Thought Leadership
Use Cases sind das essenzielle Herzstück eines jeden Security Information and Event Managements (SIEM). Anhand der Use Cases werden Bedrohungen erkannt und in den Meldungen des SIEM ausgegeben.
Doch eine zu hohe Anzahl oder die Auswahl der falschen Use Cases für das jeweilige Unternehmen führen häufig zu Fehlmeldungen und dazu, dass tatsächliche Bedrohungen entweder nicht erkannt werden oder aber in einer Masse aus Alarmmeldungen untergehen. Es gilt deswegen, Use Cases so auszuwählen und auf das jeweilige Unternehmen so anzupassen, dass sie mit einer möglichst geringen Anzahl viele Bedrohungsszenarien mit wenig Aufwand abdecken können. Dabei ist es sinnvoll, sich an den bekannten Angriffsvektoren und damit an einem Framework zu orientieren. Wichtig ist außerdem das Tuning, die Anpassung der Use Cases, an die bestehende IT.
Ein Security Information and Event Management (SIEM) sammelt Meldungen, Ereignisse und Logfiles der Systeme in Unternehmen. Mit diesen Daten werden zu Bedrohungen und Cyberangriffen in Echtzeit Alarme ausgegeben, damit Analysten auf diese schnellstmöglich und angemessen reagieren können. Die Basis hierfür stellen zuvor definierte Use Cases. Das SIEM erkennt damit die relevanten Ereignisse in den großen Datenmengen: Sie beschreiben Szenarien mit verdächtigem Verhalten, z.B. ungewöhnliche Anmeldeaktivitäten, das Hinzufügen neuer User oder eine untypische Verwendung von Ports. Im Hinblick darauf muss das Ziel darin bestehen, die geringstmögliche Anzahl von Use Cases auszuwählen, mit der man gleichzeitig die größtmögliche Abdeckung relevanter Angriffsszenarien erzielt.
Das gelingt mit der Orientierung an bekannten Angriffsvektoren, wie sie z.B. das MITRE&ATT&CK Framework vorgibt – Use Cases sollten hieraus die wichtigsten Techniken und Taktiken abbilden und berücksichtigen. Im MITRE&ATT&CK Framework werden aus forensischer Sicht zahlreiche verschiedene Ansätze dargestellt und mit Beispielen versehen. Es stellt damit die optimale Basis zur Ableitung von Use Cases dar; IT-Sicherheitsverantwortliche müssen daher nicht Hunderte Use Cases selber bauen, um alle möglichen Szenarien abzudecken, sondern können die für sie sinnvollsten auswählen. IT-Sicherheitspartner wie SECUINFRA verfügen zudem idealerweise über eine eigene Use Case Library. Entwickelt von ihren Cyber Defense Experten, wird so beim Kunden eine maximale Effektivität von Use Cases bei hoher Effizienz gewährleistet. Der Einsatz von monetären und zeitlichen Ressourcen wird damit so gering wie möglich gehalten. Bei der Auswahl der Use Cases bietet sich außerdem eine enge Abstimmung mit dem Sicherheits- bzw. IT-Risikomanagement an, um aus der Praxis zu erfahren, welche Bereiche das SIEM des jeweiligen Unternehmens abdecken muss.
Parallel dazu ist es sinnvoll, Betriebssysteme, Server und Clients mit der Benutzer- und Rechteverwaltung zu überwachen. Sie sind die zentralen Punkte im Unternehmen und eignen sich als Ausgangspunkt, da die meisten Cyberangriffe auf User, Clients und Server abzielen. Darüber hinaus müssen Überlegungen angestellt werden, wie IT-Systeme mit Eigenentwicklungen überprüft werden können, so dass auch dort keine sicherheitsrelevanten Anomalien auftreten. Je größer das Unternehmen, desto wahrscheinlicher ist es, dass solche Eigenentwicklungen abseits des Frameworks existieren.
Das Tuning der Use Cases
Die ausgewählten Use Cases müssen dann unter Berücksichtigung der Unternehmensspezifika implementiert und anschließend auf diese abgestimmt werden – sie benötigen Tuning. Dabei werden sie vor allem um False Positives, also um Fehlalarme bereinigt. Im Rahmen dessen werden Regelwerke angepasst, die die Logmeldungen auswerten. Außerdem werden Whitelists zu standardmäßig Alarm-auslösenden Events für den Fall integriert, dass diese Events unkritisch erfolgen. Beispiel: Erfolgt eine Datenauslesung, kann dieses Event bereits einen Alarm auslösen und auf einen Cyberangriff hindeuten. Erfolgt dies jedoch durch einen autorisierten Systembenutzer im Unternehmen, ist der Vorgang unkritisch – und der Alarm wäre ein False Positive. Ein anderes Beispiel hierfür ist der Zugriff auf sensible Daten einer Datenbank, der jedoch nicht durch Angreifer von außerhalb verursacht wird, sondern von Administratoren ausgeht. Wird dann in der Analysephase festgestellt, dass es zu viele False Positives gibt, wird durch die Optimierung das Regelwerk mit White- und Blacklists angepasst.
Auch wenn in der ersten Optimierung so effektiv wie möglich vorgegangen wird, kann nicht sofort eine 100-prozentige Lösung erreicht werden. Es ist mittels Tests zu prüfen, ob im Fall einer Anomalie die Regelung auch zukünftig weiterhin greift. Erfahrungsgemäß nimmt es bis zu drei Monate in Anspruch, bis keine oder nur sehr wenige False Positives verursacht werden. In selteneren Fällen können auch Prozesse, die nur alle paar Monate laufen, Fehlalarme auslösen. Das Feintuning der Use Cases stellt also eine fortlaufende, durchaus aufwändige Aufgabe dar. Denn jeder Use Case muss über die gesamte Laufzeit auf dessen Funktion und False Positives überwacht werden. Der Aufwand lässt sich jedoch durch eine geschickte Vorauswahl minimieren.
Tuning als Daueraufgabe umsetzen
Hinzu kommt: Ein SIEM ist ein lebendes System. Ändert sich etwas in der Infrastruktur, indem z.B. Betriebssysteme der Log-Quellen aktualisiert werden, kann das dazu führen, dass ursprünglich angepasste Regeln nicht mehr optimal greifen. Änderungen in der Systemumgebung können neue False Positives erschaffen, wenn ein altes Regelwerk nicht mehr greift, sich Logmeldungen mit einem Update verändert haben oder das Regelwerk, das die Meldungen prüft, zu viel loggt – oder gar nicht mehr. Das macht ein kontinuierliches Nachjustieren notwendig. Der Kreislauf erstreckt sich damit von Analyse, Befund, Optimierung, Tests, Einspielen und Änderungen der Use Cases erneut zurück zur Analyse, so dass der Prozess fortlaufend neu umgesetzt werden muss.
Das Tuning läuft am effizientesten ab, wenn die Teams des Use Case Tunings und der Analysten zusammenarbeiten und gemeinsam das beste Setup finden. Es braucht daher ein Zusammenspiel aus Implementierung, Auswertung und Rücksprache mit den Fachabteilungen.
