Security Information- und Event-Management automatisieren

SIEM-Systeme richtig konfigurieren und einsetzen

Seite: 5/5

7. Datenschutz muss gewährleistet sein.

Werden diese Systeme dem Datenschutz gerecht? Und wenn sie die Anforderungen des Datenschutzes erfüllen, verlieren sie dabei nicht an Wirksamkeit? Personendaten die sich in den Spuren des Täters finden, führen immer schnell zum Täter.

Der Datenschutz verhindert allerdings, dass das SIEM für längere Zeit diese personengebundenen Daten speichern darf. Ein Einbruch kann dann nach wenigen Tagen nicht mehr vollständig zurückverfolgt werden, weil die Personendaten gemäß der Datenschutz-Vorgaben gelöscht werden mussten.

8. Missbrauchserkennung auf Applikationsebene

Wie sehen die Chancen auf der Applikationsebene aus, um Missbrauch zu erkennen? Wie können SIEM-Lösungen damit umgehen? Wie hoch ist der Anpassungsaufwand?

Niemand unterstellt einem SIEM, dass es unberechtigte Zugriffe an das Betriebssystem nicht erkennt. Erkennt es aber auch, wenn ein Investmenthändler eine unerlaubte Transaktion durchführt und die Datenbank, auf der diese durchgeführt wird, von einem SIEM überwacht wird? Wie würden die Regeln aussehen, die hier den Missbrauch erkennen könnten?

Das SIEM, dass die unerlaubte Transaktion erkennt, hätte der UBS im Jahr 2011 vor einer Schadenssumme von ca. 1,5 Milliarden Euro geschützt. Wie sieht aber der Arbeitsvertrag, des Analysten aus, der dieser Bank die Regeln im SIEM implementieren könnte?

Moderne SIEM-Systeme erkennen Zusammenhänge

Die nächste Generation von Security-Event-Management-Systemen enthalten zwei intelligente Kerne, einen im Sensor, der die Ereignismeldungen von völlig unbekannten Ereignisquellen selbstständig erkennt und einstufen kann. Und einen zweiten Kern im Korrelationsmechanismus, der eine sogenannte Unschärfekorrelation ausführen kann. Das soll am folgenden Beispiel verdeutlicht werden.

Heute erkennen die Systeme nur einen Einbruch, wenn der Einbrecher durch den Haupteingang in eine Bank einbricht. Ein Einbruch durch die Hintertür würde nicht erkannt werden, weil hier keine Kamera angebracht worden ist. Auch wenn nachts Licht in der Bank brennt, würde der Einbruch nur dann erkannt werden, wenn es dafür eine Regel im System gibt.

Systeme der neuen Generation mit einem intelligenten Kern lernen kontinuierlich hinzu und erkennen aufgrund ihrer Unschärfekorrelation ein ungewöhnliches Verhalten in der Bank. Das System würde den Einbruch mit einem Wahrscheinlichkeitshinweis melden. Würde der Administrator diesen Vorfall bestätigen, hätte das System dazugelernt und würde das nächste Mal dieses Ereignis mit hoher Wahrscheinlichkeit sofort anzeigen.

Über den Autor

Udo Sprotte ist (ISC)²-zertifizierter CISSP und Senior Security Consultant.

(ID:32559920)