Fachartikel

Seite 2 - Mit SIEM die Multi Cloud überwachen

Use Cases für den Ernstfall erstellen
Ein Use Case beschreibt spezifische Alarmmeldungen, die sich wiederum auf eine sehr konkrete Art von Sicherheitsvorfall beziehen. Dieser kann auch durch mehrere, einzelne Anomalie-Meldungen ausgelöst werden. So wäre beispielsweise eine mehrmals fehlgeschlagene Anmeldung auf einem System gefolgt von einer erfolgreichen allein kein Grund für einen Alarm. Schließlich könnte sich der vermeintliche Mitarbeiter auch nur bei der Eingabe seines Passworts wiederholt vertippt haben. Wenn von diesem System allerdings anschließend der Aufruf einer unsicheren Website erfolgt und gleichzeitig der Virenscanner eine mit Malware infizierte Datei identifiziert, stellt ein SIEM diese drei Aspekte in Zusammenhang.

In Korrelation werden diese Vorgänge zu einem Security Incident von hoher Priorität. Die vom SIEM erfassten Aktivitäten deuten beispielsweise auf eine nicht autorisierte Übernahme des Systems hin. Oft bieten SIEM-Hersteller bereits vorgefertigte Use Cases an. Diese sind eine erste gute Orientierungshilfe. Dennoch sollten IT-Administratoren prüfen, ob diese eins zu eins für ihr Unternehmen anwendbar oder Einzelheiten anzupassen sind.

Im Durchschnitt nutzen Unternehmen heutzutage rund 1200 Cloud-Services, laut des aktuellen, weltweit durchgeführten Cloud Reports von Netskope. Ein Großteil (92,7 Prozent) davon taugt nicht für den Enterprise-Einsatz. Dementsprechend ist Schatten-IT eine ständige Herausforderung mit hohem Frustpotenzial in den IT-Abteilungen. Hier spielen nicht freigegebene Cloud-Services immer wieder eine zentrale Rolle. Für Mitarbeiter ist es ein Leichtes, für ein Projekt Cloud-Storage über beispielsweise Dropbox zu nutzen oder Dokumente mit einem Kollegen über Google Docs zu bearbeiten. Da solche Cloud-Services unter dem Radar der IT-Abteilung zum Einsatz kommen, sind diese auch nicht in der Datengrundlage für das SIEM erfasst.

Hier haben IT-Administratoren allerdings die Möglichkeit Blacklists mit den URLs von unerwünschten oder gefährlichen Webseiten und Diensten zu erstellen. Da der Zugang zu diesen in der Regel über ein zentrales Gateway des Unternehmens erfolgt, lassen sich diese URL anhand der Blacklist ins SIEM einbinden. Versucht dann ein Mitarbeiter auf diese Dienste zuzugreifen, erfolgt eine Meldung durch das SIEM. Für solche Szenarien müssen Unternehmen aber bereits vorab konkret wissen, welche Dienste sie ausschließen wollen.
Prozessuale Integration bedenken
Der Einsatz eines SIEM erfordert neben der technischen auch eine detaillierte prozessuale Integration in bestehende oder neu zu schaffende Prozesse etwa für ein Security Incident Management. Ziel ist es, die anfallenden Ereignisalarme zügig im Rahmen einer Erstanalyse im First-Level-Support einzuordnen, gegebenenfalls gefolgt vom Einleiten der Schutzmaßnahmen bis hin zur Nachverfolgung durch Second- und Third-Level-Analyseteams.

SIEM innerhalb einer Multi Cloud ist aufwändiger. Schon durch die Anbindung verschiedener Cloud-Services ergeben sich allein durch die Vielzahl der unterschiedlichen Prozesse und der hohen Anzahl zu verwaltender Accounts zusätzliche Anforderungen. Diese beziehen sich sowohl auf die in das SIEM einzuliefernden Daten als auch auf deren Monitoring. Insbesondere letzteres ist ein wichtiger Faktor, denn gerade bei On-Demand-Provisionierungsprozessen innerhalb einzelner Clouds werden die grundlegenden Security-Mechanismen verankert.

Hierzu zählen der Einsatz von eingeschränkten, auf den Anwendungsfall zugeschnittene Benutzerrollen mit den dazugehörenden Rechten sowie vorgefertigte und freigegebene Basis-Images. Auch eine entsprechende Verschlüsselung bei Datenspeichern sowie das Einrichten von Zugriffsbeschränkungen der verwendeten Dienste durch Security-Gruppen sind wichtig. Auch hier bietet ein SIEM die notwendige Sichtbarkeit und informiert bei Abweichungen vom gewünschten Soll-Zustand. Die gängigsten Cloud Provider bringen von Haus aus die notwendigen Schnittstellen mit, um relevante Logs zur Verarbeitung durch ein SIEM bereitzustellen.


Beim richtigen Einsatz eines SIEM-Systems lassen sich auch in Multi-Cloud-Umgebungen Gefahren zielsicher aufspüren.

Der eigentliche Betrieb eines SIEM setzt sich aus mehreren Bereichen zusammen und stellt einen kontinuierlichen Prozess dar. Kommt es zu Änderungen in der IT-Landschaft müssen IT-Administratoren die Einstellungen innerhalb des SIEM den aktuellen Gegebenheiten anpassen. Dies umfasst allgemein neu einzubindende Log-Formate und Systeme, das kontinuierliche Anpassen der Filter- und Alarmregeln (Use Cases), um auch aktuellen Bedrohungen zu begegnen, sowie das Einspielen von Updates und Security Patches.

Dazu gehört ebenso ein 24/7-Regelbetrieb, um auftretende Ereignisse rund um die Uhr zu beobachten, zu analysieren und gegebenenfalls Schutzmaßnahmen einzuleiten. Deshalb ist ein SIEM im Idealfall in ein Security Operation Center (SOC) eingebunden. Die dortigen Mitarbeiter sind durch ihre Routine mit Sicherheitsvorfällen in der Lage, schnell zu reagieren und entsprechende Gegenmaßnahmen einzuleiten. Wollen Unternehmen SIEM als einen Managed Service nutzen, sollten sie darauf achten, ob der Provider den SIEM-Betrieb innerhalb eines SOC anbietet.

Fazit
SIEM-Systeme schaffen auch in komplexeren Multi-Cloud-Szenarien die Grundlage, um verdächtigen Aktivitäten zu erkennen. Entscheidend ist dabei das Einbinden relevanter Log-Quellen und deren Analyse. Dabei spielen Use Cases eine zentrale Rolle, um Alarme zu triggern und entsprechende Sicherheitsvorkehrungen zu treffen. Für kurze Reaktionszeiten im Ernstfall sollten die Prozesse für ein Security Incident Management sowie ein SOC etabliert sein. Dort eingebunden ermöglicht ein SIEM kurze Reaktionszeiten und angemessene Gegenmaßnahmen.

Seite 1: Datenbasis für SIEM schaffen
Seite 2: Use Cases für den Ernstfall erstellen

<< Vorherige Seite Seite 2 von 2
16.05.2018/ln/Torsten Jensen, Senior Security Consultant bei Nexinto.

Nachrichten

Selbstlernender DDoS-Schutz [25.06.2018]

A10 Networks stellt 'A10 One-DDoS Protection' vor. Das Produkt beinhaltet Software-Erweiterungen für die Appliances von A10, um Schutz vor komplexen DDoS-Angriffen zu bieten. One-DDoS Protection nutzt Machine-Learning-Technologien, um Angriffsmuster selbst zu erkennen. [mehr]

Erster Standard für Post-Quantum-Signaturen [15.06.2018]

Im Wettlauf zwischen der Rechenkraft von Computern und Technologien zur Verschlüsselung ist Bewegung: Das Quantencomputer-resistente Signaturverfahren, das ein gemeinsames Forscherteam der Technischen Universität Darmstadt und des deutschen IT-Sicherheitsunternehmens genua GmbH entwickelt hat, ist jetzt als Internet-Standard veröffentlicht worden. [mehr]

Tipps & Tools

Ruckeln im Legacy-Grafikmodus von XenDesktop beheben [24.06.2018]

Nach einem Update des Acrobat Reader DC auf die Version 17.012.20098 kann es in einer XenDesktop-Session (v7.15) unter Verwendung des Legacy-Grafikmodus zu stockenden Mausbewegungen kommen. Das Problem lässt sich jedoch relativ einfach auf mehrere Arten lösen. [mehr]

Citrix: Blackscreen-Problem lösen [29.04.2018]

Manchmal bekommen Benutzer in einer Citrix-Umgebung nur einen schwarzen Bildschirm angezeigt, wenn sie sich in einen HDX-3D-Pro-Desktop einloggen. Wenn sie die Größe oder den Fokus innerhalb des Desktops ändern (etwa Vollbild / Fenstermodus), wird das Desktopbild wiederhergestellt. Dies geschieht, wenn die Richtlinie von Microsoft für 'Nachrichtentext für Benutzer, die versuchen, sich anzumelden' aktiviert ist. Das Problem lässt sich mit einer Registry-Ergänzung aus der Welt schaffen. [mehr]

Buchbesprechung

Anzeigen