viktor88 - Fotolia

SIEM optimal vorbereiten und einsetzen

Das Geheimnis einer erfolgreichen SIEM-Implementierung liegt insbesondere in der Vorbereitung. Es empfiehlt sich folgende schrittweise Vorgehensweise.

Es sind unbequeme Wahrheiten, denen sich IT-Sicherheitsexperten stellen müssen: Cyberangriffe lassen sich nicht komplett verhindern und jedes Unternehmen kann gehackt werden. Mit komplexen Cyberattacken, die verschiedenste Angriffsmethoden kombinieren, ist das Ziel einer hundertprozentigen Sicherheit in unerreichbare Ferne gerückt.

Für diese Entwicklung gibt es mehrere Ursachen. So entstehen beispielsweise durch die wachsende Anzahl an Endgeräten täglich neue Einfallstore für Cyberangriffe. Auch neue IT-Services und heterogene Applikationsumgebungen erhöhen die Risiken – ganz zu schweigen von den Herausforderungen durch die Digitalisierung.

Deshalb wird es für CIOs immer wichtiger, jederzeit einen zentralen Überblick über sicherheitsrelevante Themen in der kompletten IT-Umgebung zu bekommen. Dies umfasst zum Beispiel Korrelationen zwischen unterschiedlichen Sicherheitslösungen, Warnungen aus einzelnen Abteilungen, den Echtzeit-Systemstatus von besonders kritischen Applikationen sowie die Analyse langfristiger Trends für Investitionsentscheidungen. Im Falle eines Angriffs sollte es eines der wichtigsten Ziele sein, die Zeit von der Entdeckung eines Angriffs bis zu dessen Abwehr zu verkürzen, um die Risiken so gering wie möglich zu halten.

Die offensichtliche Lösung heißt Security Information und Event Management (SIEM). Verschiedene Protokolle, Log-Files, Events, Alarme und Daten von verschiedenen Komponenten wie Firewalls, Antivirus-, Intrusion-Detection- und Intrusion-Prevention-Systemen werden dabei an eine zentrale Konsole weitergeleitet. Allerdings gibt es eine Herausforderung: Jede IT-Umgebung ist anders, Unternehmen priorisieren potenzielle Risiken unterschiedlich. Viele suchen trotzdem nach dem „Heiligen Gral out of the box“, doch Misserfolg ist dabei vorprogrammiert.

Das Geheimnis eines erfolgreichen SIEM

Vor der Implementierung eines SIEM-Systems sollte sich das Sicherheitsteam eines Unternehmens ausführlich mit Bedrohungsszenarien beschäftigen und wie sich darauf reagieren lässt. Dabei muss es darum gehen, Anwendungsfälle, die so genannten „Use Cases“, zu erfassen. Zum anderen sollten die darauf erfolgenden Reaktionen genau definiert werden. Oft sind verschiedene Abteilungen betroffenen, die eng zusammen arbeiten müssen und am Whiteboard genaue Ablaufpläne entwerfen.

Im Rahmen dieser Treffen definiert das Team zum Beispiel, was genau passiert, wenn ein einzelner Nutzer illegale oder nicht mit den Firmenrichtlinien konforme Aktionen ausführt: Unter welchen Umständen ist ein Account sofort zu deaktivieren? In welcher Situation muss bei einer Eskalation ein Teamleiter auch am Wochenende telefonisch informiert werden? Sind solche Punkte in einem Ablaufplan (Runbook) festgehalten und steht der Anwendungsfall, lässt sich das SIEM-System bereits gut an die eigenen Bedürfnisse anpassen und ist entsprechend leistungsfähig. Auf Basis von Runbooks können dann eine Reihe von weiteren Fragen beantwortet werden.

So lassen sich die benötigten Datenquellen zur Erkennung und Korrelation inklusive deren Datenmengen bestimmen. Oft ist es sogar erforderlich, Drittsysteme einzubinden, um Alarme mit zusätzlichem Kontext anzureichern. Außerdem ist festzustellen, welche Datenpunkte für forensische Untersuchungen bereitstehen müssen, um weiterführende Fragen nach einem Sicherheitsvorfall beantworten zu können.

„Vor der Implementierung eines SIEM-Systems sollte sich das Sicherheitsteam eines Unternehmens ausführlich mit Bedrohungsszenarien beschäftigen und wie sich darauf reagieren lässt.“

 Matthias Maier, Splunk

Eine weitere Entscheidung, die das Team möglichst vor Beginn eines SIEM-Projektes treffen sollte ist, wie lange die Daten vorzuhalten sind. Daraus lässt sich relativ gut ableiten, wieviel Speicher für das System benötigt wird. Ein zentraler Aspekt ist außerdem die Frage, wie schnell die SIEM-Lösung oder einzelne Komponenten Informationen bereitstellen müssen: Sollen die Daten in Echtzeit vorliegen oder reicht eine stündliche Zusammenfassung?

Für welche Ausgestaltung der Lösung sich Verantwortliche auch entscheiden: Wichtig ist es vor allem, dass während der Implementierung möglichst offen über etwaige Bedenken gesprochen wird. Dazu gehört auch, zum Beispiel den Datenschutzbeauftragten und den Betriebsrat frühzeitig in den Prozess einzubeziehen, falls Informationen von Mitarbeitern oder Kunden verarbeitet werden. Transparenz in allen Bereichen ist Pflicht.

Mit SIEM weiterkommen

Wer diese Schritte konsequent abarbeitet, wird bei der SIEM-Implementierung Schritt für Schritt erfolgreich sein. Allerdings sollten Anwender ihr SIEM nicht wie ein Intrusion-Detection-System oder Intrusion-Prevention-System für Maschinendaten behandeln.

Schließlich handelt es sich um die darüberliegende Schicht, die mit den einzelnen Schutzsystemen im Unternehmen kommuniziert. Als Kommandozentrale steigert sie das Sicherheitsniveau und erlaubt, Angriffe frühzeitig zu erkennen und durch die richtige Reaktion zu stoppen.

Über den Autor:
Matthias Maier ist Security Evangelist bei Splunk.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Kostenloses E-Handbook: SIEM richtig auswählen

SIEM: Tipps zur Konfiguration für bessere Ergebnisse

SIEM 2.0: Mit Big Data Cyberangriffen begegnen

Angriffe erkennen: SIEM für die Echtzeitanalyse einsetzen

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close