Anforderungen ans Security Information and Event Management, Teil 1

Was leisten SIEM-Systeme in der Praxis?

| Autor / Redakteur: Udo Sprotte (CISSP) / Peter Schmitz

Sicherheitsrelevante Ereignisse lassen sich mit einem SIEM-System gut erkennen.
Sicherheitsrelevante Ereignisse lassen sich mit einem SIEM-System gut erkennen. (Bild: Sergej Khackimullin - Fotolia.com)

Sicherheitsprobleme der IT-Systeme lassen sich schnell lösen, wenn sich sicherheitsrelevante Ereignisse aus den Systemmeldungen der IT-Systeme im Rechenzentrum vollständig herausfiltern und monitoren lassen. Security Information- und Event Management Systeme (SIEM) können das schnell und effizient.

SIEM steht für Security Information and Event Management und ist in der IT-Sicherheit ein feststehender Begriff geworden. Entsprechende Systeme sind dazu in der Lage, sicherheitsrelevante Ereignisse zu identifizieren, zu bewerten und den Administrator daraufhin zu alarmieren.

SIEM-Systeme nutzen hierfür Abermillionen an Meldungen, die IT-Systeme jeden Tag generieren, und setzen sie miteinander in Beziehung. Dass mit dem SIEM ein beachtlicher Mehrwert zu erzielen ist, kann darauf zurückgeführt werden, dass seit Mitte der 90er Jahre aus simplen Skripten oder Programmmodulen auf UNIX-Servern (bspw. Logwatcher oder TCP-Wrapper) eine stetige Weiterentwicklung stattfindet.

Das sichere und zeitnahe Finden der Ereignisse spielt eine große Rolle. Der Logwatcher und auch der TCP-Wrapper waren schon in der Lage, gefundene Ereignisse per Mail weiterzuleiten. Obwohl diese Lösungen den Firmen in der Vergangenheit oft vor Sicherheitskatastrophen bewahrt haben, können sie heute längst nicht alle Anforderungen in großen Rechenzentren erfüllen.

Sicherheitsvorfälle trotz Echtzeit-Überwachung

Heute übernehmen leistungsfähige SIEM-Systeme die Sicherheitsüberwachung im Netzwerk. Nichtsdestotrotz kommt es immer wieder zu Vorfällen. So wurde Anfang Februar bekannt, dass der Kurznachrichtendienst Twitter Opfer einer Cyber-Attacke geworden war, bei der offenbar die Zugangsdaten von einer Viertelmillion Nutzer gestohlen wurden.

Berichten zufolge konnte der Hack durch ungewöhnliche Zugriffsmuster und unbefugte Zugriffsversuche auf Nutzerdaten entdeckt werden. Möglicherweise setzt der Kurznachrichtendienst ein IDS zur Angriffserkennung ein, denn laut ZDnet konnte der Angriff in Echtzeit beobachtet und abgeblockt werden.

Die weiteren Untersuchungen ergaben dann aber, dass die Angreifer bereits bei 250.000 Konten auf Nutzernamen, E-Mail-Adressen sowie Passwörter hätten zugreifen können. Fakt ist, dass im IDS oder auch in den Betriebssystemen diese Angriffe protokolliert wurden, aber aufgrund der hohen Event-Datenmengen oder einer eventuell ungeeigneten Einstellung im IDS auf die Angriffe vermutlich nicht rechtzeitig reagiert wurde.

Unentdeckte Hacker- und Malware-Angriffe

In den USA wird immer wieder über Hacker-Angriffe auf Unternehmen und Behörden berichtet, die aus China zu stammen scheinen. Zu den prominenten Opfern der vergangenen Jahre zählen unter anderem Googles E-Mail-Dienst Gmail, die US-Handelskammer sowie der IT-Sicherheitsspezialist RSA und in Folge dessen der Rüstungskonzern Lockheed Martin.

Auch die Washington Post gab jüngst auf ihrer Website bekannt, Hacker hätten die IT-Systeme angegriffen. Der Angriff ähnelt der Online-Publikation zufolge den Attacken auf die Times und das Wall Street Journal, die Hacker sind allem Anschein nach in China beheimatet.

Bei der Washington Post sollen nach inoffiziellen Angaben zufolge ein Haupt-Server und diverse andere Rechner im Visier gewesen haben. Mithilfe gestohlener Passwörter hätten die Hacker potenziell tief in das System der Zeitung eindringen können. Erste Angriffe sollen 2008 oder 2009 durchgeführt worden sein, erst im Jahr 2011 wurden sie schließlich entdeckt und unterbunden.

Das Wall Street Journal, das zur News Corp. von Rupert Murdoch gehört, sieht in den Angriffen ein weitverbreitetes Phänomen. Es seien auch andere große Medien davon betroffen, darunter die Finanznachrichten-Portale von Bloomberg und Thomson Reuters. Die Bundespolizei FBI ermittelt in seit mehr als einem Jahr und erwägt sogar, den Fall als Bedrohung für die nationale Sicherheit einzustufen.

Alle diese Fälle zeigen, dass ein Security Information and Event Management nur dann richtig funktioniert, wenn auf Netz-, System- und Applikationsebene gleichzeitig und dass alle Systeme also auch die Firewalls und IDS überwacht werden. Die Informationen aus IDS und Firewalls sind die wichtigsten Informationsquellen.

Möglichkeiten beim Monitoring

Ein SIEM identifiziert Angriffe aus China aufgrund der Firewall-Informationen sofort – eine Firewall alleine kann die Angriffe hingegen nicht erkennen. Ob aber die Chinesen wirklich direkt aus China angreifen, ist fraglich. Die professionellen und erfolgreichen Angriffe werden wahrscheinlich nicht direkt ausgeführt. Durch intelligentes Monitoring lassen sich allerdings direkte und indirekte Angriffe miteinander korrelieren.

Trotz der starken Weiterentwicklung von SIEM erfüllen auch diese Systeme „out of the box“ das Security Monitoring meist nur auf Systemebene. Der Fokus bei den Marktführern der kommerziellen SIEM-Produkte beschränkt sich meistens auf systemrelevante Sicherheitsmeldungen und Benutzerverhalten auf Betriebssystemebene. Zum Teil sind die Systeme auch in der Lage, die Datenbank-Managementsysteme der Marktführer zu überwachen.

Wo besteht noch Nachholbedarf?

Trotzdem ist sich die Fachwelt einig, dass Sicherheitsprobleme mit SIEM-Systemen umfangreich gelöst werden können. Damit ist schon ein großer Teil ihrer Aufgabe gut erfüllt. Firmen können mit einem SIEM die Sicherheitsanforderungen auch gemäß internationaler Sicherheitsstandards nach ISO 2700x oder PCI DSS erfüllen.

Längst deckt dieser Fokus aber nicht mehr alle Bedürfnisse der Kunden ab. So werden immer wieder Methoden zum Nachweis des Wirksamkeitsgrades gefordert. Der Wirksamkeit und der Nachweis ist für den Investor wichtig, weil der wissen will, ob die Investitions- und die Betriebskosten wirtschaftlich maßvoll sind. Um dieser Forderung nachzukommen, muss folgendes erfüllt sein:

Reports müssen aufzeigen:

  • wie viele Ereignisse zu Alarmen korreliert werden (Effizienz),
  • wie viel Alarme zu Incidents geführt haben (False Positiv),
  • wie groß die Lösungszeiten der Incidents sind (Time to solve).

Der Nachweis ist allerdings nicht vollständig, solange nicht festgestellt werden kann, wie viele sicherheitsrelevante Ereignisse übersehen wurden. Und dieser Teil der Forderung ist sehr schwer zu erfüllen.

Mit dem SIEM sind vollautomatische Entscheidungen immer noch nicht möglich. Zwar unterstützen diese Systeme den Betrieb, benötigen aber immer noch einen Security-Fachmann. Somit sind das erfolgreiche Lösen von Incidents immer maßgeblich von der fachlichen Qualität des Security Operation Centers (SOC) und den eingeschalteten Ermittlern vor Ort abhängig.

Es besteht eine nicht unerhebliche Gefahr, dass die Verursacher sicherheitsrelevanter Ereignisse während der Ermittlungsphase vorzeitig Kenntnis erhalten und den Vorfall erfolgreich vertuschen. Nicht selten wird das Incident von Verursachern selbst geschlossen, weil sie als Administrator das Ticket erhalten und dadurch ihr Fehlverhalten selber erkannt haben.

Hier soll ausdrücklich nicht auf das absichtliche oder versehentliche Fehlverhalten eingegangen werden. Das Ticket gilt dann als gelöst, obwohl die wahre Ursache in der Tat nicht geklärt werden konnte. Dieses Problem ist kein Problem der Technik, sondern ein ganz klares Problem des Managements, das falsche Sicherheitsprozesse eingeführt oder ungeeignetes Personal eingesetzt hat.

Gefordert wird auch immer wieder die Missbrauchserkennung auch auf Applikationsebene. Der zweite Teil dieses Beitrags widmet sich den damit einhergehenden Anforderungen an Applikationen und Datenbanken.

Über den Autor: Udo Sprotte ist (ISC)²-zertifizierter CISSP und Senior Security Consultant.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 38030630 / Security Management)