Next-Generation-SIEM aus der CloudWie Security-Manager einen analysegesteuerten Sicherheitsansatz umsetzen
Gesponsert von
Der Transformationsdruck auf Unternehmen macht Cloud-Dienste attraktiv: Sie sind flexibel und skalierbar, jedoch erhöhen sie auch die Sicherheitsrisiken. Die Security-Ausgaben müssen jedoch nicht zwangsläufig steigen – wenn man auf ein zentralisiertes Security-Operations-Center der Zukunft setzt.

„Die Cloud“ – das ist in vielen Unternehmen das Ende eines Kreislaufs, der beim Endkunden beginnt: Heutige Kunden verlangen schnelle, digitale Interaktion mit geringen Wartezeiten. Das setzt die Entwickler unter Druck: Sie müssen häufigere Releases und kürzere Release-Zeiten bereitstellen, daher implementieren sie DevOps- und einen CI/CD-Pipeline-Ansatz. Darauf müssen Security-Manager vorbereitet sein und ihre Sicherheitsmaßnahmen modernisieren. Nur so können sie die Microservices verschiedenster Anbieter und Provider schützen und gleichzeitig die Geschwindigkeit aufrechterhalten, mit der das Entwickler-Team arbeitet. Der zentralisierte Ansatz eines modernen Security-Operations-Center (SOC) kann Security-Teams hier unterstützen.
Kennen Sie Ihre Angriffsfläche
Es gibt verschiedene Phasen, die ein Unternehmen in der digitalen Transformation durchläuft und die sich in ihrer Komplexität immer weiter steigern:
- 1. „Lift and Shift“: Ein bis vier Software-Releases pro Jahr, traditionelle Architektur mit Datenbank, Client-Server, Datenanwendungsserver, Cloud-Nutzung als Infrastruktur as a Service (IaaS).
- 2. „Re-Architect-Phase“: Zehn bis 20 Releases pro Quartal, modulare App-Komponenten, Container-Nutzung.
- 3. „Cloud-Native-Phase“: Einsatz von DevOps, um 100 bis 200 Releases pro Monat zu stemmen, das System basiert auf lose gekoppelten Microservices und serverlosen Anwendungen. Prinzip "You build it, you run it".
Wir sehen immer häufiger, dass sogar mittelgroße Unternehmen diese drei Phasen nicht mehr nacheinander, sondern gleichzeitig durchlaufen. Security-Manager müssen damit also alle drei Phasen auf einmal abdecken und schützen. Der erste Schritt ist es hier, erstmal die Angriffsfläche zu kennen und sich einen Überblick darüber zu verschaffen, welche Daten gesichert werden müssen. Das Modell der geteilten Verantwortung (Shared-Responsibility-Modell) gibt dem Security-Team dazu für jeden einzelnen Cloud-Dienst Auskunft.
Ein Zusatz-Tipp von mir: Nutzen Sie die öffentlich zugängliche MITRE Cloud Matrix. Diese gibt einen Überblick darüber, wie Cyber-Kriminelle verschiedene Cloud-Infrastrukturen und Cloud-Dienste angegriffen haben.
Wagen Sie einen analysegesteuerten Sicherheitsansatz
IT-Sicherheitsteams müssen einen Überblick über ihr Cloud-Ökosystem haben, um so jeden Vorfall sofort untersuchen zu können. Kurz zusammengefasst geht es um Folgendes:
- Untersuchungen/Forensik: Mit einer investigativen Datenplattform können Sie jede Art von Vorfall über Ihre Cloud-Dienste hinweg untersuchen.
- Überwachen: Mit einem Monitoring Tool können Sie Ihren Teil der Shared-Responsibility überwachen. Nutzen Sie dieselbe Datenplattform für Infrastruktur, Anwendungen und Dienste, für ein proaktives Monitoring und teamübergreifende Berichte.
- Analysieren: Nutzen Sie Maschinelles Lernen (ML) und Künstliche Intelligenz (KI) für Tiefenanalysen, die Vorhersage von Problemen und das proaktive Suchen nach Bedrohungen.
- Handeln: Legen Sie Reaktionsabläufe fest, indem Sie Aufgaben automatisieren und Arbeitsabläufe orchestrieren. So reagieren Sie umso schneller auf Bedrohungen.
Dachser setzt auf SIEM-Lösung von Splunk
Positive Erfahrungen mit SIEM-Lösungen hat Splunk-Kunde Dachser gemacht. Der weltweit agierende Logistikdienstleister mit rund 30.000 Mitarbeitern, der für hochmoderne, effiziente und IT-getriebene Logistiklösungen steht. Das Dachser IT-Sicherheitsteam kümmert sich um Sicherheitsthemen wie ISMS nach ISO 27001, Compliance, SIEM/SOC, Risikobewertung und Audits und setzt auf die SIEM-Lösung von Splunk. Eine der größten Herausforderungen für Dachser vor der Implementierung von SIEM bestand darin, dass zwar Logfiles vorhanden waren, diese aber nicht optimal ausgewertet werden konnten. Außerdem war das gesamte Log-Management nicht standardisiert. Dachser musste daher vorab allerdings wichtige Entscheidungen treffen.
„Bevor man eine SIEM-Lösung einführt, ist es wichtig genau zu definieren, für welche Bereiche sie genutzt werden soll. Bei uns fing alles mit der Analyse der Log-Dateien an“, sagt Christian von Rützen, Department Head IT Security bei Dachser. Die Risikobetrachtung sollte damit optimiert werden.
Dachser hat sich für Splunk vor allem wegen der zuverlässigen Software-Architektur und den umfassenden Erweiterungsmöglichkeiten entschieden. Christian von Rützen: „Anfangs waren es fünf Mitarbeiter, die die SIEM-Lösung genutzt haben, heute sind es bereits 64. Die Lösung wächst also mit.“ Das System wird bei Dachser mittlerweile unter anderem auch für die Identifikation und Isolierung von Malware, das Aufdecken von File-Server-Berechtigungsfehlern oder Datendiebstählen sowie für das Security Operations Center (SOC) generell eingesetzt.
Das SOC der Zukunft
Das SOC der Zukunft funktioniert als ein datengetriebenes Sicherheitsnervenzentrum, das Gehirn und Arm verbindet. Das analytische Gehirn in Form eines cloud-nativen SIEM (Security Information and Event Management) übernimmt zusammen mit dem Arm, bestehend aus einem SOAR-System (Security Orchestration Automation and Responses) die oben genannten Monitoring-Aufgaben und analysiert und reagiert basierend auf festgelegten Playbooks. SIEM-Systeme aus der Cloud wie Splunk Enterprise Security können in wenigen Tagen bereitgestellt werden, sind flexibel skalierbar und reduzieren den Administrationsaufwand erheblich. Die SOAR-Lösung Phantom erleichtert die Suche nach Incidents und die Reaktion. Ein solches SOC der Zukunft automatisiert 90 % der Analysearbeit. Das IT-Sicherheitsteam spart damit über 50 % seiner Zeit ein, welche für die Optimierung der Unternehmenssicherheit frei wird. Somit hat das Team mehr Zeit weitere potenzielle Einfallstore zu prüfen, sich über Angriffstrends und neue Cloud-Dienste zu informieren und dieses Know-How in das SOC in Form von „Detection Engineering“ zurückzubringen.
Erfahren Sie mehr zu Security bei Splunk.
(ID:46808202)