27
10/2016 ·
MIDRANGE
MAGAZIN
genmaßnahmen einleiten. Die zentrale
Sammlung von Log-Meldungen erleich-
tert im Nachhinein auch die forensi-
sche Rekonstruktion der Ereignisse.
SIEM-Systeme haben leider nicht
mehr den besten Ruf, seitdem Unter-
nehmen viel Zeit und Geld in die Im-
plementierung investiert und statt
weiterführenden Erkenntnissen über
ihre Sicherheitslücken lediglich große
Datengräber erzeugt haben, ohne einen
Nutzen daraus ziehen zu können. Aller-
dings wird man SIEM-Systemen nicht
damit gerecht, sie pauschal zu verwer-
fen, haben sie angesichts sich schnell
wandelnder Angriffe heute mehr denn
je ihre Berechtigung. Notwendig ist je-
doch ein ganzheitlicher Ansatz einer
über die komplette IT-Infrastruktur im-
plementierten Realtime Security Intel-
ligence: Mit der Überwachung von Sys-
temen und Netzen sowie der Auswer-
tung der gesammelten Informationen
in Echtzeit erhält das Unternehmen
fundiertes Wissen über Sicherheits-
ereignisse in seinem Netzwerk – ein
unerlässlicher Sicherheitsgewinn, lie-
fern die Informationen doch eine rati-
onale Entscheidungsgrundlage für oder
gegen bestimmte IT-Sicherheitsmaß-
nahmen. Welche Faktoren beeinflussen
die erfolgreiche Einführung und den
Betrieb eines SIEM?
1. Erst Ziele definieren und dann
das SIEM-Tool auswählen
Das Unternehmen sollte sich zunächst
fragen, was es wissen will. Zum Bei-
spiel im Nachgang reaktiv zu erken-
nen, was im Netzwerk geschehen ist
und dieses zu analysieren – also reines
Logmanagement – oder ist „klassisches
SIEM“ gefragt? Letzteres erkennt durch
die vorangehende Definition von Regeln
und automatisierten Trendanalysen
proaktiv Anomalien und ermöglicht so
eine vorausschauende Anpassung von
Policies. Außerdem sollte die Lösung
die Echtzeitanalyse beherrschen, aber
auch Verläufe und Vergangenheit auf
den Prüfstand stellen können.
2. Mögliche Bedrohungsszenarien
entwickeln
Ein zielorientiertes SIEM verfolgt am
besten einen risikobasierten Ansatz. Da-
bei kann die Definition relevanter Use
Cases die Auswahl der erforderlichen
SIEM-Bausteine erheblich beeinflus-
sen. Typische Use Cases für den SIEM-
„Einstieg“ sind Brute-Force-Angriffe, die
Entdeckung von Kommunikation mit
potenziell maliziösen Zielen, Innentäter-
Angriffe, verdächtiger Netzwerkverkehr
und unerwartete Ereignisse. Auch die
Integration bzw. Überwachung von Ap-
plikationen ist möglich. Hier sind wei-
tergehende Informationen zum Normal-
verhalten entscheidend. Alle Use Cases
werden im Rahmen einer „Einschwing-
phase“ stetig weiter an die Umgebung
angepasst. Wichtig ist, das SIEM gemäß
der entwickelten Bedrohungsszenarien
zu konfigurieren. Nur so erhält man aus-
sagekräftige Informationen.
3. Nicht technologiezentriert
denken! Personal und Prozesse
einplanen
Im Unternehmen sollte es Spezialisten
geben, die in der Lage sind, die gelie-
ferten Informationen tatsächlich auf
ihre Kritikalität hin zu analysieren und
zu qualifizieren. Fehlt das Know-how
dazu im eigenen Hause, ist externe Ex-
pertise sinnvoll. Darüber hinaus sind
Eskalationsstufen und Schnittstellen
zu allen relevanten Abteilungen für
den Ernstfall zu definieren, damit die
Organisation bei der Entdeckung eines
Cyber-Angriffs die nötigen Schritte in
Gang setzen kann. Das gezielte Steu-
ern des Containment zusammen mit
den entsprechenden Fachbereichen
und der direkte Zugang zur Rechtsab-
teilung, um die Gerichtsverwertbarkeit
sicherzustellen, zählen zu den Mindest-
Schnittstellen im Rahmen einer SIEM-
Einführung.
4. Customizing nicht vergessen
Wer ein SIEM einführt, übernimmt zu-
nächst einmal die Regeln der Hersteller
bzw. die Vollkonfiguration. Allerdings
sind die Regeln der Hersteller zu 90
Prozent generisch – was zur Folge ha-
ben kann, dass das System eine 90pro-
zentige False-positive-Rate produziert
– was zu einer „Fire and forget“-Men-
talität führen kann. Erfolgskritisch ist
außerdem, das SIEM da einzusetzen,
wo es wirklich benötigt wird, das heißt,
wichtige Systeme von unwichtigen Sys-
temen und kritische Zonen von unkriti-
schen Zonen zu unterscheiden – damit
nicht genau die Datengräber entstehen,
die niemand wirklich gebrauchen kann.
Am besten wäre es, das serienmäßige
Regelwerk erst komplett abzuschalten
und dann nach und nach zuzuschalten
und an die Gegebenheiten anzupassen.
Ansonsten ist das Grundrauschen zu
hoch, das Vertrauen in die Meldungen
schwindet.
5. Das volle Potenzial eines SIEM
ausschöpfen – in Verbindung
mit GRC
Im Mittelpunkt eines SIEM stehen
die für das Unternehmen und dessen
Zielerreichung wichtigen Informatio-
nen und alle dafür notwendigen Sys-
teme. Hierbei handelt es sich primär
um Komponenten aus den folgenden
Ebenen:
ó
Netzwerk
ó
Betriebssystem
ó
Middleware (anwendungsneutrale
Programme, die die Kommunikation
von Prozessen unterstützen)
ó
Applikation
6. Darüber hinaus sollten die
einschlägigen SIEM- und GRC-
Lösung gekoppelt sein
Das SIEM nutzt die Info aus dem GRC,
etwa zur Priorisierung von Bedrohun-
gen. Das GRC wiederum liefert Ma-
nagement und IT-Verantwortlichen
über SIEM-Reports wichtige Informa-
tionen zum IT-Sicherheitszustand des
Unternehmens und somit eine relevan-
te Entscheidungsgrundalge zur aktiven
Steuerung von Risiken.
