gesponsertNext-Generation-SIEM aus der Cloud Wie Security-Manager einen analyse­gesteuerten Sicherheitsansatz umsetzen

|

Gesponsert von

Der Transformationsdruck auf Unternehmen macht Cloud-Dienste attraktiv: Sie sind flexibel und skalierbar, jedoch erhöhen sie auch die Sicherheitsrisiken. Die Security-Ausgaben müssen jedoch nicht zwangsläufig steigen – wenn man auf ein zentralisiertes Security-Operations-Center der Zukunft setzt.

Das SOC der Zukunft ist ein datengetriebenes Sicherheitsnervenzentrum, das Gehirn (SIEM-System) und Arm (SOAR-System) verbindet.
Das SOC der Zukunft ist ein datengetriebenes Sicherheitsnervenzentrum, das Gehirn (SIEM-System) und Arm (SOAR-System) verbindet.
(Bild: gemeinfrei / Pixabay)

Matthias Maier ist Security Expert EMEA bei Splunk.
Matthias Maier ist Security Expert EMEA bei Splunk.
(Bild: Splunk)

„Die Cloud“ – das ist in vielen Unternehmen das Ende eines Kreislaufs, der beim Endkunden beginnt: Heutige Kunden verlangen schnelle, digitale Interaktion mit geringen Wartezeiten. Das setzt die Entwickler unter Druck: Sie müssen häufigere Releases und kürzere Release-Zeiten bereitstellen, daher implementieren sie DevOps- und einen CI/CD-Pipeline-Ansatz. Darauf müssen Security-Manager vorbereitet sein und ihre Sicherheitsmaßnahmen modernisieren. Nur so können sie die Microservices verschiedenster Anbieter und Provider schützen und gleichzeitig die Geschwindigkeit aufrechterhalten, mit der das Entwickler-Team arbeitet. Der zentralisierte Ansatz eines modernen Security-Operations-Center (SOC) kann Security-Teams hier unterstützen.

Webinar „Fünf Beispiele für erfolgreiche SOC-Modernisierung: Security Transformation Geschichten aus der Praxis“

Kennen Sie Ihre Angriffsfläche

Es gibt verschiedene Phasen, die ein Unternehmen in der digitalen Transformation durchläuft und die sich in ihrer Komplexität immer weiter steigern:

  • 1. „Lift and Shift“: Ein bis vier Software-Releases pro Jahr, traditionelle Architektur mit Datenbank, Client-Server, Datenanwendungsserver, Cloud-Nutzung als Infrastruktur as a Service (IaaS).
  • 2. „Re-Architect-Phase“: Zehn bis 20 Releases pro Quartal, modulare App-Komponenten, Container-Nutzung.
  • 3. „Cloud-Native-Phase“: Einsatz von DevOps, um 100 bis 200 Releases pro Monat zu stemmen, das System basiert auf lose gekoppelten Microservices und serverlosen Anwendungen. Prinzip "You build it, you run it".

Wir sehen immer häufiger, dass sogar mittelgroße Unternehmen diese drei Phasen nicht mehr nacheinander, sondern gleichzeitig durchlaufen. Security-Manager müssen damit also alle drei Phasen auf einmal abdecken und schützen. Der erste Schritt ist es hier, erstmal die Angriffsfläche zu kennen und sich einen Überblick darüber zu verschaffen, welche Daten gesichert werden müssen. Das Modell der geteilten Verantwortung (Shared-Responsibility-Modell) gibt dem Security-Team dazu für jeden einzelnen Cloud-Dienst Auskunft.

Ein Zusatz-Tipp von mir: Nutzen Sie die öffentlich zugängliche MITRE Cloud Matrix. Diese gibt einen Überblick darüber, wie Cyber-Kriminelle verschiedene Cloud-Infrastrukturen und Cloud-Dienste angegriffen haben.

Die verschiedenen Phasen der Unternehmenskomplexität.
Die verschiedenen Phasen der Unternehmenskomplexität.
(Bild: Splunk)

Wagen Sie einen analysegesteuerten Sicherheitsansatz

IT-Sicherheitsteams müssen einen Überblick über ihr Cloud-Ökosystem haben, um so jeden Vorfall sofort untersuchen zu können. Kurz zusammengefasst geht es um Folgendes:

  • Untersuchungen/Forensik: Mit einer investigativen Datenplattform können Sie jede Art von Vorfall über Ihre Cloud-Dienste hinweg untersuchen.
  • Überwachen: Mit einem Monitoring Tool können Sie Ihren Teil der Shared-Responsibility überwachen. Nutzen Sie dieselbe Datenplattform für Infrastruktur, Anwendungen und Dienste, für ein proaktives Monitoring und teamübergreifende Berichte.
  • Analysieren: Nutzen Sie Maschinelles Lernen (ML) und Künstliche Intelligenz (KI) für Tiefenanalysen, die Vorhersage von Problemen und das proaktive Suchen nach Bedrohungen.
  • Handeln: Legen Sie Reaktionsabläufe fest, indem Sie Aufgaben automatisieren und Arbeitsabläufe orchestrieren. So reagieren Sie umso schneller auf Bedrohungen.

Dachser setzt auf SIEM-Lösung von Splunk

Positive Erfahrungen mit SIEM-Lösungen hat Splunk-Kunde Dachser gemacht. Der weltweit agierende Logistikdienstleister mit rund 30.000 Mitarbeitern, der für hochmoderne, effiziente und IT-getriebene Logistiklösungen steht. Das Dachser IT-Sicherheitsteam kümmert sich um Sicherheitsthemen wie ISMS nach ISO 27001, Compliance, SIEM/SOC, Risikobewertung und Audits und setzt auf die SIEM-Lösung von Splunk. Eine der größten Herausforderungen für Dachser vor der Implementierung von SIEM bestand darin, dass zwar Logfiles vorhanden waren, diese aber nicht optimal ausgewertet werden konnten. Außerdem war das gesamte Log-Management nicht standardisiert. Dachser musste daher vorab allerdings wichtige Entscheidungen treffen.

Mehr zu Dachser und dessen Lösung von Splunk

„Bevor man eine SIEM-Lösung einführt, ist es wichtig genau zu definieren, für welche Bereiche sie genutzt werden soll. Bei uns fing alles mit der Analyse der Log-Dateien an“, sagt Christian von Rützen, Department Head IT Security bei Dachser. Die Risikobetrachtung sollte damit optimiert werden.

Dachser hat sich für Splunk vor allem wegen der zuverlässigen Software-Architektur und den umfassenden Erweiterungsmöglichkeiten entschieden. Christian von Rützen: „Anfangs waren es fünf Mitarbeiter, die die SIEM-Lösung genutzt haben, heute sind es bereits 64. Die Lösung wächst also mit.“ Das System wird bei Dachser mittlerweile unter anderem auch für die Identifikation und Isolierung von Malware, das Aufdecken von File-Server-Berechtigungsfehlern oder Datendiebstählen sowie für das Security Operations Center (SOC) generell eingesetzt.

Zum MITRE ATTACK Whitepaper

Das SOC der Zukunft

Das SOC der Zukunft funktioniert als ein datengetriebenes Sicherheitsnervenzentrum, das Gehirn und Arm verbindet. Das analytische Gehirn in Form eines cloud-nativen SIEM (Security Information and Event Management) übernimmt zusammen mit dem Arm, bestehend aus einem SOAR-System (Security Orchestration Automation and Responses) die oben genannten Monitoring-Aufgaben und analysiert und reagiert basierend auf festgelegten Playbooks. SIEM-Systeme aus der Cloud wie Splunk Enterprise Security können in wenigen Tagen bereitgestellt werden, sind flexibel skalierbar und reduzieren den Administrationsaufwand erheblich. Die SOAR-Lösung Phantom erleichtert die Suche nach Incidents und die Reaktion. Ein solches SOC der Zukunft automatisiert 90 % der Analysearbeit. Das IT-Sicherheitsteam spart damit über 50 % seiner Zeit ein, welche für die Optimierung der Unternehmenssicherheit frei wird. Somit hat das Team mehr Zeit weitere potenzielle Einfallstore zu prüfen, sich über Angriffstrends und neue Cloud-Dienste zu informieren und dieses Know-How in das SOC in Form von „Detection Engineering“ zurückzubringen.

Erfahren Sie mehr zu Security bei Splunk.

(ID:46808202)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung