zurück zur Übersicht

Licht ins Dunkel bringen mit SIEM

Ein SIEM bringt Licht ins Dunkel des Log-DschungelsDer Begriff „Big Data“ ist seit Jahren eines der Schlagworte in der IT. So stand beispielsweise die CeBIT 2014 unter dem Motto „Datability: Die Fähigkeit, große Datenmengen in hoher Geschwindigkeit verantwortungsvoll und nachhaltig zu nutzen“. Im Bitkom-Branchenbarometer für das Jahr 2016 belegte der Begriff Platz vier hinter IT-Sicherheit, Cloud Computing und Industrie 4.0.

Ausnahmslos jeder Bereich, in dem IT zur Unterstützung von Geschäftsprozessen zum Einsatz kommt, hat steigende Datenmengen zu verzeichnen. Unternehmen müssen Strategien und eben auch Fähigkeiten entwickeln, die stetig größer werdende Menge an Daten verantwortungsvoll und nachhaltig zu nutzen. Sowohl die Erfassung und Speicherung als auch die Auswertung von Daten soll lückenlos nachvollziehbar und gespeicherte Daten nicht veränderbar sein. Es sollen nur diejenigen auf Daten zugreifen dürfen, die dies für ihre Arbeit können müssen. Kritische Aktionen sollen nachvollziehbar sein, um möglichst eines zu garantieren: Sicherheit.

Anforderungen an solch ein System, zu Aufbau, Betrieb und Kontrolle, sind in nationalen sowie internationalen Normen (z.B. IT-Grundschutzkatalog oder die Norm ISO 27001) definiert. Daneben sind viele Unternehmen durch interne Revisionen, branchenspezifische Auflagen oder im Rahmen von Zertifizierungen gefordert, aktiv zu werden. Gefragt sind Logmanagement-Lösungen, die große Datenmengen schnell und sicher verarbeiten und speichern können und genug Wachstumsreserven haben.

Das Sammeln und Speichern großer Datenmengen stellt dabei einerseits eine Herausforderung dar. Bevor erste Logquellen angebunden werden, muss klar sein, wohin die Reise gehen soll. Bei regulatorischen Standards wie z.B. PCI-DSS gibt es detaillierte Vorgaben, was geprüft und überwacht werden sollte. Darauf aufbauend müssen dann betroffene Systeme und notwendige Logdaten identifiziert werden. Nichts ist schlimmer, als unter einem Berg von Informationen die wirklich wichtigen Ereignisse nicht zu sehen. Ziel ist es, die Unternehmens-IT vor unbefugten, böswilligen Aktivitäten zu schützen – von außen wie intern, und dabei die Wirksamkeit getroffener Maßnahmen in puncto Sicherheit, Datenintegrität oder das Einhalten von Richtlinien nachweisen zu können.

Was leistet ein SIEM?

Konventionelle Methoden der Datenverarbeitung oder gar manuelle Auswertung reichen hier nicht mehr aus. Sie sind fehleranfällig und stoßen bei Anforderungen wie Echtzeit-Überwachung oder der Verarbeitung von Daten heterogener Systemlandschaften an ihre Grenzen. Der Firewall-Admin sieht seine Firewalls und der Datenbank-Admin sieht seine Datenbanken. Ob sich ein Cyberkrimineller über offene Standardports und unzureichend geschützte Webserver in der DMZ bis zur Datenbank vorgearbeitet hat und nun mittels SQL-Injection Kundendaten abzieht, kann keiner von beiden sagen. Hier kann ein Security Information & Event Management (SIEM) eine Lösung sein.

Ein SIEM verbindet Logmanagement mit Werkzeugen zur Analyse und Auswertung. Daneben können über Web-Oberflächen in Echtzeit Auswertungen zu verschiedensten Aspekten der überwachten Systeme angezeigt werden. Es können bestimmte Logdaten gesucht oder Reports erstellt werden. Unterstützt durch ein SIEM sind Security- und Compliance-Audits nur noch eine Sache von Stunden anstatt Tagen. Die Wirksamkeit von Überwachungsregeln kann durch Tests direkt nachgewiesen werden. Verstöße sind mit entsprechenden Abfragen und Reports schnell auf dem Schirm. Viele SIEM-Lösungen sind bei Auditoren bereits bekannt und anerkannt. Das erleichtert den Nachweis, dass Anforderungen, wie z.B. die Unveränderbarkeit von Logdaten, von einer konkreten Lösung erfüllt werden.

SIEM – Das Werkzeug für SOC und CERT

Auch für interne Einheiten der IT-Sicherheit stellt ein SIEM das zentrale Werkzeug dar. Ein Computer Emergency Response Team (CERT) nutzt es etwa bei der Analyse und forensischen Untersuchung von Vorfällen. Oder für das Security Operation Center (SOC), das 24×7 seine Augen auf dem internen Netz hat. Bei definierten Ereignissensind betroffene Systeme schnell ermittelt und Logdaten aus dem zeitlichen Kontext liefern wertvolle Informationen darüber, was zu einem Ereignis geführt hat.

Nehmen wir beispielsweise diesen Fall an: Das Intrusion Prevention System meldet ein auffälliges Verhaltensmuster, blockiert diese Kommunikation aber nicht und die Firewall lässt die folgende Kommunikation aufgrund einer Lücke im Regelwerk ebenfalls zu. Es stellt sich die brennende Frage: Welche Systeme sind von diesem potentiellen Vorfall betroffen und müssen genauer analysiert, ergänzt oder verbessert werden? Ein SIEM hilft bei der Klärung dieser Frage.

SIEM-Lösungen gibt es mittlerweile viele und große Anbieter von IT-Lösungen haben in den letzten Jahren in diesem Feld zugekauft, um ihr Portfolio zu erweitern und der steigenden Nachfrage nach kombiniertem Logmanagement und Werkzeugen zur Analyse und Auswertung von Logdaten zu begegnen.

Die richtigen Fragen stellen – mit Use Cases

So einfach, wie SIEM-Lösungen heute aufgebaut und in Betrieb genommen werden können, so schnell stellt sich die Frage: Was tun mit all den Daten? Wie sinnvoll Informationen daraus ziehen? Und vor allem, welche?

Wie bereits erwähnt, sollte klar sein, warum man sich eine SIEM-Lösung ins Haus geholt hat, bevor Logquelle um Logquelle angebunden wird. Zum einen besteht die Gefahr, interessante und wichtige Ereignisse zu übersehen. Zum anderen ist es leider nicht damit getan, Systeme mit dem SIEM zu verbinden damit sie Logdaten übermitteln.

Integraler Bestandteil eines SIEM-Konzeptes ist die Definition von Use Cases. Diese beschreiben zielgerichtet Ereignisse, die eine direkte Gefahr für die Handlungsfähigkeit eines Unternehmens darstellen können und durch das SIEM erkannt werden sollen.

Relativ einfach umzusetzen sind Use Cases, die die Infrastruktur betreffen. Hier kommen meist Standardprodukte an Firewalls, IPS oder Netzwerkkomponenten zum Einsatz, für die die meisten SIEM-Hersteller Schnittstellen zum Verarbeiten der Logdaten bereitstellen.

Entsprechende Use Cases sind beispielsweise:

  • Welche Systeme verursachen die meisten Verbindungsaufbauten oder sind Ziele?
  • Welche Systeme werden am häufigsten an der Firewall geblockt?
  • Gibt es intern Systeme die systematisch IP-Adressen oder offene Ports scannen?
  • Welche Signaturen meldet das Intrusion Prevention System?
  • Erfolgen Zugriffe auf kritische Systeme direkt oder von einem „Jump Server“?
  • Wo werden Standardnutzerkonten wie „root“ oder „admin“ zur Anmeldung verwendet?
  • Gibt es Kommunikation zwischen Systemen auf unsicheren Ports wie Telnet oder FTP?
  • Welche Nutzerkonten verursachen häufig fehlgeschlagene Anmeldeversuche?
  • Wird ein Nutzerkonto von mehreren Benutzern benutzt?

Doch diese Standard-Use-Cases decken bei Weitem nicht alle möglichen Angriffsszenarien ab. Nicht nur, dass sich Angriffsmuster und -vektoren ständig weiterentwickeln. Auch die Anforderungen verschiedener Branchen und Firmen unterscheiden sich fundamental. Die  iT-CUBE SYSTEMS AG  hat in den vergangenen Jahren dutzende SIEM-Projekte erfolgreich durchgeführt. Ob es um die Einführung einer auf Sie abgestimmten Lösung geht oder um die Erweiterung und Optimierung eines bestehenden Systems: Profitieren Sie von unseren umfangreichen Erfahrungen in der Konzeption, Implementierung und im Betrieb von SIEM-Lösungen und holen Sie das Maximum aus Ihrem SIEM. Sprechen Sie uns an, wir beraten Sie gern!


©FreeImages/Spotlight/Griszka Niewiadomski

Schreibe einen Kommentar