 Lizenzen). „Light Nodes“ kosten lediglich ein Zehntel eines Full Nodes. Für die Nodes gibt es außerdem eine Preisstaffelung nach Menge. Das Entscheidende dabei: SIEM/UEBA wird erschwinglich und genau kalkulierbar. Die Zahl der Systeme lässt sich sehr einfach ermitteln, im Idealfall durch Abfrage bei der Inventarisierungslösung. Auch beispielsweise bei Firmenübernahmen brauchen Unternehmen auf dieser Basis nicht mehr rätseln, was auf sie zu kommt –die Zahl der neuen Devices ist schnell eruiert.

ISO-, DSGVO-, PCI- und HIPAA-Reports auf Knopfdruck

SIEM dient dazu, dem Management eines Unternehmens ein stets aktuelles, genaues und übersichtliches Bild der Sicherheitslage im Betrieb zu vermitteln. Entsprechende Reports, die alle relevanten Punkte listen und mit grünem oder rotem Häkchen versehen, kommen üblicherweise allein aus dem SIEM. Soweit so mittelmäßig, denn in Kombination mit UEBA geht da noch wesentlich mehr: So ist LogPoint in der Lage, die gebündelten Informationen direkt in Form von ISO-, DSGVO-, PCI-, SOX- oder HIPAA-konformen Berichten auszugeben, welche auch den Ansprüchen offizieller Auditoren genügen. Eine Reihe von Reports sind bereits aus den vom System automatisch erfassten Informationen abrufbar, andere sind über Importfunktionen aus Standard-Software integrierbar. Damit lassen sich Themen wie User- und Asset-Management, Zugriffskontrolle, Risk Assessment, Policy-Änderungen und vieles mehr sehr einfach adressieren. Ebenso können Datenströme nach IP-Geo-Location aufgeteilt und grafisch dargestellt werden. Verdächtige Datenflüsse in Länder, mit denen das Unternehmen keine Geschäftsbeziehung unterhält, sind sehr schnell erkennbar.

Diese Funktionalität bringt dem Management einige großartige Vorteile: Zum einen gewinnt es ein erhöhtes Maß an Betriebssicherheit, zum anderen eine deutliche Entlastung der IT-Mannschaft. Denn im Falle eines Auditor-Besuchs – und die kommen nun einmal regelmäßig in die Unternehmen und wollen oft bis zu kleinsten Details alles über die IT wissen – herrscht in der Regel tagelanges hektisches Treiben, bis alle Informationen beigebracht sind. Bei LogPoint genügt im Grunde ein Knopfdruck. Und die Manager bekommen in den Reports nicht nur einen grünen Haken für die SIEM-Angelegenheiten, sondern zusätzlich für alle anderen Compliance-relevanten Reports.

Aber damit nicht genug: Durch eine entsprechend feine Einstellung und Abstimmung zwischen SIEM und UEBA lassen sich mit der LogPoint-Lösung auch Security-Anforderungen über das gesamte Unternehmen hinweg ISO-/DSGVO-gerecht umsetzen. Exfiltrationsversuche von Daten beispielsweise, mit welchen Cyber-Angreifer selbst bei sehr großen und populären Unternehmen immer wieder erfolgreich sind und die obendrauf noch empfindliche Strafen für das betroffene Unternehmen nach sich ziehen, werden zuverlässig vermieden – Nachweispflicht gegenüber den Behörden inklusive.

Für einen bestmöglich abgestimmten Betrieb ist eine ISO- beziehungsweise BSI-konforme (Bundesamt für Sicherheit in der Informationstechnik) Installation der Lösung sehr empfehlenswert. Aus diesem Grund unterstützt Tech Data seine Partner mit ISO-/BSI-Empfehlungen, die im Web-Portal des Value Added Distributors laufend aktualisiert werden. So hat der Kunde die Sicherheit, dass seine SIEM/UEBA-Lösung gemäß den höchsten Standards eingerichtet ist.

Extra-Sicherheit durch MITRE ATT&CK-Integration

IT-Sicherheit ist ein schwieriges Dauerthema in Unternehmen – und funktioniert letztlich auch nur, wenn es als Prozess aufgesetzt ist. Dazu gehört auch, Angreifer immer möglichst schnell zu erkennen. Das Problem: Die Cyber-Kriminellen hinterlassen keine „Fingerabdrücke“, ein Aufspüren ist nur über aufwändige Analysen von Code- und Angriffsmuster möglich. Bei den Angriffsmustern können beispielsweise Art, Kombination und Reihenfolge der Angriffswerkzeuge Rückschlüsse auf die Quelle eines Angriffs geben – vorausgesetzt, man verfügt über das entsprechende Spezial-Know-how. Tatsächlich gibt es sogar in professionellen Security Operation Center (SOC) kaum Analysten, die das wirklich beherrschen. Unternehmen sind in punkto Sicherheit oft hoffnungslos überfordert – meist wissen die Angreifer viel genauer, welches die wirklichen Datenschätze eines Unternehmens sind und wo diese liegen.

Vor diesem Hintergrund greift die MITRE ATT&CK-Unterstützung (Adversarial Tactics, Techniques & Common Knowledge), die LogPoint bietet. MITRE ATT&CK ist eine weltweit zugängliche Wissensbasis für Angriffstaktiken und -techniken, die auf Beobachtungen aus der realen Welt basieren. Die ATT&CK-Wissensbasis wird als Grundlage für die Entwicklung spezifischer Bedrohungsmodelle und -methoden im privaten Sektor, in der Regierung und in der Produkt- und Dienstleistungsgemeinschaft für Cybersicherheit verwendet. ATT&CK ist offen und steht jeder Person oder Organisation zur kostenlosen Nutzung zur Verfügung.

LogPoint bringt nun die Alarme und Ereignismeldungen des eigenen Systems mit den im MITRE-Framework beschriebenen Angriffsmethoden und -techniken in Beziehung. Security-Analysten erhalten so eine direkte Zuordnung und sparen sich zeitraubende eigene Analysetätigkeiten. Der Umfang dieses Mappings wird kontinuierlich erweitert.

LogPoint SIEM/UEBA ist also weit mehr als eine kostengünstige Lösung für die Sicherheit inner- und außerhalb des Perimeters. Sie liefert auf Knopfdruck Standard-SIEM-Reports, ebenso wie in Kombination mit UEBA ISO-, DSGVO-, PCI-, SOX- und HIPAA-konforme Reports, spürt durch MITRE ATT&CK-Integration Angreifer schneller auf und entlastet das SOC und den IT-Betrieb.Unternehmen wollen Compliance, brauchen aber beides – Compliance und Security. Unterstützt durch eine ISO-/BSI-konforme Installation bietet LogPoint SIEM/UEBA genau das und schafft so Freiräume für Security-Analysten und IT-Betrieb.

Wolfgang Rieger, Senior Budiness Development bei Tech Data.
© Tech Data

Wolfgang Rieger, Senior Business Development bei Tech Data.

Security-Lösungsansatz für Tech Data Partner

Tech Data bietet Vertriebspartnern in D/A/CH einen einzigartigen Ansatz, um entsprechend der jeweiligen Sicherheits-Bedrohungslage effizient und allumfänglich reagieren zu können. Vertriebspartnern bietet sich damit ein deutlicher Mehrwert für die konzeptionelle Gestaltung von Security Solutions für ihre Kunden.

Mit BSI IT-Grundschutz und ISO 27001 gibt es einen etablierten, national und international anerkannten Werkzeugkasten für den Aufbau einer nachhaltigen IT-Security. Im Fokus stehen umfangreiche technische und organisatorische Maßnahmen. Das innovative Security-Vertriebstool von Tech Data schließt die Lücke und bietet konkrete Produkt- und Lösungsempfehlungen, mit denen sich die Sicherheitsmaßnahmen umsetzen lassen. https://marketing-de.techdata.com/blog/tdsr/

Nähere Informationen finden Sie unter www.techdata.com und de.techdata.com oder im Blog unter http://de.techdata.com/blog.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

Tech Data GmbH & Co. OHG

Datensicherung

Cloud-Sicherheit