Use Cases für die Cybersicherheit in Unternehmen

Mit Auswahl und Feintuning das SIEM effizient gestalten

Cybersicherheit

Gezieltes Tuning sowie die Optimierung tragen daher maßgeblich zur Wirtschaftlichkeit des Security Monitorings bei, da es die Arbeitsbelastung der Security-Analysten deutlich senkt und entsprechend weniger Personalaufwand notwendig macht. Eine Einstellung, die z.B. 90% False Positives auswirft, erfordert hohe Manpower, da alle Fälle einzeln bewertet werden müssen, um tatsächliche Bedrohungen herauszufiltern – schließlich könnte ein echter Angriff hinter einer Meldung stecken. Das Tuning macht manuellen Aufwand dieser Art jedoch weitgehend obsolet und entlastet Unternehmen von der Notwendigkeit, ein zu hohes Alert-Aufkommen bewältigen zu müssen. Hinzu kommt, dass suboptimal implementierte Regelwerke mehr Ressourcen der Systeme benötigen. Sie sind weniger performant, wodurch die Belastung des SIEM steigt – letztendlich macht es einen deutlichen Unterschied, ob für das SIEM fünf oder 20 Server betrieben werden müssen, wenn die Regelwerke entsprechend hohe Lasten verursachen.

Kommunikation ist das A und O

Von SIEM Use Cases bzw. den abgebildeten Szenarien ist häufig eine Personengruppe besonders betroffen: die Belegschaft des Unternehmens – also der einzelne Mitarbeiter. Auf Personalebene entsteht so häufig das Bedenken, dass anwenderbezogene Use Cases vermeintliche Vehikel zur Mitarbeiterüberwachung darstellen könnten. Zwar sind Betriebsrat oder Personalvertretung bei der Auswahl der Use Cases nicht mit involviert, dennoch ist es sinnvoll zu kommunizieren, dass das SIEM nicht dazu zweckentfremdet wird, Auswertungen über die Leistung von Mitarbeitern zu erstellen oder sie auf Personalleiterebene gewissermaßen zu tracken. Es muss klar sein, dass das SIEM nur sicherheitsrelevante Anomalien aufspürt und nicht meldet, dass ein Mitarbeiter vermeintlich zu langsam arbeitet.

Anzeige

Use Cases mit spezialisierten IT-Sicherheitspartnern implementieren

Die Unterstützung durch externe Partner ist bei der Auswahl von SIEM Use Cases unabdingbar, da der gesamte Vorgang Know-how und Erfahrung verlangt, die in Unternehmen meist nicht vorhanden sind und auch nicht in der Kürze der Zeit aufgebaut werden können. Ist ausreichend Personal vorhanden, kommt es häufig jedoch trotzdem nicht mit der Menge an Aufgaben zurecht, die ein SIEM mit sich bringt – es ist mit dessen Implementierung oder dem Aufbau des SOC (Security Operation Center) mehr als ausgelastet und hat keine Zeit für die Auswahl und Implementierung von Use Cases.

Ein erfahrener IT-Sicherheitspartner kann hingegen effizienter und effektiver arbeiten. Es entfällt somit die langwierige Suche nach in der Regel teurem Personal, zudem kann das Unternehmen auch von einem Wissenstransfer profitieren.

Trotz der großen Erfahrung, die ein externer Partner mitbringt, ist eine Zusammenarbeit mit dem Sicherheits- und IT-Risikomanagements des Unternehmens unerlässlich, da diese das Verständnis für den organisatorischen Kontext der Use Cases haben. Denn klar ist: Der Dienstleister benötigt diese interne Unterstützung, etwa um auf die Logmeldungen, Events und Alarme des SIEM-Systems korrekt reagieren zu können. Deswegen ist es wichtig, früh in die Kommunikation zu gehen. So bieten sich zum Beispiel Kickoff-Termine mit Fachabteilungen an, um alle involvierten Parteien abzuholen, Plan und Ziel darzulegen und Unterstützung einzuholen. Kennen sich die beteiligten Teams und Entscheidungsträger, gestaltet sich die Zusammenarbeit zudem harmonischer und Missverständnisse sowie Probleme können schnell ausgeräumt werden.

Wenig hilfreich ist es dagegen, sofort in den Alarmmodus zu wechseln, wenn erste Hürden auftauchen. Sind zum Beispiel erste Regelwerke verfasst, die Systeme aber nicht angebunden oder die Log- und Event-Erzeugung auf Systemen nicht im benötigten Umfang konfiguriert, ist eine frühzeitige Bewertung nicht sinnvoll. Stattdessen sollte eine professionelle Kommunikation etabliert werden, die alle Beteiligten abholt und Lösungswege aufzeigt.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Fazit

Für ein effizient arbeitendes SIEM ist neben der Auswahl der geeigneten Use Cases vor allem deren Feintuning unabdingbar. Ansonsten führt ein falsches und gehäuftes Alarm-Aufkommen schnell zu einem ineffizient arbeitenden System, das das Unternehmen mehr lähmt als unterstützt. Notwendig dafür sind Know-how und Expertise – bei der Auswahl und Implementierung der Use Cases für das SIEM profitieren Unternehmen daher von der Unterstützung durch externe Partner. Denn oft können sie die Aufgabe weder personell noch inhaltlich eigenständig stemmen.

Zudem stellen Auswahl und Feintuning der Use Cases keine einmalig zu erledigenden Aufgaben dar, denn bereits kleine Änderungen an der IT können Nachjustierungen erforderlich machen. Des Weiteren treten fortwährend neue Bedrohungsszenarien auf, denen ggf. mit Anpassungen an bestehende oder der Entwicklung von neuen Use Cases begegnet werden muss. Mit der einmal erfolgten Wahl passender Szenarien allein ist es also nicht getan, die Use Cases benötigen fortlaufendes Anpassen und Feintuning. Indem das SIEM auf diesem Weg als ein quasi lebendes System begriffen wird, entsteht hier ein Kreislauf der ständigen Optimierung.

Autor: Jan Kilby, Senior Cyber Defense Consultant bei SECUINFRA

www.secuinfra.com

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.