Fachartikel

Mit SIEM die Multi Cloud überwachen

Sicherheit ist ein Dauerthema und bei der Multi Cloud keine einfache Angelegenheit. Ein System für Security Information and Event Management (SIEM) hilft dabei, ungewöhnlichen Datenverkehr und damit potenzielle Sicherheitsvorfälle aufzudecken. Es analysiert alle Datenströme im Netzwerk und triggert einen Alarm, wenn Anomalien auftreten. Der Beitrag zeigt, wie definierte Use Cases und eine angepasste Informationsbasis an Log-Quellen für einen zielführenden SIEM-Einsatz innerhalb von Multi-Cloud-Umgebungen sorgen.
SIEM-Systeme eignen sich auch in Multi-Cloud-Umgebungen als Schutzschild gegen Gefahren.
Die Zunahme von Multi-Cloud-Szenarien steht für den Erfolg dieser Technologie in den letzten Jahren. Unternehmen virtualisieren immer mehr Prozesse und Workloads und verlagern sie in die Cloud. Der parallele und verzahnte Einsatz verschiedener Cloudmodelle und Services hat Vorteile. Aber in Hinblick auf die Sicherheit im täglichen Betrieb birgt die Komplexität der Multi Cloud einige Herausforderungen. Hier gilt es, den Überblick über eine Vielzahl von vernetzten Systemen und Anwendungen zu behalten.

Sicherheit dreht sich hier um Aspekte wie Identity und Access Controls, den Schutz von Workloads, Daten und Netzwerken sowie Compliance-Themen. Um Auffälligkeiten zu entdecken, die auf Sicherheitsvorfälle oder Störungen in diesen Bereichen hindeuten, ist ein SIEM-System ideal. Es analysiert alle Datenströme im Netzwerk und triggert einen Alarm, sobald eine Anomalie auftritt. Ein solches Frühwarnsystem ermöglicht im Ernstfall kurze Reaktionszeiten und eine Auswertung betroffener Systeme. SIEM kommt bereits seit Jahren in Unternehmen zum Einsatz.

Laut einer Erhebung des Branchenverbandes Bitkom verfügt heute gut ein Drittel der Unternehmen in Deutschland über ein SIEM. Mit der fortschreitenden Digitalisierung steigt die Nachfrage, um die notwendige Transparenz für die IT-Sicherheit zu erhalten. Deshalb planen auch weitere 25 Prozent die Einführung eines SIEM. Mit der Cloud ergeben sich daraus allerdings zusätzliche Anforderungen an Einführung und Betrieb.
Datenbasis für SIEM schaffen
Mit dem Einsatz von Cloud Services verändert sich die Gefährdungslage von Unternehmen. Die veränderten Risiken müssen sie beim Betrieb von SIEM-Systemen berücksichtigen. Zwar propagieren einige Cloud Provider das Modell der Shared Responsibility – der geteilten Verantwortung – für die Sicherheit, dennoch gilt es Vorsichtsmaßnahmen zu treffen. Nutzen Unternehmen etwa externe Cloud Repositories auf GitHub, um bestimmte Konfigurationen abzulegen, muss der Cloud Provider dort hinterlegte Login-Daten schützen.

Darauf sollten sich Unternehmen allerdings nicht zwangsläufig allein verlassen. Kommt es etwa zum Diebstahl dieser Login-Daten und ein Internetkrimineller versucht über diese auf den Service des zuzugreifen, schlägt ein SIEM-System beim Unternehmen im Idealfall Alarm. Auslöser dafür wären etwa mit dem üblichen Login-Verhalten nicht übereinstimmendende Parameter wie Tageszeit, Standort oder IP-Adresse. Welche Werte für einen bestimmten Parameter als zulässig gelten, ist vorher durch die IT-Administratoren festzulegen.

Für einen Abgleich von zulässigen und unzulässigen Werten analysiert ein SIEM-System in Echtzeit alle relevanten Daten im Netzwerk (Datenaggregation) und stellt diese in Zusammenhang (Korrelation). Ein SIEM ist daher nur so gut, wie die angebundenen Log-Quellen. Multi-Cloud-Risiken gilt es, durch die Erzeugung von neuen Log Events durch entsprechenden Monitoring-Aktivitäten sichtbar zu machen.

Ein Bespiel für Log Events durch eine fehlerhafte Rechtevergabe auf einem Storage-Bereich innerhalb einer Public Cloud: Ein Angreifer ist in den Besitz eines API Access Key gelangt und versucht auf weitere Systeme in der Cloud zuzugreifen. Es entstehen fehlerhafte API-Aufrufe, die etwa aufgrund von eingeschränkten Rechten für die Aktionen entsprechende Log Events erzeugen. Nicht zuletzt deshalb müssen IT-Administratoren vor allem einen Überblick über die vorhandenen Cloud Accounts und -Instanzen haben, um diese für SIEM aufzubereiten. Im Regelfall sind SIEM-Systeme an Informationsquellen wie Syslogs (Firewall, Switches, Router, Systemlogs, Virenschutz), Netflow-Daten, Asset-Informationen über eine Configuration Management Database (CMDB) sowie Business-Intelligence- und Prozess-Informationen anbindbar.

Je nach Hersteller umfasst ein SIEM auch Agenten, die tiefergehende Informationen der Systeme bereitstellen etwa zum Patch-Stand einer Anwendung oder die CPU-Auslastung. SIEM-Systeme erhalten durch das Einbinden von vielfältigen Log-Quellen eine möglichst breite Informationsbasis. Gleichzeitig gilt hier nicht automatisch "viel hilft viel". Es gibt Logs, die für SIEM nicht relevant sind. Deshalb sollten sich IT-Administratoren vorher genau überlegen, welche Risiken sie mit einem SIEM-System abdecken wollen. Daraus ergeben sich dann die Rahmenbedingungen für einzelne Alarm-Szenarien. Diese werden in Use Cases vorab erfasst und beschrieben.

Seite 1: Datenbasis für SIEM schaffen
Seite 2: Use Cases für den Ernstfall erstellen


Seite 1 von 2 Nächste Seite >>
16.05.2018/ln/Torsten Jensen, Senior Security Consultant bei Nexinto.

Nachrichten

Kritische Lücke in E-Mail-Verschlüsselung gefunden [14.05.2018]

Sicherheitsforscher der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der belgischen Universität Leuven haben schwerwiegende Schwachstellen in den weitverbreiteten E-Mail-Verschlüsselungsstandards OpenPGP und S/MIME gefunden. Angreifer können demnach verschlüsselte E-Mails so manipulieren, dass der Inhalt der Nachricht nach der Entschlüsselung durch den Empfänger im Klartext an sie ausgeleitet wird. [mehr]

Sicherheit sichtbarer machen [9.05.2018]

'Kaspersky Endpoint Security for Business' geht in eine neue Runde. Unter anderem will der Hersteller die Sicherheitskomponenten mit einer komplett neu gestalteten Benutzeroberfläche sichtbarer machen. Über eine Serverinstallation lassen sich bis zu 100.000 Endpoints verwalten. [mehr]

Flexibler Pförtner [3.05.2018]

Tipps & Tools

Citrix: Blackscreen-Problem lösen [29.04.2018]

Manchmal bekommen Benutzer in einer Citrix-Umgebung nur einen schwarzen Bildschirm angezeigt, wenn sie sich in einen HDX-3D-Pro-Desktop einloggen. Wenn sie die Größe oder den Fokus innerhalb des Desktops ändern (etwa Vollbild / Fenstermodus), wird das Desktopbild wiederhergestellt. Dies geschieht, wenn die Richtlinie von Microsoft für 'Nachrichtentext für Benutzer, die versuchen, sich anzumelden' aktiviert ist. Das Problem lässt sich mit einer Registry-Ergänzung aus der Welt schaffen. [mehr]

Performance der Citrix Provisioning Services erhöhen [8.04.2018]

Bei der Nutzung der Citrix Provisioning Services kann es nach und während des Erstellens einer Windows-10-Vdisk vorkommen, dass beim Streaming eine schlechte Leistung auftritt. Das Problem äußert sich unter anderem darin, dass es sehr lange dauert, um die Vdisk zu erstellen. Außerdem möglich sind langsame Boot- und Login-Zeiten und nicht zuletzt ist auch die Geschwindigkeit der Dateiübertragung im Vergleich zu anderen Rechnern im Netzwerk oft zäh. Doch es gibt Abhilfe. [mehr]

Buchbesprechung

Anzeigen