SAP SECURITY 2017
22.11.17 - 22.11.17
In Walldorf, Leonardo Hotel

Cloud Expo Europe
28.11.17 - 29.11.17
In Frankfurt

Data Centre World
28.11.17 - 29.11.17
In Frankfurt

IT-Tage 2017
11.12.17 - 14.12.17
In Frankfurt, Messe Kap Europa

Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

Fragezeichen AusrufezeichenWie immer im Leben ist es ein guter Tipp sich nicht ausschließlich auf sich selbst zu verlassen, sondern gelegentlich die Hilfe guter Freunde in Anspruch zu nehmen. Das gilt im übertragenen Sinne auch für die Herangehensweise an das Thema IT-Sicherheit.

Mehrgleisig zu fahren heißt beispielsweise unterschiedliche Technologien und Methoden miteinander zu kombinieren. „One size fits all“ passt selten, will man Risiken senken und Daten schützen.

Data Loss Prevention (DLP)-Systeme werden eingesetzt um vertrauliche Daten während des Transports in einem Netzwerk abzusichern. Bis zur Netzwerkgrenze. Identity-and-Access-Management (IAM)-Lösungen ergänzen diesen Ansatz indem sie disparate Authentifizierungsmodelle miteinander verbinden. Der Benutzer muss sich dann nur noch über einen einzigen Dienst authentifizieren, wenn er auf unterschiedliche Systeme oder Anwendungen zugreifen will. Mit Hilfe eines SIEM, Security Information Event Management, sind Unternehmen in der Lage Logs in einem einzigen Repository zusammenzuführen, zu analysieren und zueinander in Beziehung zu setzen.

Im konkreten Anwendungsfall entscheiden Unternehmen sich nicht selten dazu die verschiedenen Systeme oder einzelne ihrer Bestandteile miteinander zu kombinieren. Aber was genau unterscheidet DLP, IAM und SIEM im konkreten Anwendungsfall? Was können sie und was nicht?

Data Loss Prevention

Solche Systeme sind in erster Linie dazu da vertrauliche Daten beim Transport zu schützen. Vor allem davor, dass sie das Netzwerkinnere verlassen. DLP-Lösungen nutzen dazu vordefinierte Policies und Regeln. Ob dann bei einer Abweichung lediglich der Administrator benachrichtigt wird, oder der weitere Datentransport aktiv blockiert wird, hängt von der Art der Abweichung ab.

Typischerweise greifen DLP-Lösungen in drei Anwendungsfällen:

  • Endpunktsicherheit/Endgeräteschutz: Dazu gehören Festplattenverschlüsselung, die Verschlüsselung optischer Laufwerke und die von USB-Ports um zu verhindern, dass Daten heraus geschleust werden und natürlich der grundlegende Schutz vor Malware.
  • Datenübertragung überwachen: E-Mail- und Web-Traffic im Hinblick auf vertrauliche Daten überwachen um zu verhindern, dass die Daten das Unternehmen verlassen; DLP trägt weiterhin dazu bei, dass man auf diese Daten nur über verschlüsselte Kanäle zugreifen kann.
  • Klassifizieren gespeicherter Daten: Ermittelt wo Dateien mit sensiblem Inhalt beispielsweise auf Servern und Cloud-Plattformen gespeichert sind um diese Daten besser vor nicht autorisierten Zugriffen zu schützen.

IAM

IAM führt disparate Anwendungen in einem einzigen Repository zusammen. Von diesem aus kann der jeweilige Benutzer Zugriff und Berechtigungen zentral verwalten.

IAM-Lösungen beinhalten eine ganze Reihe von Funktionen wie:

  • einen Workflow um auf Anwendungen zuzugreifen und die Berechtigungen zu verwalten
  • Reports für den Benutzer
  • Reports für den Eigentümer der jeweiligen Anwendung
  • Single-Sign-On (SSO) zwischen den verschiedenen Applikationen mit dem Ziel Berechtigungen von einer einzigen Stelle aus zu verwalten und so einen durchgängigen Workflow zu gewährleisten.

SIEM

SIEM-Systeme speichern, analysieren und korrelieren eine Vielzahl von unterschiedlichen Sicherheitsinformationen und Events bei der Authentifizierung, der Antivirensoftware oder der Intrusion-Lösung. Entdeckt das System dabei Abweichungen von der Regel, löst es einen Alarm aus und der zuständige Mitarbeiter wird benachrichtigt.

Innerhalb des SIEM-Systems werden die Logs zusammen-gefasst. Die Informationen bekommt das SIEM indem es die Viewer-Daten eines Events liest oder standardmäßig
Benachrichtigungen aus den SNMP-Traps und Syslogs sammelt. Gelegentlich werden dazu auch Agents eingesetzt. Die Daten selbst kommen aus den unterschiedlichsten Quellen wie Endgeräte, Netzwerk-Switches, Server, Firewalls, Antiviren-Software, Intrusion Detection- und Intrusion Prevention-Systeme und eine ganze Menge anderer mehr.

Nachdem diese Daten zentralisiert sind, „horcht“ das System sie sozusagen auf Anomalien ab und sendet einen Alarm aus, wenn es fündig geworden ist. Um das überhaupt tun zu können, muss der Administrator ein möglichst präzises Profil erstellen, was ein normales Systemverhalten ist beziehungsweise welche Vorkommnisse als normal betrachtet werden sollen. Das geschieht innerhalb des Systems entweder mit Hilfe von vordefinierten Regeln oder gemäß den im Unternehmen bereits definierten Sicherheitsrichtlinien. Immer wenn ein Event an das System gesendet wird, durchläuft es dann ein Set von Regeln und je nachdem, ob es als davon abweichend bewertet wird oder nicht, werden ein Alarm und eine Benachrichtigung generiert.

Man sollte sich allerdings vor Augen halten, dass wir hier von Tausenden von Geräten und Quellen ausgehen. Entsprechend umfangreich sind die täglichen Aufzeichnungen. Das übergeordnete Ziel eines jeden SIEM ist es daher die Zahl der infrage kommenden Events zu reduzieren. Und zwar so, dass nur eine vergleichsweise geringe Zahl übrig bleibt, die tatsächlich ein Eingreifen erfordert.

Mehr Kontext zu unstrukturierten Daten

Was heißt das im Hinblick auf traditionelle DLP-Lösungen auf Dateiebene? DLP-Lösungen sind ausgesprochen gut darin vertrauliche Daten auf Servern zu finden und/oder diese Daten zu blocken. DLP weiß also, wo sich diese Daten befinden, aber es hat eine Schwachstelle: Haben ein Hacker oder Insider sich Zugang zu einem Konto mit den zugehörigen Berechtigungen (für genau diese vertraulichen Daten) verschafft, kann eine DLP-Lösung den Angriff nicht aufhalten.

Um diese Daten zu schützen, braucht man zusätzliche Informationen. Man sollte wissen:

  • Wer greift auf diese Daten zu?
  • Wer ist dazu berechtigt?
  • Wer aus dem Kreis dieser Berechtigten muss wahrscheinlich gar nicht mehr auf diese Daten zugreifen?
  • Wem (außerhalb der IT-Abteilung) „gehören“ die Daten? Wer ist der eigentliche Eigentümer der Daten?
  • Wo und wann beginnt ein anomales Benutzerverhalten?

Mit diesem Kontext ist eine DLP-Lösung wesentlich besser aufgestellt als ohne ihn. Varonis beispielsweise übernimmt die klassifizierten Daten aus den DLP-Scans und beginnt die Dateien und das damit verbundene Benutzerverhalten zu überwachen. Weiß man, wer was wann mit bestimmten Daten tut, kann man die Berechtigungen entsprechend vergeben und verwalten. Das stellt sicher, dass nur die dazu berechtigten Benutzer auf die Daten zugreifen.

IAM-Lösungen führen unterschiedliche Anwendungen und Systeme an einer zentralen Stelle zusammen.

Das System stößt allerdings an seine Grenzen, wenn es um unstrukturierte Daten geht; es gibt nämlich keine einzelne „Applikation“, an die das IAM-System andocken kann. Wer auf unstrukturierte Daten in einem Unternehmen zugreifen darf wird sowohl von den Directory-Nutzern und Gruppen kontrolliert als auch über die ACLs (Access Control List) des Filesystems gesteuert. Und genau dadurch entsteht für das IAM-System ein blinder Fleck.

Dazu kommt, dass bei unstrukturierten Daten nicht selten ein gewisser Wildwuchs herrscht. Die Berechtigungsvergabe ist wenig standardisiert und komplex, wenn nicht gar chaotisch: Die verschiedensten Gruppen können auf Daten zugreifen, Ordner und SharePoint-Sites sind allen zugänglich und so weiter. Das macht es einem IAM-System praktisch unmöglich die Berechtigungen für unstrukturierte Daten zu verwalten.

Was unstrukturierte Daten anbelangt, leisten Data Governance-Lösungen Hilfestellung in einer ganzen Reihe von Anwendungsfällen:

  • Sie kennen die funktionalen Beziehungen zwischen Nutzern/Gruppen und den Daten, die sie tatsächlich benötigen.
  • Sie erlauben es Berechtigungen neu zu strukturieren, so dass sie sich effizienter innerhalb einer Gruppe verwalten lassen.
  • Sie analysieren das Benutzerverhalten und geben den Dateieigentümern eine Empfehlung wer einen bestimmten Zugriff nicht oder nicht mehr braucht.
  • Die Klassifizierung von Daten wird genutzt, um sensible Daten dem tatsächlichen Dateieigentümer zuzuordnen und Dateien so besser verwalten zu können.
  • Bestimmte Funktionen unterstützen insbesondere den Dateieigentümer.
  • Berechtigungen können ad-hoc vergeben werden, und zwar nur so lange, wie ein Benutzer sie tatsächlich braucht; eine neue Rolle muss dazu nicht definiert werden.
  • Die Dateieigentümer haben den Überblick darüber, was mit ihren Dateien passiert.
  • Regelmäßige Überprüfungen stellen sicher, dass immer nur die richtigen Benutzer auf die Daten zugreifen.

Ein SIEM liest Event Viewer-Logs der Netzwerkgeräte, den Systemen und dem AD. Es hat allerdings keinen Einblick in die tatsächlichen Dateiaktivitäten.

Das liegt daran, dass die Logs nicht nativ existieren und schwierig zu analysieren sind. Es ist also durchaus sinnvoll ein existierendes SIEM um eine Monitoring-Funktion zu ergänzen, die Zugriffsaktivitäten dokumentiert, zusammen führt und analysiert – und sie dann dem SIEM zur Verfügung stellt. Zum Beispiel ob jemand versucht hat auf den Posteingang des Geschäftsführers zuzugreifen, ob kritische GPOs (Group Policy Object) geändert worden sind, ob eine hohe Zahl von Dateien in kurzer Zeit verschlüsselt wurde oder ob anomale Verhaltensweisen bei Dateien und Directory Services aufgetreten sind. Im Idealfall werden die Daten zur Analyse des Benutzerverhaltens und die zugehörigen Benachrichtigungen beispielsweise via SysLog direkt an das SIEM geschickt und dort korreliert.

Fazit

DLP, IAM und SIEM sind allesamt sinnvolle Bausteine, wenn es darum geht einen umfassenden Schutz aufzubauen. Einzelne Produkte und Lösungen allein können das inzwischen längst nicht mehr leisten. Wenn es allerdings um unstrukturierte Daten geht, haben alle drei ihre blinden Flecke. Es lohnt sich die bestehenden Lösungen um eine Data Governance-Komponente zu ergänzen, die entsprechende Funktionen beisteuert.

www.varonis.com/de

GRID LIST
Oliver Keizers

Integration von Security-Tools - Den Wald vor lauter Bäumen nicht sehen

"Den Wald vor lauter Bäumen nicht sehen" lässt sich gut auf die Situation in vielen…
Tb W190 H80 Crop Int 756f2d2c4f6fbb1774da012155e3a3b1

Apama EagleEye: KI-unterstützte Marktüberwachungslösung

Die Software AG hat Apama EagleEye vorgestellt, ein Marktüberwachungssystem, das eine…
Oliver Bendig

Patentrezept für IT-Security

Es gibt kaum ein Unternehmen, das nicht schon einmal Ziel einer Cyber-Attacke geworden…
Tb W190 H80 Crop Int 60c948299ec6ed8114ef0acdb6b25f11

Neue Clavister-Firewall E10 für den Mittelstand

Der schwedische Hersteller Clavister stellt seine neue Next Generation Firewall E10 NGFW…
Penetrationstest

Penetrationstest ist nicht gleich Penetrationstest

Oftmals werden automatisierte Sicherheitsprüfungen als Penetrationstests bezeichnet. Die…
Tb W190 H80 Crop Int B105883123d2264a138f7eac7750dea8

McAfee integriert „Advanced Analytics“ für optimierte SOC-Effizienz

McAfee stellt neue Endpunkt- und Cloud-Lösungen vor. Diese nutzen die Geschwindigkeit und…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet