Cybersicherheit stärken mit SIEM-Use-Cases
Learning by Doing: Erst mit den passenden Use Cases lernt das Security Information and Event Management (SIEM) eines Unternehmens richtig laufen. Doch was gilt es bei der Auswahl zu beachten? Auf welche Weise erfolgt die Implementierung der Use Cases? Und welchen Qualitätssprung ermöglicht Machine Learning in Bezug auf die Cybersicherheit innerhalb der Organisation? Auf diese und weitere Fragen gibt der Gastbeitrag Antworten.
In der aktuellen digitalen Landschaft ist Cybersicherheit ein zentrales Anliegen für Unternehmen jeder Größe. Cyberangriffe nehmen in der Zahl zu und werden immer ausgereifter. Für Unternehmen ist es daher unerlässlich, proaktive Maßnahmen zu ergreifen, um ihre Netzwerke und Daten zu schützen. Besonders im Finanzsektor, wo der Schutz sensibler Kundendaten und die finanzielle Integrität oberste Priorität haben.
Laufen lernen mit den passenden Use Cases
Ein wichtiger Baustein moderner IT-Sicherheitsstrategien ist ohne Zweifel das Security Information and Event Management, kurz SIEM. Ein SIEM-System sammelt und analysiert sicherheitsrelevante Daten aus verschiedenen Quellen innerhalb eines Netzwerks. Diese Daten können alles umfassen, von Benutzeraktivitäten und Netzwerkverkehr bis hin zu Systemereignissen und Anwendungsprotokollen. Wie ein Radar scannt das System die IT-Landschaft nach potenziellen Bedrohungen und informiert das Sicherheitsteam über ungewöhnliche Aktivitäten, die auf einen Cyberangriff hindeuten.
Doch ein SIEM-System ist nur so gut, wie die Use Cases, auf die es aufbaut. Sie sind der Schlüssel, um rasant wachsende Mengen an Sicherheitsdaten sinnvoll zu verarbeiten und Sicherheitsvorfälle rechtzeitig zu identifizieren und zu melden. Dabei handelt es sich um vordefinierte Szenarien, die bestimmen, welche Arten von Bedrohungen und Anomalien das System erkennen und wie diese zu bewerten sind. Dabei gilt: Je präziser diese Szenarien definiert sind, desto effektiver kann das SIEM-System seinen Aufgaben nachkommen.
Schritt für Schritt zur optimalen Konfiguration
Von Finanzunternehmen eingesetzte SIEM-Systeme überwachen in der Regel täglich Milliarden von Events – das ist ein riesiger Berg an Informationen, die es zu verarbeiten gilt. Die Systeme müssen also in die Lage versetzt werden, schnell und zielgerichtet zu unterscheiden: Welche spezifischen Bedrohungen und Anomalien sollen erkannt werden? Welche Datenquellen stehen zur Verfügung? Welche Events sind für die IT-Sicherheit harmlos, von welchen geht eine Gefahr aus? Es gilt, Kriterien festzulegen, nach denen das System Sicherheitsvorfälle priorisiert. Nur so stellen Organisationen sicher, dass die kritischsten Bedrohungen zuerst adressiert werden. Dies ermöglicht eine schnellere Reaktion auf potenziell schwerwiegende Sicherheitsvorfälle.
Dabei zahlt sich ein strategisches Vorgehen aus: Ausgangspunkt für die Entwicklung geeigneter Use Cases ist eine Risikoanalyse, auch als Threat Modeling bekannt. In dieser Phase werden zum einen Angriffsvektoren ermittelt. Das sind Methoden, die Angreifer nutzen könnten, um ins System einzudringen. Zum anderen richtet sich der Blick auf die eigene Infrastruktur und unternehmensspezifische Assets. Wo finden sich Schlupflöcher? Was sind besonders kritische und wertvolle Informationen?
Die Ergebnisse der Bedrohungsanalyse sind schließlich die Basis für die Ermittlung der Use Cases. Doch bevor es an die Erstellung geht, muss sichergestellt werden, dass die geplanten Anwendungsfälle tatsächlich umsetzbar sind. Im Rahmen der Loganalyse ist sorgfältig zu untersuchen, ob die relevanten Ereignisse in den Netzwerk- und Systemprotokollen auftauchen und ob sie vom SIEM-System ausgelesen werden können. Erst danach ist es sinnvoll, den nächsten Schritt anzugehen: das Rule Engineering. Hierbei stellt sich die entscheidende Frage, wie das SIEM-System befähigt werden kann, auf die Attribute der Ereignisse zuzugreifen und daraus die richtigen Schlüsse zu ziehen. Dazu muss eine Regellogik entwickelt werden, die in der Lage ist, abnormales Verhalten aus einem Ereignis zuverlässig zu erkennen.
SIEM als lebendiges System
Threat Modeling, Loganalyse, Rule Engineering – das sind drei Schritte eines Prozesses, der im Detail noch weitaus komplexer und vielschichtiger ist und zudem niemals abgeschlossen ist. Denn SIEM ist ein lebendiges System. Wirklich leistungsfähig ist es nur, wenn es mit der sich ständig ändernden Bedrohungslage Schritt halten kann. Es ist daher wichtig, die Use Cases permanent zu aktualisieren und zu optimieren. Dazu gehört zum Beispiel, dass Erkennungsregeln verfeinert und Fehlalarme weiter reduziert werden. Auch die eigene Systemumgebung ändert sich im Laufe der Zeit immer wieder, was wiederum neue False Alarms auf den Plan rufen kann. Das "Finetuning" der SIEM Use Cases erweist sich damit als eine Daueraufgabe.
Eine ganz neue Qualität im Einsatz eines SIEM-Systems ermöglicht zudem künstliche Intelligenz und die Anwendung von Machine Learning. Dank dieser Technologien ist es möglich, die Anpassung von Regeln und Parametern automatisiert vorzunehmen. Grundlage dafür sind enorme Datenmengen, die das System mit Hilfe von Algorithmen in Echtzeit auswerten kann. Auch die Use Cases können ihre Arbeit anhand von Maschine Learning-Algorithmen wesentlich präziser verrichten. Was sie von ihren faktenbasierten Vorgängern unterscheidet: Sie entwickeln ein wesentlich tieferes Verständnis darüber, was ein "normales" Verhalten auszeichnet und können somit effizienter ableiten, wenn etwas verdächtig ist.
Ein simples Beispiel: Loggen sich Mitarbeiter in ein Unternehmensnetzwerk ein, erkennt ein traditionelles SIEM-System, das auf faktenbasierte Use Cases zugreift, nur die Momente des Einwählens. Modellbasierte Use Cases wenden hingegen einen Algorithmus an, der ein auf die User zugeschnittenes Loginverhalten auf Basis erhobener Daten definiert. Die Wahrscheinlichkeit, dass das System eine Anomalie richtigerweise erkennt, ist damit um ein Vielfaches höher.
Fazit
SIEM-Systeme sind für die Cyberresilienz heutiger Unternehmen unverzichtbar. Wie sie performen, hängt wesentlich von den Use Cases ab, die zum Einsatz kommen. Je besser sie auf die individuelle Bedrohungslage eines Unternehmens ausgerichtet sind, desto effizienter können sie zum Schutz der IT-Infrastruktur beitragen. Darüber hinaus muss das SIEM-System in der Lage sein, dynamisch auf Änderungen in der Bedrohungslage zu reagieren. Auch hier zahlt sich der Fokus auf wirklich relevante Use Cases aus. Für die Zukunft bieten besonders modellbasierte Use Cases spannende Perspektiven. Durch den Einsatz von Machine Learning-Algorithmen entwickeln sie ein tiefes Verständnis über ein normales Verhalten und können so Anomalien in der IT-Umgebung um ein Vielfaches präziser und zuverlässiger identifizieren.
ln/Christian Nern, Partner und Head of Security bei KPMG, und Julian Krautwald ist Practice Lead Detection & Response bei KPMG