von Redaktion IT-A…
Lesezeit
3 Minuten
Darauf sollten Sie bei einem SIEM-Werkzeug achten
Um IT-Umgebungen umfassend abzusichern, verfügen Unternehmen heute über mindestens eine Firewall an jedem Punkt, an dem das Netzwerk mit dem Internet verbunden ist. Auf Workstations, auch auf Servern, kommen Lösungen zum Erkennen und Beseitigen von Malware und Viren zum Einsatz. Weitere Werkzeuge verwalten die Zugriffsberechtigungen auf interne Ressourcen. All diese Systeme sammeln und produzieren Daten, was einige Herausforderungen darstellt. Der Fachartikel erklärt, warum es sich lohnt in eine SIEM-Lösung zu investieren und was dabei zu beachten ist.
Die schiere Menge an Daten kann schon zum Problem werden. Auch wenn der Begriff Big Data oft inflationsartig und nicht immer korrekt Verwendung findet, können durch sicherheitsrelevante Informationen einige GByte am Tag zusammenkommen. Nach einem Monat sind Unternehmen dann schon im TByte-Bereich. Das andere Problem ist das Format der Daten: Logquellen senden unter Umständen recht kryptische Daten, die nicht einfach zu verstehen sind. Darüber hinaus ist es nahezu unmöglich, verschiedene Dateien in Relation zu setzen, sofern kein geeignetes Werkzeug vorhanden ist.
Tools sammeln und ordnen Daten
An dieser Stelle kommen Werkzeuge ins Spiel, deren Aufgabe es ist, die Daten zu sammeln und zentral abzulegen. Die einfachste Variante ist ein Syslog-Server, der unter Umständen auch Unterstützung für Windows-Eventlogs bietet. Damit ist es möglich, sämtliche Logs zu archivieren und im Bedarfsfall nach ihnen zu suchen. Syslog-Server sind üblicherweise relativ günstig, schnell eingerichtet und einfach zu verstehen. Leider bieten sie jedoch keine speziellen Features, um die Bearbeitung von sicherheitsrelevanten Daten zu vereinfachen.
Es empfiehlt sich daher, in ein Tool zum Security Information and Event Management, kurz SIEM, zu investieren. Diese Werkzeuge sind genau zu dem Zweck entwickelt worden, Logs von verschiedenen Quellen zu visualisieren und zu korrelieren. SIEMs nutzen verschiedene Technologien, um Logs zu verstehen und zu normalisieren, vergleichbar mit Babelfisch. Diese Komponenten zerlegen nicht nur die Formatierung eines Syslog – um bei dem Beispiel zu bleiben – sondern erkennen zudem den Inhalt des Message-Feldes. Damit sind wir direkt beim ersten Kriterium zur Auswahl der korrekten Software: Es ist natürlich vorab sicherzustellen, dass die im Unternehmen bereits eingesetzten Geräte beziehungsweise Anwendungen unterstützt werden.
Bedienungsfreundlichkeit gleicht Zeit- und Kompetenzmangel aus
IT-Sicherheit ist kein einfaches Thema. Bei größeren Unternehmen gibt es dedizierte Security-Advisors oder Administratoren. Das ist sehr praktisch, aber für ein KMU leider nicht zu realisieren. Hier übernimmt häufig jemand die Sicherheitsaufgaben, der aus einem ganz anderen Fachbereich kommt, für das Thema also nicht unbedingt die nötigen Kompetenzen hat, und kaum Zeit mitbringt.
Häufig wird diese Aufgabe dem Netzwerkadministrator aufgebürdet. Sicher hat dieser Kenntnis von Security-Themen. Ein Experte ist er aber vermutlich nicht. Auch hat er in der Regel andere Prioritäten – nämlich das Netzwerk und somit das Unternehmen am Laufen zu halten. In KMUs ist es nicht möglich, wochenlang mit der Konfiguration eines SIEMs zu verbringen oder darüber hinaus Zeit für permanente Wartungsarbeiten zu verschwenden. Bedienungsfreundlichkeit ist daher ein weiteres Merkmal bei der Auswahl einer SIEM-Lösung.
In der Evaluierungsphase eines SIEMs werden in der Regel nur ein paar Geräte eingepflegt, was allerdings ausreicht, um den Gesamtaufwand einzuschätzen. Nachdem das SIEM installiert ist, empfiehlt es sich, zumindest eine Firewall und einen Domaincontroller einzubinden, um ein Gefühl für die Bedienbarkeit zu bekommen. Wenn der IT-Verantwortliche erst ein Studium beginnen muss, um die Bildschirmanzeige zu verstehen, ist es vielleicht nicht das richtige Werkzeug. Im Ernstfall kann sich kein Unternehmen leisten, Antwortzeit durch komplexe Bedienung zu verschwenden.
Automatisierung leicht gemacht
Idealerweise bringt das SIEM auch Methoden zur Automatisierung mit. Zwar lässt sich nicht jede einzelne Situation vorhersehen – wenn das möglich wäre, gebe es keine Bedrohungen mehr. Aber es lassen sich typische Szenarien abbilden, um einige Risiken zu minimieren. Ein typisches Beispiel: Ein Benutzer verbindet sich außerhalb der Geschäftszeiten über VPN mit dem Netzwerk und greift auf einen Fileserver zu. Wenn die Situation eintritt, ergeben sich weitere Optionen zur automatischen Beantwortung, zum Beispiel kann der Benutzer direkt wieder ausgeloggt werden, alternativ ließe sich bei wiederholten Versuchen das Konto temporär sperren, ebenfalls komplett automatisch.
Mögliche Bausteine einer automatisierten Regel.
Ein weiteres wichtiges Thema sind Berichte. IT-Experten sollte sich Gedanken machen, welche Art von Bericht benötigt wird und von wem. Unterliegt die Organisation Regularien wie SOX oder ISO, bedarf es spezieller Berichte, um die Compliance zu belegen. Manche SIEMs bringen diese Berichte von Haus aus mit, ebenso wie die Standards, zum Beispiel "wer hat in den letzten sieben Tagen auf einen Ordner des Betriebsrats zugegriffen". Ebenso gilt es, die Frage der Skalierung zu beantworten. Wie viele Daten treffen ein? Kann das System damit umgehen? Ein SIEM, das heute ausreicht, hat in einem Jahr vielleicht Probleme, der wachsenden Datenmenge Herr zu werden.
Eine Frage der Systemsicherheit
Da das SIEM unter Umständen vertrauliche Daten verarbeitet, stellt sich ferner die Frage nach der Sicherheit des Systems an sich. Gibt es ein Rechtemanagement? Wie läuft das Login ab, lässt sich MFA implementieren? Außerdem, und das ist äußerst wichtig: Wo werden die Daten abgelegt und sind sie sicher vor Manipulation? Es ist zwar unwahrscheinlich, dass bei einem erfolgreichen Einbruch ein Angreifer beim Verwischen der Spuren versucht, diese aus dem SIEM zu löschen. Aber was ist mit dem Mitarbeiter aus dem Helpdesk, der mit seinem Admin-Konto auf alles zugreifen kann und sich plötzlich für die Höhe des Gehalts seiner Kollegen interessiert? Derjenige kennt die Infrastruktur und könnte sehr wohl versuchen, eventuelle Logs zu verändern.
Bonuspunkte sammeln SIEM-Werkzeuge mit zusätzlichen Features. Beispielsweise könnte die Software den Server automatisch herunterfahren, sobald ein Malware-Wurm zuschlägt. Manche SIEM-Lösungen binden auch externe Informationsquellen an, wie Daten über entführte Webseiten oder Schwachstellen bei bekannter Software. Selbst wenn der Kauf eines SIEMs gerade keine Option ist, kann ein Test sinnvoll sein, um auf mögliche Probleme aufmerksam zu werden. Denn das fällt im Alltag oft schwer – dort sehen die IT-Profis oft den Wald vor lauter Bäumen nicht.
Fazit
Gerade in KMUs sind SIEM-Tools wichtig, da sich hier selten dedizierte Ressourcen für die Sicherheitsfragen abstellen lassen. Nur sollten sich IT-Verantwortliche die zur Auswahl stehenden Lösungen vorher genau anschauen und auf die Kriterien Bedienung, Automatisierung, Berichtfunktion, Sicherheit und mögliche Zusatzfunktionen achten. Ist hier alles im grünen Bereich, dann lohnt die Evaluierung.
ln/Sascha Giese, Head Geek bei SolarWinds
Tools sammeln und ordnen Daten
An dieser Stelle kommen Werkzeuge ins Spiel, deren Aufgabe es ist, die Daten zu sammeln und zentral abzulegen. Die einfachste Variante ist ein Syslog-Server, der unter Umständen auch Unterstützung für Windows-Eventlogs bietet. Damit ist es möglich, sämtliche Logs zu archivieren und im Bedarfsfall nach ihnen zu suchen. Syslog-Server sind üblicherweise relativ günstig, schnell eingerichtet und einfach zu verstehen. Leider bieten sie jedoch keine speziellen Features, um die Bearbeitung von sicherheitsrelevanten Daten zu vereinfachen.
Es empfiehlt sich daher, in ein Tool zum Security Information and Event Management, kurz SIEM, zu investieren. Diese Werkzeuge sind genau zu dem Zweck entwickelt worden, Logs von verschiedenen Quellen zu visualisieren und zu korrelieren. SIEMs nutzen verschiedene Technologien, um Logs zu verstehen und zu normalisieren, vergleichbar mit Babelfisch. Diese Komponenten zerlegen nicht nur die Formatierung eines Syslog – um bei dem Beispiel zu bleiben – sondern erkennen zudem den Inhalt des Message-Feldes. Damit sind wir direkt beim ersten Kriterium zur Auswahl der korrekten Software: Es ist natürlich vorab sicherzustellen, dass die im Unternehmen bereits eingesetzten Geräte beziehungsweise Anwendungen unterstützt werden.
Bedienungsfreundlichkeit gleicht Zeit- und Kompetenzmangel aus
IT-Sicherheit ist kein einfaches Thema. Bei größeren Unternehmen gibt es dedizierte Security-Advisors oder Administratoren. Das ist sehr praktisch, aber für ein KMU leider nicht zu realisieren. Hier übernimmt häufig jemand die Sicherheitsaufgaben, der aus einem ganz anderen Fachbereich kommt, für das Thema also nicht unbedingt die nötigen Kompetenzen hat, und kaum Zeit mitbringt.
Häufig wird diese Aufgabe dem Netzwerkadministrator aufgebürdet. Sicher hat dieser Kenntnis von Security-Themen. Ein Experte ist er aber vermutlich nicht. Auch hat er in der Regel andere Prioritäten – nämlich das Netzwerk und somit das Unternehmen am Laufen zu halten. In KMUs ist es nicht möglich, wochenlang mit der Konfiguration eines SIEMs zu verbringen oder darüber hinaus Zeit für permanente Wartungsarbeiten zu verschwenden. Bedienungsfreundlichkeit ist daher ein weiteres Merkmal bei der Auswahl einer SIEM-Lösung.
In der Evaluierungsphase eines SIEMs werden in der Regel nur ein paar Geräte eingepflegt, was allerdings ausreicht, um den Gesamtaufwand einzuschätzen. Nachdem das SIEM installiert ist, empfiehlt es sich, zumindest eine Firewall und einen Domaincontroller einzubinden, um ein Gefühl für die Bedienbarkeit zu bekommen. Wenn der IT-Verantwortliche erst ein Studium beginnen muss, um die Bildschirmanzeige zu verstehen, ist es vielleicht nicht das richtige Werkzeug. Im Ernstfall kann sich kein Unternehmen leisten, Antwortzeit durch komplexe Bedienung zu verschwenden.
Automatisierung leicht gemacht
Idealerweise bringt das SIEM auch Methoden zur Automatisierung mit. Zwar lässt sich nicht jede einzelne Situation vorhersehen – wenn das möglich wäre, gebe es keine Bedrohungen mehr. Aber es lassen sich typische Szenarien abbilden, um einige Risiken zu minimieren. Ein typisches Beispiel: Ein Benutzer verbindet sich außerhalb der Geschäftszeiten über VPN mit dem Netzwerk und greift auf einen Fileserver zu. Wenn die Situation eintritt, ergeben sich weitere Optionen zur automatischen Beantwortung, zum Beispiel kann der Benutzer direkt wieder ausgeloggt werden, alternativ ließe sich bei wiederholten Versuchen das Konto temporär sperren, ebenfalls komplett automatisch.
Ein weiteres wichtiges Thema sind Berichte. IT-Experten sollte sich Gedanken machen, welche Art von Bericht benötigt wird und von wem. Unterliegt die Organisation Regularien wie SOX oder ISO, bedarf es spezieller Berichte, um die Compliance zu belegen. Manche SIEMs bringen diese Berichte von Haus aus mit, ebenso wie die Standards, zum Beispiel "wer hat in den letzten sieben Tagen auf einen Ordner des Betriebsrats zugegriffen". Ebenso gilt es, die Frage der Skalierung zu beantworten. Wie viele Daten treffen ein? Kann das System damit umgehen? Ein SIEM, das heute ausreicht, hat in einem Jahr vielleicht Probleme, der wachsenden Datenmenge Herr zu werden.
Eine Frage der Systemsicherheit
Da das SIEM unter Umständen vertrauliche Daten verarbeitet, stellt sich ferner die Frage nach der Sicherheit des Systems an sich. Gibt es ein Rechtemanagement? Wie läuft das Login ab, lässt sich MFA implementieren? Außerdem, und das ist äußerst wichtig: Wo werden die Daten abgelegt und sind sie sicher vor Manipulation? Es ist zwar unwahrscheinlich, dass bei einem erfolgreichen Einbruch ein Angreifer beim Verwischen der Spuren versucht, diese aus dem SIEM zu löschen. Aber was ist mit dem Mitarbeiter aus dem Helpdesk, der mit seinem Admin-Konto auf alles zugreifen kann und sich plötzlich für die Höhe des Gehalts seiner Kollegen interessiert? Derjenige kennt die Infrastruktur und könnte sehr wohl versuchen, eventuelle Logs zu verändern.
Bonuspunkte sammeln SIEM-Werkzeuge mit zusätzlichen Features. Beispielsweise könnte die Software den Server automatisch herunterfahren, sobald ein Malware-Wurm zuschlägt. Manche SIEM-Lösungen binden auch externe Informationsquellen an, wie Daten über entführte Webseiten oder Schwachstellen bei bekannter Software. Selbst wenn der Kauf eines SIEMs gerade keine Option ist, kann ein Test sinnvoll sein, um auf mögliche Probleme aufmerksam zu werden. Denn das fällt im Alltag oft schwer – dort sehen die IT-Profis oft den Wald vor lauter Bäumen nicht.
Fazit
Gerade in KMUs sind SIEM-Tools wichtig, da sich hier selten dedizierte Ressourcen für die Sicherheitsfragen abstellen lassen. Nur sollten sich IT-Verantwortliche die zur Auswahl stehenden Lösungen vorher genau anschauen und auf die Kriterien Bedienung, Automatisierung, Berichtfunktion, Sicherheit und mögliche Zusatzfunktionen achten. Ist hier alles im grünen Bereich, dann lohnt die Evaluierung.
ln/Sascha Giese, Head Geek bei SolarWinds
