IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

Honey AppSecurity Information und Event Management („SIEM“) ist mittlerweile den Kinderschuhen entwachsen. Moderne Plattformen verschiedenster Hersteller sind entstanden und ermöglichen einen vernünftigen, raschen Einsatz zu vertretbaren Investitionskosten. (Foto: Fotalia / iQSol)

Bei der Menge der zu treffenden Entscheidungen können aufgrund SIEM auch individuelle Bedürfnisse bestmöglich abgebildet werden.

Manche Unternehmen wollen ihre Applikationen sofort installieren und lassen sich dann auf eine Verrechnung nach Datenmengen ein. Dies kann allerdings zu unliebsamen und unkalkulierbaren Kosten führen. Andere Anwender hingegen möchten mit einer kleineren, meist aber der wichtigsten IT-Umgebung beginnen und die Implementierung sowie den Betrieb einem vertrauenswürdigen Dienstleister aus dem Raum der Europäischen Union (EU) überlassen. Weitere Überlegungen sind anzustellen, die die Einführung und Projektierung eines SIEM- und Log-Management-Projektes betreffen.

Bild: LogApp-Architektur 2014.

Bild: LogApp-Architektur 2014.

Wofür taugt eine SIEM-Lösung wirklich?

Das Sammeln unzähliger Logs aus vielen Quellen wie Netzwerkgeräten, Datenbanken, diversen Appliances und Security-Lösungen ergibt natürlich eine Datenbasis („Big Data“), die vielfältige Funktionen und Möglichkeiten eröffnet. Die technologische Anbindung ist dabei keine Einbahnstraße: So können effiziente SIEM-Plattformen nicht nur Informationen empfangen, sondern auch Regeln durchsetzen („enforcen“) und selbst neugierige oder gar firmenfremde User sperren oder zumindest Verstöße melden. Vorgefertigte Reports sorgen für rasche Auditierungsprozesse und sparen damit auch viele manuelle, oft ungeliebte, Tätigkeiten, sowie in der Folge bares Geld und Nerven bei den Administratoren.

Weitere Vorteile einer zentralen IT-Security-Plattform sind:

  • Abbildung von Prozessen und durchsetzbaren Rollen und Rechten in den IT-Systemen.
  • Korrelation von Logs, Daten und Ereignissen aus vielen Datenquellen.
  • nachgelagerte Prozesse wie BCM und Emergency Notification werden möglich.
  • Ursachenforschung und Fehleranalyse bei Notfällen werden erleichtert.
  • eigene SIEM-Modul-Erweiterungen potenzieren den Nutzen (HoneyPots, VN, Alerting etc.).
  • ein Security Cockpit ist für jedes SOC („Security Operations Center“) unumgänglich. 

Positiver Leverage

Eine Investition zu „hebeln“ hat heutzutage beinahe einen unangenehmen Beigeschmack. In der IT wird dieser Effekt leider auch viel zu oft nicht genutzt, da ökonomische und technologische Verantwortungen, Erfahrungen und Meinungen aufeinandertreffen und nicht abgestimmt sind. So herrscht das Vorurteil vor, eine SIEM-Lösung sei teuer in der Anschaffung und im Betrieb, sehr komplex in der Integration und ein „kleines“ Log-Management für die Revisionsabteilung gäbe es kaum. Mitnichten, denn seit die ersten derartigen Lösungen vor beinahe 15 Jahren auf den Markt kamen, hat sich sehr viel verändert. Heute kann eine SIEM- und Log-Management-Applikation binnen Tagen erste Ergebnisse liefern sowie als Managed-Security-Service vom Hersteller oder dem eigenen IT-Dienstleister betrieben werden, ohne die wertvollen Daten in der Cloud „abzuliefern“.

Viele Regulatoren schreiben diese Systeme sowieso vor oder sie werden zunehmend auch von internationalen Wirtschaftsprüfern verlangt, um die Unternehmensrisiken abschätzen zu können. Wichtige öffentliche und private Institutionen („kritische Infrastrukturen“) setzen ebenfalls auf derartige Instrumente, da bei Vorfällen die daraus generierten Daten benötigt werden: Bei Vorfällen und meldepflichtigen Zwischenfällen wären Strafverfolgungsbehörden ohne „gerichtsfeste“ Log-Daten nahezu handlungsunfähig.

1+1=3

Aus verschiedenen Betriebssystemen, Firewall- und Intrusion-Prevention-Systemen werden Daten in die Log-Datensammlung eingespeist. Eine moderne Lösung hebt die Trennung der früheren Host-based- und Network-based-Ansätze auf und hat als zentrale Sammelstelle eine mächtige Datenbank, die auch von Daten aus Sensoren, Appliances und gängigen Security-Applikationen gespeist werden kann. Module liefern permanenten Mehrwert bereits vorhandener spezialisierter Hersteller und erhöhen somit auch deren Nutzenpotenziale. Agentenbasierte Übertragungen sorgen für eine gesicherte und verschlüsselte Log-Übermittlung, auch im Falle kurzer Störungen oder von Netzwerkausfällen werden diese nach Wiederherstellung übermittelt. Anbindungen und Integrationen an Vulnerability-Management (VN)-Lösungen oder Honeypot-Systeme beschleunigen eine Fehleranalyse beziehungsweise das Erkennen bereits vorhandener Trojaner oder Bot-Netze und optimieren die Abwehr von Einbruchsversuchen.

Logikbasierte Ansätze

Signaturbasierte Verfahren sind heute State-of-the-Art und werden bereits umfangreich eingesetzt: zur Absicherung des E-Mail- und Internetverkehrs, auch zum Patchen der IT-Infrastruktur und bei den gängigen AV-Lösungen. Ob nun Zero-Day-Threats teilweise verhindert werden können oder Advanced-Persistant-Threats in Sandboxen erkannt werden, zeigt vor allem eines auf: Die Entwicklung hinkt immer hinterher, während sich viele Feindsysteme womöglich schon monatelang im eigenen Netz befinden. Gegen hochentwickelte direkte Angriffe, soziale Eindringungsversuche und manipulative (Ex-)Mitarbeiter kann man nur mit individuellen Maßnahmen vorgehen, die jedoch automatisiert ablaufen müssen.

Wie bei gängigen Firewall-Systemen gilt es, organisationsspezifische Regeln und Policys um- und durchzusetzen. Diese „Settings“ müssen jedoch weit über ein Firewall-System hinausgehen und umfassen meistens mehrere Systeme und Anwendungen. Oftmalige Anmeldeversuche in gesperrten Bereichen müssen genauso geahndet werden wie auffälliger Netzwerk-Traffic oder Anomalien, die bisher noch nie auftraten.

Business-Continuity-Management

Die ultimative Frage stellt sich jedoch kaum jemand: Was passiert eigentlich, wenn die Sicherungssysteme überwunden sind und sich „Viren wie Viren verhalten“ beziehungsweise die Infrastruktur auch physikalisch angegriffen wird: Löschungen stattfinden, Daten irgendwohin upgeloadet werden, Hardware zerstört wird – pures Chaos und kein Tool hilft in der Sekunde? Wie sollen hunderte Serversysteme heruntergefahren oder deren Inhalte evakuiert werden oder wie erfolgt eine Alarmierung, wenn die VoIP-Anlage und die Exchange Server gerade deaktiviert wurden? Andere Szenarien, die existenziell bedrohlich sind, umfassen zum Beispiel „Strom- Blackouts“ oder einzelne Ereignisse, die kaum planbar sind: Evakuierung aufgrund von Bombendrohungen – oder tatsächlichen Bombenfunden und Feueralarme oder auch oftmalig falsche Alarme, die in einem behördlichen Betretungsverbot der Firmengebäude münden (Chemieunfälle, Straßensperren oder ähnliches). Derartige Szenarien erfordern ein integriertes Business-Continuity-Konzept samt Notfallhandbuch und eben auch eine zentrale Security- Event- und Information-Management- Konsole mit Support-Desk-Integration, Emergency-Notification-System und einem (Shutdown-/Startup-) Power Management. Für den Fall der Fälle im eigenen Hause – oder in der Umgebung.

Jürgen Kolb, Managing Director iQSol GmbH

Log App Demo

Treffen Sie iQSol auf der Security Eye
22.09.2015 in Wien

www.securityeye.de
Hier direkt anmelden zur Security Eye!

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet