Customizing von SIEM-Systemen
Wohldosierte Sicherheitswarnungen
Angesichts einer steigenden Frequenz, Qualität und Dauer von Angriffen auf IT-Umgebungen gelten heute SIEM-Systeme (Security-Information- und Event-Management) als Stand der Technik. Doch um Alarmfluten ebenso wie eine Überlastung des SIEM-Systems zu vermeiden, ist ein Customizing im Hinblick auf den Umfang der gewonnenen Sicherheitsinformationen (Security Intelligence) erforderlich.
Die Ergebnisse der jüngsten Ponemon-Studie waren gute Nachrichten für Angreifer: 79 Prozent der befragten Sicherheitsverantwortlichen deutscher Unternehmen sind nach eigenen Worten nicht auf einen IT-Sicherheitsvorfall vorbereitet. Nur 21 Prozent haben die erforderliche Technik, um auf einen Angriff zu reagieren - Ergebnisse, die jeden Geschäftsführer aufhorchen und dazu motivieren sollten, diese beiden Aspekte im eigenen Unternehmen kritisch zu hinterfragen: Wie steht es um die Reife unseres IT-Sicherheitskonzepts? Beinhaltet es sowohl Prävention als auch die verlässliche Erkennung von Ereignissen und die Abwehr laufender Angriffe? Verfügen wir über die notwendigen Werkzeuge? Wie schnell können wir reagieren? Für eine effektive Schadensbegrenzung zählt gewissermaßen jede Minute, gezieltes Handeln ist das A und O.
Dieses setzt allerdings voraus, dass das Unternehmen darüber informiert ist, was in seinem Netzwerk gerade geschieht. Mit einem verlässlichen Log-Management, das den Netzwerkverkehr protokolliert, kann es im Falle einer Anomalie oder eines Angriffs die gespeicherten Informationen treffsicher analysieren. Mit dem entsprechenden Know-how lassen sich Schwachstellen identifizieren und Ereignisse forensisch rekonstruieren. Allerdings nimmt dieser Prozess mitunter viel Zeit in Anspruch. Deshalb er ist während eines akuten Sicherheitsvorfalls keine Hilfe.
Die Einführung eines SIEM-Systems ist ein wirksames Mittel, um Angriffe zu identifizieren und abzuwehren. SIEM vereint Präventiv- und Abwehrmaßnahmen mit den Vorteilen eines Log-Managements, das die Log-Meldungen aller angebundenen Komponenten zentral sammelt und auswertet. Im Mittelpunkt eines solchen Systems stehen die für das Unternehmen und dessen Zielerreichung wichtigen Informationen und alle dafür notwendigen Systeme. Dazu zählen primär Komponenten aus den Bereichen Netzwerk, Betriebssysteme, Middleware und Applikationen.
Moderne SIEM-Lösungen ermöglichen die Korrelation von Log-Meldungen unterschiedlicher Systeme. Dies dient dem Zweck, bekannte Angriffsmuster wie auch Abweichungen von der Norm, die auf einen Angriff hindeuten, fast in Echtzeit zu erkennen, sodass ein Unternehmen umgehend Gegenmaßnahmen einleiten kann.
Technik, Prozesse und Verantwortlichkeiten
Die Mehrzahl der Unternehmen hat die Vorteile eines SIEM-Systems erkannt. Die Praxis zeigt allerdings, dass Unternehmen trotz hoher finanzieller und personeller Investitionen gewonnene Informationen nicht immer nutzen können. Dies ist oft weniger dem System geschuldet, sondern auf Mängel in Strategie und Implementierung zurückzuführen.
Ziel sollte es sein, nicht nur eine technische Lösung einzuführen, die ein Monitoring des Netzwerkverkehrs ermöglicht, sondern eine systematische Security-Intelligence-Strategie aufzusetzen, die Technik, Prozesse und Verantwortlichkeiten im Zusammenspiel definiert.
Ein Erfolgsfaktor ist, dass das Unternehmen seine Ziele definiert - und erst dann das SIEM-Tool auswählt. Wesentlich ist außerdem, mögliche Bedrohungsszenarien zu entwickeln, da diese die Auswahl der erforderlichen SIEM-Bausteine erheblich beeinflusst.
Typische Szenarien sind unter anderem Brute-Force-Angriffe, das Erkennen von Kommunikation mit potenziell schadcodebehafteten Zielen, Angriffe von Innentätern, verdächtiger Netzwerkverkehr oder unerwartete Ereignisse. Entscheidend ist, das SIEM-System gemäß den entwickelten Bedrohungsszenarien zu konfigurieren, denn nur so lassen sich aussagekräftige Informationen gewinnen.
Als sinnvoll erwiesen hat sich die Kombination einer SIEM- mit einer GRC-Lösung (Governance, Risk, and Compliance). Dadurch kann eine IT-Organisation die für das Unternehmen kritischen Systeme schneller an das SIEM anschließen und konsequenter überwachen. Das SIEM-System nutzt die GRC-Informationen zur Priorisierung von Bedrohungen. Das GRC-Tool wiederum liefert Management und IT-Verantwortlichen über SIEM-Reports wichtige Informationen zum IT-Sicherheitszustand des Unternehmens und eine relevante Entscheidungsgrundlage zur aktiven Steuerung von Risiken.
Fehlalarme vermeiden
Um das Entstehen unnützer Datenmassen zu vermeiden, gilt es, wichtige von unwichtigen Systemen sowie kritische von unkritischen Zonen innerhalb des Unternehmens zu unterscheiden und das SIEM punktgenau zu platzieren. Auch das Customizing des SIEM-Systems spielt eine entscheidende Rolle. Denn bei der Einführung übernimmt ein Unternehmen erfahrungsgemäß zunächst die Herstellerregeln oder die Vollkonfiguration. Dies kann dazu führen, dass das System Fehlalarme produziert. Im Idealfall ist das serienmäßige Regelwerk zu Beginn komplett abgeschaltet, wird sukzessive aktiviert und an die Gegebenheiten angepasst. Ansonsten zehrt ein hohes Grundrauschen am Vertrauen in die Performance und Zuverlässigkeit der Lösung - gleich von Beginn an.
Die passgenaue Konfiguration der Logquellen ist ebenfalls sehr wichtig. Ist das Loglevel zu niedrig, läuft das Unternehmen Gefahr, den entscheidenden IT-Sicherheitsvorfall nicht wahrzunehmen. Bei einem zu hohen Loglevel und falscher Skalierung der Infrastruktur kommen Ereignisse, die das SIEM-System in Echtzeit erzeugt hat, erst deutlich später, wenn nicht zu spät an. Die Daten bleiben im Flaschenhals der vorhandenen Infrastruktur stecken, weil die Ressourcen nicht ausreichen. Bei der SIEM-Einführung sind die erforderlichen Kapazitäten deshalb unbedingt mitzubedenken. Ein hohes Loglevel hat in der Regel einen höheren Bedarf an Ressourcen, erzeugt mehr CPU-Last und benötigt mehr Speicherkapazität und Netzwerkbandbreite.
Der Ponemon-Studie zufolge ist es schwierig, einen hohen Grad an IT-Sicherheit zu erreichen, wenn keine eindeutigen Prozesse und Verantwortlichen definiert sind: Nur 20 Prozent der Befragten gaben an, dass der Geschäftsbereichsleiter dafür verantwortlich ist, die Widerstandsfähigkeit ihrer Organisation gegenüber Cyberbedrohungen zu stärken, gefolgt von 13 Prozent, die angaben, dass der IT-Leiter (CIO) verantwortlich ist. Andere sagten, dass die Verantwortung nicht bei einer einzigen Person liegt.
Effektive Datenauswertung
Mit Blick auf eine erfolgreiche Security Intelligence ist es sehr wichtig, dass Prozesse und Verantwortlichkeiten genau definiert sind und dass das Unternehmen seine eigene IT-Landschaft wie auch die vorhandenen Ressourcen nicht nur genau kennt, sondern auch beherrscht. Diese Tatsache gilt auch für die Verwertung der gelieferten Informationen. Dafür benötigt das Unternehmen Spezialisten, die die Kritikalität analysieren und qualifizieren können. Fehlt hierfür das Know-how im eigenen Haus, ist der Rückgriff auf externe Expertise sinnvoll.
Für den Angriffsfall sollte die Organisation Eskalationsstufen und Schnittstellen zu allen relevanten Abteilungen wie etwa den Fachbereichen im Unternehmen definiert haben. Um die Gerichtsverwertbarkeit eines IT-Sicherheitsvorfalls zu gewährleisten, muss auch ein unmittelbarer Zugang zur Rechtsabteilung möglich sein.
Den gläsernen Mitarbeiter verhindern
Wichtige Stakeholder bei der Einführung einer Security-Intelligence-Strategie sind Datenschutzbeauftragter und Betriebsrat. Denn je nach Konfiguration erlaubt das SIEM-System auch eine weitgehend lückenlose Protokollierung des Verhaltens von Mitarbeitern. Dies steht im Widerspruch zum Anspruch auf Wahrung der informationellen Grundrechte des Mitarbeiters. Log-Management-Richtlinien, die dem Prinzip der Datensparsamkeit und Datenvermeidung aus dem Bundesdatenschutzgesetz (BDSG) entsprechen, helfen gemeinsam mit weiteren technischen und organisatorischen Maßnahmen, den gläsernen Mitarbeiter zu verhindern.
Fazit: Security Intelligence ist zwingend notwendig
Die SIEM-Einführung ist ein komplexer Prozess, der Organisationen einiges an Vorbereitung abverlangt, wenn das System erfolgreich und nachhaltig arbeiten soll. Dennoch lohnt sich der Aufwand, weil die Vorteile klar überwiegen. Mehr noch: Ohne Security Intelligence bietet das Unternehmen unter Umständen offene Flanken, die seine Sicherheit und Zukunftsfähigkeit ernsthaft gefährden können.
Lesen Sie mehr zum Thema
