:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/91/75/9175edeb1bd68cad2b5c77f653f79036/0110576453.jpeg "Unternehmen müssen robuste IT-Security-Maßnahmen implementieren, die sowohl ihre IT- als auch ihre OT-Systeme schützen. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/97/16/97161bc650bf4d7681114ab563c92d70/0110588372.jpeg "Der Update-Dienst „Azure Update Management“ ermöglicht die einfache Aktualisierung von Windows- und Linux-VMs und auch von lokalen Servern. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/64/da64bfed6115566a6d71e7aaa4b64bbb/0109715450.jpeg "Ein wesentlicher Bestandteil für eine erfolgreiche Strategie gegen Ransomware-Angriffe ist die Resilienz des Systems und der Daten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/ff/56ff577ef3d84e5690210417e4e551c5/0110554219.jpeg "Das Handbuch "Management von Cyber-Risiken" widmet sich einer umfassenden Unternehmenskultur, die Cyber-Sicherheit jederzeit berücksichtigt und so die Resilienz der Unternehmen erhöht. (Bild: jijomathai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Anforderungen ans Security Information and Event Management, Teil 1 Was leisten SIEM-Systeme in der Praxis?
Sicherheitsprobleme der IT-Systeme lassen sich schnell lösen, wenn sich sicherheitsrelevante Ereignisse aus den Systemmeldungen der IT-Systeme im Rechenzentrum vollständig herausfiltern und monitoren lassen. Security Information- und Event Management Systeme (SIEM) können das schnell und effizient.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/62/ea/62ea2cb8944b9/arctic-wolf-logo.png "arctic-wolf-logo (Arctic Wolf)"){kind=logo}
SIEM steht für Security Information and Event Management und ist in der IT-Sicherheit ein feststehender Begriff geworden. Entsprechende Systeme sind dazu in der Lage, sicherheitsrelevante Ereignisse zu identifizieren, zu bewerten und den Administrator daraufhin zu alarmieren.
SIEM-Systeme nutzen hierfür Abermillionen an Meldungen, die IT-Systeme jeden Tag generieren, und setzen sie miteinander in Beziehung. Dass mit dem SIEM ein beachtlicher Mehrwert zu erzielen ist, kann darauf zurückgeführt werden, dass seit Mitte der 90er Jahre aus simplen Skripten oder Programmmodulen auf UNIX-Servern (bspw. Logwatcher oder TCP-Wrapper) eine stetige Weiterentwicklung stattfindet.
Das sichere und zeitnahe Finden der Ereignisse spielt eine große Rolle. Der Logwatcher und auch der TCP-Wrapper waren schon in der Lage, gefundene Ereignisse per Mail weiterzuleiten. Obwohl diese Lösungen den Firmen in der Vergangenheit oft vor Sicherheitskatastrophen bewahrt haben, können sie heute längst nicht alle Anforderungen in großen Rechenzentren erfüllen.
Sicherheitsvorfälle trotz Echtzeit-Überwachung
Heute übernehmen leistungsfähige SIEM-Systeme die Sicherheitsüberwachung im Netzwerk. Nichtsdestotrotz kommt es immer wieder zu Vorfällen. So wurde Anfang Februar bekannt, dass der Kurznachrichtendienst Twitter Opfer einer Cyber-Attacke geworden war, bei der offenbar die Zugangsdaten von einer Viertelmillion Nutzer gestohlen wurden.
Berichten zufolge konnte der Hack durch ungewöhnliche Zugriffsmuster und unbefugte Zugriffsversuche auf Nutzerdaten entdeckt werden. Möglicherweise setzt der Kurznachrichtendienst ein IDS zur Angriffserkennung ein, denn laut ZDnet konnte der Angriff in Echtzeit beobachtet und abgeblockt werden.
Die weiteren Untersuchungen ergaben dann aber, dass die Angreifer bereits bei 250.000 Konten auf Nutzernamen, E-Mail-Adressen sowie Passwörter hätten zugreifen können. Fakt ist, dass im IDS oder auch in den Betriebssystemen diese Angriffe protokolliert wurden, aber aufgrund der hohen Event-Datenmengen oder einer eventuell ungeeigneten Einstellung im IDS auf die Angriffe vermutlich nicht rechtzeitig reagiert wurde.
Unentdeckte Hacker- und Malware-Angriffe
In den USA wird immer wieder über Hacker-Angriffe auf Unternehmen und Behörden berichtet, die aus China zu stammen scheinen. Zu den prominenten Opfern der vergangenen Jahre zählen unter anderem Googles E-Mail-Dienst Gmail, die US-Handelskammer sowie der IT-Sicherheitsspezialist RSA und in Folge dessen der Rüstungskonzern Lockheed Martin.
Auch die Washington Post gab jüngst auf ihrer Website bekannt, Hacker hätten die IT-Systeme angegriffen. Der Angriff ähnelt der Online-Publikation zufolge den Attacken auf die Times und das Wall Street Journal, die Hacker sind allem Anschein nach in China beheimatet.
Bei der Washington Post sollen nach inoffiziellen Angaben zufolge ein Haupt-Server und diverse andere Rechner im Visier gewesen haben. Mithilfe gestohlener Passwörter hätten die Hacker potenziell tief in das System der Zeitung eindringen können. Erste Angriffe sollen 2008 oder 2009 durchgeführt worden sein, erst im Jahr 2011 wurden sie schließlich entdeckt und unterbunden.
Das Wall Street Journal, das zur News Corp. von Rupert Murdoch gehört, sieht in den Angriffen ein weitverbreitetes Phänomen. Es seien auch andere große Medien davon betroffen, darunter die Finanznachrichten-Portale von Bloomberg und Thomson Reuters. Die Bundespolizei FBI ermittelt in seit mehr als einem Jahr und erwägt sogar, den Fall als Bedrohung für die nationale Sicherheit einzustufen.
Alle diese Fälle zeigen, dass ein Security Information and Event Management nur dann richtig funktioniert, wenn auf Netz-, System- und Applikationsebene gleichzeitig und dass alle Systeme also auch die Firewalls und IDS überwacht werden. Die Informationen aus IDS und Firewalls sind die wichtigsten Informationsquellen.
Möglichkeiten beim Monitoring
Ein SIEM identifiziert Angriffe aus China aufgrund der Firewall-Informationen sofort – eine Firewall alleine kann die Angriffe hingegen nicht erkennen. Ob aber die Chinesen wirklich direkt aus China angreifen, ist fraglich. Die professionellen und erfolgreichen Angriffe werden wahrscheinlich nicht direkt ausgeführt. Durch intelligentes Monitoring lassen sich allerdings direkte und indirekte Angriffe miteinander korrelieren.
Trotz der starken Weiterentwicklung von SIEM erfüllen auch diese Systeme „out of the box“ das Security Monitoring meist nur auf Systemebene. Der Fokus bei den Marktführern der kommerziellen SIEM-Produkte beschränkt sich meistens auf systemrelevante Sicherheitsmeldungen und Benutzerverhalten auf Betriebssystemebene. Zum Teil sind die Systeme auch in der Lage, die Datenbank-Managementsysteme der Marktführer zu überwachen.
Wo besteht noch Nachholbedarf?
Trotzdem ist sich die Fachwelt einig, dass Sicherheitsprobleme mit SIEM-Systemen umfangreich gelöst werden können. Damit ist schon ein großer Teil ihrer Aufgabe gut erfüllt. Firmen können mit einem SIEM die Sicherheitsanforderungen auch gemäß internationaler Sicherheitsstandards nach ISO 2700x oder PCI DSS erfüllen.
Längst deckt dieser Fokus aber nicht mehr alle Bedürfnisse der Kunden ab. So werden immer wieder Methoden zum Nachweis des Wirksamkeitsgrades gefordert. Der Wirksamkeit und der Nachweis ist für den Investor wichtig, weil der wissen will, ob die Investitions- und die Betriebskosten wirtschaftlich maßvoll sind. Um dieser Forderung nachzukommen, muss folgendes erfüllt sein:
Reports müssen aufzeigen:
- wie viele Ereignisse zu Alarmen korreliert werden (Effizienz),
- wie viel Alarme zu Incidents geführt haben (False Positiv),
- wie groß die Lösungszeiten der Incidents sind (Time to solve).
Der Nachweis ist allerdings nicht vollständig, solange nicht festgestellt werden kann, wie viele sicherheitsrelevante Ereignisse übersehen wurden. Und dieser Teil der Forderung ist sehr schwer zu erfüllen.
Mit dem SIEM sind vollautomatische Entscheidungen immer noch nicht möglich. Zwar unterstützen diese Systeme den Betrieb, benötigen aber immer noch einen Security-Fachmann. Somit sind das erfolgreiche Lösen von Incidents immer maßgeblich von der fachlichen Qualität des Security Operation Centers (SOC) und den eingeschalteten Ermittlern vor Ort abhängig.
Es besteht eine nicht unerhebliche Gefahr, dass die Verursacher sicherheitsrelevanter Ereignisse während der Ermittlungsphase vorzeitig Kenntnis erhalten und den Vorfall erfolgreich vertuschen. Nicht selten wird das Incident von Verursachern selbst geschlossen, weil sie als Administrator das Ticket erhalten und dadurch ihr Fehlverhalten selber erkannt haben.
Hier soll ausdrücklich nicht auf das absichtliche oder versehentliche Fehlverhalten eingegangen werden. Das Ticket gilt dann als gelöst, obwohl die wahre Ursache in der Tat nicht geklärt werden konnte. Dieses Problem ist kein Problem der Technik, sondern ein ganz klares Problem des Managements, das falsche Sicherheitsprozesse eingeführt oder ungeeignetes Personal eingesetzt hat.
Gefordert wird auch immer wieder die Missbrauchserkennung auch auf Applikationsebene. Der zweite Teil dieses Beitrags widmet sich den damit einhergehenden Anforderungen an Applikationen und Datenbanken.
Über den Autor:Udo Sprotte ist (ISC)²-zertifizierter CISSP und Senior Security Consultant.
(ID:38030630)
:quality(80)/images.vogel.de/vogelonline/bdb/1945500/1945539/original.jpg "Der Fachkräftemangel, das immer komplexere Security-Management und die Masse an Security Alerts führen dazu, dass Incidents nicht schnell genug ausgewertet werden und Bedrohungen zu lange unbemerkt bleiben. (leowolfert - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1881400/1881492/original.jpg "Eine neue Generation von Incident Response Tools erfüllt den Bedarf an erweiterter, ausgefeilter Erkennung und Abwehr: Extended Detection and Response, kurz XDR. (iStock)")