Fachartikel

Mit SIEM die Multi Cloud überwachen

Sicherheit ist ein Dauerthema und bei der Multi Cloud keine einfache Angelegenheit. Ein System für Security Information and Event Management (SIEM) hilft dabei, ungewöhnlichen Datenverkehr und damit potenzielle Sicherheitsvorfälle aufzudecken. Es analysiert alle Datenströme im Netzwerk und triggert einen Alarm, wenn Anomalien auftreten. Der Beitrag zeigt, wie definierte Use Cases und eine angepasste Informationsbasis an Log-Quellen für einen zielführenden SIEM-Einsatz innerhalb von Multi-Cloud-Umgebungen sorgen.
SIEM-Systeme eignen sich auch in Multi-Cloud-Umgebungen als Schutzschild gegen Gefahren.
Die Zunahme von Multi-Cloud-Szenarien steht für den Erfolg dieser Technologie in den letzten Jahren. Unternehmen virtualisieren immer mehr Prozesse und Workloads und verlagern sie in die Cloud. Der parallele und verzahnte Einsatz verschiedener Cloudmodelle und Services hat Vorteile. Aber in Hinblick auf die Sicherheit im täglichen Betrieb birgt die Komplexität der Multi Cloud einige Herausforderungen. Hier gilt es, den Überblick über eine Vielzahl von vernetzten Systemen und Anwendungen zu behalten.

Sicherheit dreht sich hier um Aspekte wie Identity und Access Controls, den Schutz von Workloads, Daten und Netzwerken sowie Compliance-Themen. Um Auffälligkeiten zu entdecken, die auf Sicherheitsvorfälle oder Störungen in diesen Bereichen hindeuten, ist ein SIEM-System ideal. Es analysiert alle Datenströme im Netzwerk und triggert einen Alarm, sobald eine Anomalie auftritt. Ein solches Frühwarnsystem ermöglicht im Ernstfall kurze Reaktionszeiten und eine Auswertung betroffener Systeme. SIEM kommt bereits seit Jahren in Unternehmen zum Einsatz.

Laut einer Erhebung des Branchenverbandes Bitkom verfügt heute gut ein Drittel der Unternehmen in Deutschland über ein SIEM. Mit der fortschreitenden Digitalisierung steigt die Nachfrage, um die notwendige Transparenz für die IT-Sicherheit zu erhalten. Deshalb planen auch weitere 25 Prozent die Einführung eines SIEM. Mit der Cloud ergeben sich daraus allerdings zusätzliche Anforderungen an Einführung und Betrieb.
Datenbasis für SIEM schaffen
Mit dem Einsatz von Cloud Services verändert sich die Gefährdungslage von Unternehmen. Die veränderten Risiken müssen sie beim Betrieb von SIEM-Systemen berücksichtigen. Zwar propagieren einige Cloud Provider das Modell der Shared Responsibility – der geteilten Verantwortung – für die Sicherheit, dennoch gilt es Vorsichtsmaßnahmen zu treffen. Nutzen Unternehmen etwa externe Cloud Repositories auf GitHub, um bestimmte Konfigurationen abzulegen, muss der Cloud Provider dort hinterlegte Login-Daten schützen.

Darauf sollten sich Unternehmen allerdings nicht zwangsläufig allein verlassen. Kommt es etwa zum Diebstahl dieser Login-Daten und ein Internetkrimineller versucht über diese auf den Service des zuzugreifen, schlägt ein SIEM-System beim Unternehmen im Idealfall Alarm. Auslöser dafür wären etwa mit dem üblichen Login-Verhalten nicht übereinstimmendende Parameter wie Tageszeit, Standort oder IP-Adresse. Welche Werte für einen bestimmten Parameter als zulässig gelten, ist vorher durch die IT-Administratoren festzulegen.

Für einen Abgleich von zulässigen und unzulässigen Werten analysiert ein SIEM-System in Echtzeit alle relevanten Daten im Netzwerk (Datenaggregation) und stellt diese in Zusammenhang (Korrelation). Ein SIEM ist daher nur so gut, wie die angebundenen Log-Quellen. Multi-Cloud-Risiken gilt es, durch die Erzeugung von neuen Log Events durch entsprechenden Monitoring-Aktivitäten sichtbar zu machen.

Ein Bespiel für Log Events durch eine fehlerhafte Rechtevergabe auf einem Storage-Bereich innerhalb einer Public Cloud: Ein Angreifer ist in den Besitz eines API Access Key gelangt und versucht auf weitere Systeme in der Cloud zuzugreifen. Es entstehen fehlerhafte API-Aufrufe, die etwa aufgrund von eingeschränkten Rechten für die Aktionen entsprechende Log Events erzeugen. Nicht zuletzt deshalb müssen IT-Administratoren vor allem einen Überblick über die vorhandenen Cloud Accounts und -Instanzen haben, um diese für SIEM aufzubereiten. Im Regelfall sind SIEM-Systeme an Informationsquellen wie Syslogs (Firewall, Switches, Router, Systemlogs, Virenschutz), Netflow-Daten, Asset-Informationen über eine Configuration Management Database (CMDB) sowie Business-Intelligence- und Prozess-Informationen anbindbar.

Je nach Hersteller umfasst ein SIEM auch Agenten, die tiefergehende Informationen der Systeme bereitstellen etwa zum Patch-Stand einer Anwendung oder die CPU-Auslastung. SIEM-Systeme erhalten durch das Einbinden von vielfältigen Log-Quellen eine möglichst breite Informationsbasis. Gleichzeitig gilt hier nicht automatisch "viel hilft viel". Es gibt Logs, die für SIEM nicht relevant sind. Deshalb sollten sich IT-Administratoren vorher genau überlegen, welche Risiken sie mit einem SIEM-System abdecken wollen. Daraus ergeben sich dann die Rahmenbedingungen für einzelne Alarm-Szenarien. Diese werden in Use Cases vorab erfasst und beschrieben.

Seite 1: Datenbasis für SIEM schaffen
Seite 2: Use Cases für den Ernstfall erstellen


Seite 1 von 2 Nächste Seite >>
16.05.2018/ln/Torsten Jensen, Senior Security Consultant bei Nexinto.

Nachrichten

Sicherheitslücken in verbreiteten IoT-Protokollen [14.12.2018]

Trend Micro warnt Unternehmen vor möglichen Sicherheitslücken in ihrer Betriebstechnologie. Forscher des japanischen IT-Sicherheitsanbieters entdeckten massive Schwachstellen und gefährdete Anwendungen von zwei weit verbreiteten Protokollen für die Machine-to-Machine-Kommunikation. [mehr]

Neue A4-Multifunktionsdrucker von Sharp [29.11.2018]

Sharp erweitert sein Portfolio an Multifunktionssystemen um eine neue Serie von A4-Schwarzweiß-Geräten. Die neuen Modelle 'MX-B355W' und 'MX-B455W' sowie 'MX-B450W/MX-B350W' und 'MX-B450P/MX-B350P' sollen unter anderem mit leistungsstarken Workflow-Funktionen punkten. [mehr]

Tipps & Tools

Neues Training: Amazon Web Services für KMUs [26.11.2018]

Nach anfänglichen, hauptsächlich auf Sicherheitsfragen basierenden Bedenken gegen die Nutzung von Public-Cloud-Diensten, steigt der Einsatz von IaaS- oder SaaS-Diensten nun auch bei in Deutschland beheimateten Unternehmen rasant an. Doch gerade für KMU mit einer kleinen IT-Mannschaft gilt es dabei, die Komplexität der von Amazon Web Services angebotenen Dienste ebenso zu beherrschen wie die Integration in die lokale IT. Unser  Training im Frühjahr 2019 greift Ihnen unter die Arme. [mehr]

Kabellose Ladestation für unterwegs [15.09.2018]

Mittlerweile ist eine Powerbank schon regulärer Standard für mobile Arbeitsbienen und ihre Geräte. Daher muss der moderne Geek aufrüsten und das Smartphone mittels Induktion zum Weiterleben anregen. Dabei machen Sie sich gleichzeitig auch noch unterwegs vom Kabelwirrwarr frei. Die drahtlose Powerbank von Vooni ist mit allen Qi-zertifizierten Geräten bis 5 Watt kompatibel. Gleichzeitig lassen sich parallel außerdem das Tablet oder andere Telefone mit dem USB-Kabel laden. [mehr]

Buchbesprechung

Praxisbuch IT-Dokumentation

von Manuela und Georg Reiss

Anzeigen