SIEM-Technologie deckt unautorisierte Zugriffe auf

Mit SIEM lassen sich unerlaubte Zugriffe auf Unternehmenssysteme aufdecken. Das verbessert die Security und beugt Datendiebstahl vor.

Informationssysteme mit Passwort-Authentifizierung auszustatten ist eine gängige Praxis. Diese Portale sind oft über das Internet öffentlich zugänglich. Allerdings sind die Ausnutzung von Anmelde-Daten, zufällig erratene Passwörter und Brute-Force-Angriffe immer noch die häufigsten Methoden für Einbrüche in ein Firmen-Netzwerk. Security Information and Event Mangement (SIEM) hilft Unternehmen dabei, Datendiebstahl durch derartige Einbruchs-Methoden zu vermeiden. Setzen Unternehmen Appliances mit Passwort-Authentifizierung (wie zum Beispiel VPN-Geräte, Web-Server, SSH und ähnliche Technologien) ein, sollte es die Einbruchs-Bekämpfung auf Vordermann bringen. Das gilt besonders dann, wenn Anmelde-Portale über das Internet erreichbar sind.

Automatisches Login-Tracking kann beim Aufspüren von schädlichen Aktivitäten helfen. Das gilt nicht nur für außerhalb, sondern auch innerhalb des Firmen-Netzwerks. SIEM ist speziell dafür geschaffen, um diese Aufgabe zu bewältigen. Die Technologie sammelt und analysiert erfolgreiche und missglückte Anmeldeversuche auf verschiedenen Systemen. Damit lässt sich ermitteln, wenn Angreifer Zugangsdaten von Benutzerkonten übernommen haben.

Die von SIEM benötigten Daten für ein erfolgreiches Monitoring sind relativ unkompliziert. Alle Log-Dateien von Systemen, die Authentifizierungs-Aufzeichnungen enthalten, müssen gesammelt werden. Weiterhin ist es wichtig, sowohl erfolgreiche als auch missglückte Anmeldeversuche von allen Systemen, Geräten und Applikationen zu sammeln. Missglückte Anmeldeversuche sind ein Indikator, dass die Security-Systeme Ihre Arbeit gut machen. Erfolgreiche Anmeldungen enthüllen dagegen, dass jemand Zugriff auf die Systeme hat. Eine erfolgreiche Anmeldung sollte aber nicht mit „autorisierter Zugriff“ gleichgesetzt werden. Gestohlene Passwörtern und schnellen CPUs für das Knacken von verschlüsselten Passwort-Dateien sind keine Seltenheit mehr.

SIEM-Bezugsregeln und Alarmierung

Eine SIEM-Bezugsregel lässt sich nutzen, um Teile des Monitoring-Prozesses für System-Logins und Authentifizierung zu automatisieren. Hier sind einige Beispiele für Bezugsregeln, die effizientes Zugriffs-Monitoring ermöglichen:

  • Angriff auf ein einzelnes System, wenn der Angreifer alle Zugangsdaten auf diesem System ausprobiert.
  • Eine Reihe von mehreren missglückten Anmeldeversuchen, auf die plötzlich ein erfolgreicher folgt.
  • Angriff mittels Authentifizierung-Reihe (der Angreifer probiert die Zugangsdaten auf allen Systemen).
  • Erfolgreiche Anmeldung zu ungewöhnlichen Tageszeiten. Das kann auf den Anwender oder das System bezogen sein.
  • Erfolgreiche Anmeldung von ungewöhnlichen Orten. Auch das kann sich auf Anwender oder Systeme beziehen.

Ansichten und Reports

Zu den allgemeinen nützlichen Berichten und Dashboard-Ansichten für diese Anwendungsfälle gehören:

  • Die wichtigsten System mit missglückten Anmeldeversuchen.
  • Das Verhältnis von erfolgreichen und missglückten Anmeldeversuchen.
  • Der Trend zu missglückten Authentifizierungen.
  • Anwender, von denen missglückte Anmeldeversuche auf mehreren Systemen verzeichnet sind.

Behalten Sie im Hinterkopf, dass Reports kein Ersatz für die Alarmfunktion sind. In vielen Fällen werden bösartige Aktivitäten von Menschen aufgedeckt, die die Berichte auswerten. Die Reports finden in erster Linie neues, ungewöhnliches oder verdächtiges. Die Häufigkeit der Durchsichten variiert von monatlich, bis hin zu wöchentlich oder sogar täglich. Letzteres ist ideal und manchmal, wie zum Beispiel von der PCI DSS, vorgeschrieben. Solange Ihr Unternehmen mit der Häufigkeit der Durchsicht zufrieden ist, ist das akzeptabel. Hier ist zum Beispiel die Zeit zwischen einem Vorfall und dessen Entdeckung gemeint.

SIEM-Technologie kann Daten automatisch sammeln und einen Alarm senden, wenn Angreifer die Passwörter raten. Allerdings muss innerhalb des Unternehmens sichergestellt sein, dass SIEM effiziente Vorfallsreaktions-Prozesse und -Prozeduren verfolgt. Diese müssen natürlich zunächst einmal existieren. Wir sprechen hier von Alarmierung für eine weitere manuelle Analyse und entsprechenden Gegenmaßnahmen. Letztere sind in einigen Fällen mithilfe von DLP oder andere Firewall- und Daten-Filterprodukten automatisiert. Ein solides Verständnis für normale Log-Messbasen und typische Aktivitäten ist außerdem hilfreich. Dazu bedarf es aber nicht nur SIEM, sondern auch eines erfahrenen Mitarbeiters. Neben SIEM, dem Sammeln von Log-Dateien und der Analyse von Berichten, sollten für ein effizientes Server-Zugriffs-Monitoring weitere Verfahren zum Einsatz kommen. Was passiert zum Beispiel, wenn der System-Administrator feststellt, dass sich ein Anwender von zwei verschiedenen Orten gleichzeitig anmeldet? Hat dieser Administrator die Berechtigung, Sitzungen zu terminieren? Kann er Konten deaktivieren, mit dem Vorgesetzten des Anwenders Kontakt aufnehmen oder andere Gegenmaßnahmen ergreifen? Solche Verfahren machen diese Aktionen reproduzierbar, schnell, effizient und helfen beim Tracking.

Über den Autor: Anton Chuvakin ist Forschungsleiter bei Gartner in der Gruppe Technology Professionals, Security und Risiko-Management. Er ist Autor der Bücher „Security Warrior“, „Log Management“ und „PCI Compliance“.

Artikel wurde zuletzt im Oktober 2013 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Network-Intrusion-Detection und -Analyse

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close