Best Practices für Security Information and Event Management (SIEM)

SIEM-Lösungen fassen Ereignis- und Bedrohungsdaten zusammen und liefern fundierte Sicherheitsinformationen. In diesem Tipp finden Sie Best Practices.

Security Information and Event Management (SIEM) genoss in den letzten Jahren keinen allzu guten Ruf. Die Beschwerden reichen von hoher Komplexität bis hin zum übermäßigen Bedarf an zusätzlichen professionellen Dienstleistungen – denn viele Unternehmen machten bei der Implementierung von SIEM-Lösungen zur Überwachung ihrer IT-Sicherheit schlechte Erfahrungen.

Diese Zeiten sind vorbei. Um fair zu sein: Technik ist mittlerweile nicht mehr der Grund, warum Unternehmen mit ihren SIEM-Implementierungen kämpfen. Die führenden SIEM-Plattformen basieren jetzt auf speziellen Datenspeichern, die genügend Leistung und Skalierbarkeit bieten. 

Da System-Konnektoren und Log Aggregatoren zuverlässig und effizient arbeiten, vereinfacht sich auch die Datensammlung. SIEM-Lösungen fassen grundsätzlich Ereignis-, Bedrohungs- sowie Risikodaten zusammen und liefern fundierte Sicherheitsinformationen, schnelle Reaktionen auf Sicherheitsvorfälle, lückenlose Protokollverwaltung und erweiterbare Compliance-Berichte.

Einen Haken haben SIEM und jede andere Technologie, die auf einer regelbasierten Richtlinie beruht, noch: Die Lösungen müssen wissen, wonach sie suchen. SIEM erkennt nicht automatisch einen Angriff, der eine neue Methode oder eine Sicherheitslücke nutzt, die bislang niemand oder nur wenige Personen entdeckt haben.

SIEM spielt immer noch eine wichtige Rolle bei der Erkennung von bekannten bösartigen Attacken. Aber damit die Lösung sowohl bekannte als auch unbekannte Angriffsarten erfolgreich identifiziert, müssen Unternehmen Sicherheitsrichtlinien und Regeln aufstellen, um die Bedingungen und Indikatoren für einen Angriff auf ihre Umgebung zu sehen – und sie müssen diese Bedingungen konsequent überwachen.

Sammeln Sie alle Daten

SIEM ergibt nur Sinn, wenn genügend Daten für die Analyse vorhanden sind. Daher geht es im ersten Schritt darum, die richtigen Daten zu sammeln. Was heißt das? Beginnen Sie mit offensichtlichen Informationen wie den Logdaten von Netzwerk-, Sicherheits-Geräten und Servern. 

Diese Daten sind reichlich vorhanden und einfach zu sammeln. Im nächsten Schritt ermitteln sie die Logdaten der Applikations-Infrastruktur (Datenbanken, Anwendungen). SIEM-Experten nutzen auch andere Datenquellen wie Identitätsdaten, Netzwerkströme, die Ergebnisse von Schwachstellen-Scans und Konfigurationsdaten.

Je größer die Datenmenge, umso besser für das SIEM-System. Unternehmen sollten daher - falls möglich - alle Daten sammeln. Zudem ist anzuraten, die Datenerfassung zu priorisieren, sprich zunächst die Daten aus den wichtigsten Assets zu sammeln, also von Geräten, die in einer geschützten Umgebung stehen und regulierte Daten verwalten. Hohe Priorität genießen Systeme, auf denen unternehmenskritisches geistiges Eigentum liegt.

Aufstellen der Regeln und Richtlinien

Der Aufbau einer Regelbasis für SIEM ist ein iterativer Prozess. Das bedeutet, dieser Prozess läuft relativ langsam ab und muss über einen längeren Zeitraum hinweg verfeinert und verbessert werden. Viele Menschen bekommen anfangs eine Art „Analyse-Lähmung“, weil es Millionen von möglichen Regeln gibt, die eingerichtet werden können. Daher sollten Unternehmen zunächst an offensichtliche und gegenwärtige Gefahren denken und daraus die Regeln bestimmen, die sie zuerst definieren wollen.

Beim Modellieren des Prozesses sollten sie mit einem wichtigen Asset starten. Versetzen Sie sich in die Rolle des Angreifers und überlegen Sie, welche Daten Sie gerne stehlen würden:

  • Entwickeln Sie die Attacke: Stellen Sie sich vor, Sie sind der Angreifer. Wie würden Sie einbrechen und die Daten stehlen? Modellieren Sie den Angriff und nummerieren Sie den Angriffsvektor im SIEM-Tool. Vergessen Sie dabei nicht die Exfiltration. Sie bietet eine weitere Möglichkeit, Angriffe zu erkennen, bevor die Daten weg sind. Gehen Sie mit realistischen Erwartungen in diesen Prozess. Ihr Bedrohungsmodell wird nicht vollständig sein. Es geht hier vor allem darum, sich potenzielle Bedrohungen vorzustellen und diese so umfassend wie möglich zu modellieren.
  • Verfeinern Sie die Regeln: Starten Sie den Angriff gegen sich selbst. Es gibt eine Unmenge von Werkzeugen, um Ihre Umgebung zu hacken, also nutzen Sie diese. Wie reagiert die SIEM-Lösung? Sendet sie den richtigen Alert zum richtigen Zeitpunkt? Liefert der Alarm ausreichend Informationen mit, um den Angriff analysieren zu können und das richtige Gegenmittel zu finden? Ist dies nicht der Fall, gehen Sie einen Schritt zurück und verfeinern Sie die Regeln, bis es funktioniert.
  • Optimieren Sie die Schwellenwerte: Mit der Zeit wird ersichtlich, ob die SIEM-Warnungen zu oft oder zu selten auftreten. Passen Sie daher die Schwellenwerte entsprechend an. Dies ist immer ein Balanceakt. Sind die Schwellenwerte zu eng gesetzt, erhalten Sie weniger Meldungen; es besteht aber die Gefahr, einen Angriff zu verpassen. Im umgekehrten Fall treten Warnungen zu oft auf.
  • Stetige Verbesserung und Wiederholung: Nachdem Sie die Regeln für die jeweilige Attacke implementiert und optimiert haben, wechseln Sie zum nächsten Angriffsvektor und erstellen hier die entsprechenden Regeln und so weiter.

Dieser Prozess ist niemals abgeschlossen. Unternehmen müssen ständig neue Angriffe modellieren und neue Indikatoren überwachen. Es ist daher äußerst wichtig, die neuesten Sicherheits-Nachrichten zu verfolgen, um herauszufinden, welche Angriffs-Typen gerade üblich sind.

Aktuelle Threat Reports wie der Mandiant APT1 Bericht enthalten diese Informationen. Und sie empfehlen, dass jedes Unternehmen eine SIEM-Lösung einsetzen sollte. Mit Informationen zur Bedrohungslandschaft und einer umfassenden Datensammlung der Umgebung gibt es keine Ausreden mehr. Beginnen Sie mit der Suche nach fortschrittlichen Angriffen (Advanced Attacks), die kontinuierlich auftreten.

Im Laufe der Zeit wird es notwendig sein, die SIEM-Lösung um neue Datentypen zu ergänzen. Dann müssen Sie alle SIEM-Regeln entsprechend anpassen. Allein der erfasste und an das SIEM geschickte Netzwerk-Traffic bietet eine Fülle von neuen Informationen zur Auswertung. 

Wie kann man mit der Auswertung des aktuellen Netzwerkverkehrs die Suche nach einem bestimmten Angriff beeinflussen? Welche anderen Regeln sind möglich, um den Angriff schneller zu erkennen? Das sind keine trivialen Fragen. Denn überprüfen Sie die SIEM-Regeln nicht, wenn Sie eine Datenquelle ergänzen oder entfernen, kann es sein, dass Sie einen Angriff verspätet oder gar nicht erkennen.

Über den Autor:
Mike Rothman ist Präsident von Securosis, einer unabhängigen Informationssicherheits- und Beratungsfirma. Rothman sieht sich in der Rolle, die Diskussion über die Bedeutung der Informationssicherheit für das Kerngeschäft eines Unternehmens voranzubringen. Er war der erste Netzwerk-Security-Analyst bei der META Group, bekleidete Führungsposition bei CipherTrust und TruSecure und ist Gründer von SHYM Technology.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Februar 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Vulnerability-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close