Systeme für das Security Incident and Event Management, Teil 3Anwendungsfälle für das moderne SIEM

1. August 2023

SIEM-Software sammelt und aggregiert Protokolldaten, die in der gesamten technologischen Infrastruktur des Unternehmens erzeugt werden, von Host-Systemen und Anwendungen bis hin zu Netzwerk- und Sicherheitsgeräten wie Firewalls und Antivirenprogrammen. Die Software identifiziert, kategorisiert und analysiert dann Vorfälle und Ereignisse. Die SIEM-Analyse liefert Echtzeitwarnungen, Dashboards oder Berichte an verschiedene wichtige Geschäfts- und Verwaltungsabteilungen.

Das moderne SIEM lässt sich mit den Anforderungen der Infrastruktur skalieren und verbessert die Fähigkeiten zur Erkennung externer und interner Bedrohungen sowie zum Incident Management. Laut Gartner umfasst dies die Erkennung gezielter Angriffe, die Überwachung von Benutzeraktivitäten, die Überwachung von Anwendungsaktivitäten, die Erstellung von Profilen und die Erkennung von Anomalien, Threat Intelligence, effektive Analysen und Funktionen zur Reaktion auf Vorfälle, um nur einige zu nennen.

In den aktuellen wirtschaftlich schwierigen Zeiten kann es sich als noch schwieriger erweisen, Investitionen in die IT zu rechtfertigen. Wie sollten IT-Sicherheitsverantwortliche also vorgehen, um einen Business Case für SIEM zu erstellen?

  • Stabilisierung des IT-Betriebs: SIEM hilft Unternehmen, Probleme schneller und effizienter zu lösen. Indem Probleme erkannt werden, bevor sie sich auf kritische Systeme auswirken, können Unternehmen Ausfallzeiten reduzieren, was sich positiv auf Umsatz und Produktivität auswirken kann. SIEM-Lösungen ermöglichen es Unternehmen, Vorfälle schneller zu untersuchen. Durch den besseren Zugang zu den Protokollen können Unternehmen mehr Zeit für Untersuchungen aufwenden und den dafür erforderlichen Personalaufwand reduzieren. Dies senkt die Kosten für den IT-Betrieb. Außerdem können Unternehmen durch die Identifizierung der Grundursache eines Problems innerhalb des IT-Betriebs die Anzahl der Sicherheitsvorfälle verringern, diese Vorfälle schneller auflösen, eine höhere Produktivität durch die Optimierung der IT-Infrastruktur ermöglichen und sowohl die Leistung als auch die Zuverlässigkeit steigern.
  • Datensicherung: SIEM ermöglicht einen besseren Einblick in die Vorgänge innerhalb eines Netzwerks. Dies ist entscheidend, wenn es darum geht, Datenverluste oder Unterbrechungen der Dienste zu vermeiden. Dashboards auf hoher Ebene verringern das Risiko von Sicherheitsverletzungen, indem sie einfache Übersichten über verdächtige Aktivitäten im gesamten Unternehmen bieten und Einblicke in potenzielle Brute-Force-Angriffe, Data Loss Prevention, Datendiebstahl, kompromittierte Konten und das Monitoring von Änderungen ermöglichen. Die Optimierung der Compliance ist für jedes Unternehmen wichtig. Mit SIEM können Unternehmen wichtige Prozesse besser monitoren und automatisierte Berichte einrichten, die Prozesse im Zusammenhang mit der DSGVO, der International Organization for Standardization (ISO) und dem Payment Card Industry Data Security Standard (PCI DSS) sowie anderen Vorschriften und Standardisierungsgremien schneller und einfacher machen. Schließlich verbessert SIEM die Erkennungs- und Reaktionsmöglichkeiten, indem es Unternehmen ermöglicht, schnell auf Vorfälle zu reagieren. Darüber hinaus bietet SIEM mehr Transparenz und die Erkennung von Anomalien und hilft Unternehmen, Verluste während und nach Sicherheitsverletzungen zu vermeiden oder zu begrenzen.
  • Einblicke in Betriebsabläufe gewinnen: Indem alle Protokolldaten der Systeme im SIEM verfügbar sind, können Unternehmen alle Daten indexieren und gleichzeitig analysieren, was im gesamten Unternehmen zu jeder Zeit passiert. Jede Aktivität kann mit dem verglichen werden, was ein Unternehmen als normal ansieht, und kann mit allen zuvor verarbeiteten Daten verglichen werden. Auf diese Weise können Unternehmen die Visualisierung verbessern und leichter feststellen, welche Aktivitäten als normal angesehen werden und welche nicht. Dadurch können IT-Teams bessere Geschäftsentscheidungen treffen. Durch die Analyse von Protokollen können Unternehmen auch andere Bereiche als die Sicherheit verbessern. Die Service-Desk-Performance und -Entwicklung kann davon profitieren, indem die Zeit bis zur Problemlösung und die IT-Ausgaben durch die Analyse von Speicher- oder Druckerprotokollen gesenkt werden. Dies gibt Aufschluss darüber, wo die Nutzung optimiert werden kann. Ausfallzeiten können vorhergesagt werden, indem genau ermittelt wird, wann ein Gerät repariert werden muss, um potenzielle Ausfallzeiten zu vermeiden. Geschäftsprozesse können gestrafft werden, indem sie mit datengesteuerten Erkenntnissen vereinfacht werden, die Daten zu Trends innerhalb eines Unternehmens liefern, sodass Kosten eingespart und Aufgaben automatisiert werden können.
  • Geschäftsprozesse optimieren: SIEM kann den Umsatz steigern, indem es einen besseren Überblick über die Vorgänge in Unternehmen auf vielen Ebenen bietet, sowohl intern als auch extern. Ein Anruf bei einem Kunden, kurz bevor ein Produkt gewartet werden muss, oder das Erkennen unerfüllter Bedürfnisse kann sowohl Kosten sparen als auch zu Upselling- oder Service-Umsatzchancen führen. SIEM verbessert die Geschäftsoptimierung und -innovation, indem es IT-Sicherheitsteams die Möglichkeit bietet, zu bestimmen, welche Änderungen zur Optimierung bestimmter Geschäftsprozesse vorgenommen werden müssen. Darüber hinaus können sie ein kontextbezogenen Einblick erlangen, indem Firmen ihre Daten mit den richtigen Informationen anreichern und ein besseres Verständnis dafür vermitteln, wo Ressourcen gebunden werden. Dies führt zu einer verbesserten Benutzer- und Kundenerfahrung und kann dem Unternehmen die nötigen Einblicke geben, um neue Initiativen zu entwickeln.

Business Case vs. technischer Anwendungsfall

Es gibt wesentliche Unterschiede zwischen geschäftlichen und technischen Anwendungsfällen. Während ein geschäftlicher Anwendungsfall oft auf einer hohen Ebene angesiedelt ist, strategisch ist und eine Begründung liefert, die dazu beitragen kann, die Zustimmung der Geschäftsleitung und die Finanzierung für die SIEM-Einführung zu sichern, ist ein technischer Anwendungsfall andererseits oft sehr detailliert und hilft bei der Operationalisierung des SIEM, um die Geschäftsziele zu erreichen.

Um technische Anwendungsfälle zu bestimmen, sollten IT-Sicherheitsverantwortliche Folgendes berücksichtigen:

  • Den Umfang der Implementierung definieren: Bei der Auswahl einer SIEM-Lösung sollten Unternehmen einen Workshop veranstalten, entweder intern oder zusammen mit einem SIEM-Partner. Dann sollte es darum gehen, den Projektumfang und den Zeitplan zu definieren und zu vereinbaren. Um den Umfang und den Zeitplan der Bereitstellung festzulegen, müssen Unternehmen eine erste Liste von Anwendungsfällen identifizieren und – was noch wichtiger ist – Prioritäten setzen, um zu bestimmen, welche Protokollquellen erforderlich sein könnten. Darüber hinaus ist es wichtig, sich auf einen Zeitplan für die Einführung zu einigen, um sicherzustellen, dass die SIEM-Einführung mit den übergeordneten Zielen des Unternehmens übereinstimmt.
  • Die vorrangigen Datenquellen bestimmen: Sobald das IT-Sicherheitsteam den idealen Projektumfang im Griff hat, kann es die Protokollquellen innerhalb des Umfangs ermitteln, um festzustellen, wie es die benötigten relevanten Informationen erhalten kann. Firewalls, Intrusion-Protection-Systeme und Antiviren-Software sind zum Beispiel die wichtigsten Datenquellen für SIEM, aber es gibt noch viele mehr. Es ist wichtig, dass Unternehmen Prioritäten bei den einzubeziehenden Quellen setzen, um sicherzustellen, dass das SIEM einen möglichst genauen Sicherheitsschutz bietet.
  • Ereignisse und Alarme mit hoher Priorität identifizieren: Wenn es darum geht, ein Unternehmen gegen Bedrohungen von innen und außen zu schützen, werden IT-Sicherheitsteams oft mit einer ständig wachsenden Liste von Sicherheitsereignissen konfrontiert, die analysiert werden müssen und auf die reagiert werden muss. Unternehmen müssen jedoch zunächst feststellen, welche Ereignisse für sie hohe Priorität haben und wie sie von Anwendungen und Geräten innerhalb der Infrastruktur abgeleitet werden. Auf diese Weise können die IT-Sicherheitsteams das SIEM nutzen, um mehr Zeit auf die wirklich wichtigen Ereignisse und Alarme zu verwenden, die für das Unternehmen und seine Daten möglicherweise schädlicher sind.
  • Die wichtigsten Erfolgsmetriken definieren: Eine erfolgreiche SIEM-Implementierung und -Einführung steht in direktem Zusammenhang mit den Zielen eines Unternehmens. Es ist wichtig, dass die Erfolgskennzahlen vor der Implementierung festgelegt werden, um eine maximale Rendite zu gewährleisten. Die Verringerung des Informationsdiebstahls oder die Verbesserung der Überwachung auf potenzielle Eindringlinge oder Infektionen können diese Metriken sein, aber es gibt noch viele andere. Es ist wichtig, dass Unternehmen festlegen, was Erfolg für sie bedeutet und wie ein SIEM zur Erreichung dieses Ziels eingesetzt werden kann.
  • Alle Umgebungen identifizieren, die gemonitort werden müssen: Nachdem Unternehmen die Hauptanwendungsfälle für ein SIEM identifiziert haben, müssen sie alle für die Erreichung der Geschäftsziele relevanten Assets identifizieren und überwachen. Dazu gehören alle Netzwerkgeräte, die sicherheitsrelevante Informationen verarbeiten, wie Router, Firewalls, Webfilter, Domänencontroller, Anwendungsserver, Datenbanken und andere kritische Assets innerhalb der IT-Umgebung eines Unternehmens. Sobald Firmen die zu überwachenden Assets und Umgebungen identifiziert haben, müssen sie auch wissen, wer die potentiellen Angreifer sind. Sie müssen wissen, auf welche Ereignisse sie sich konzentrieren müssen, wie sie reagieren müssen, wenn Bedrohungen entdeckt werden, wo sich diese Bedrohungen in ihrer Umgebung befinden und warum diese die größten Bedrohungen sind, um sicherzustellen, dass das eigene IT-Sicherheitsteam die Bedrohungen findet und sie richtig angeht.

SIEM-Anwendungsfälle können sich auf das Bestehen des nächsten Compliance-Audits oder den Schutz des geistigen Eigentums des Unternehmens beziehen. IT-Sicherheitsteams sollten alle kritischen Anwendungen und Daten berücksichtigen, auf die das Unternehmen angewiesen ist, um Kunden zu unterstützen und den Geschäftsbetrieb aufrechtzuerhalten.

Allerdings sollten sie überlegen, in welchen Anwendungen Daten gespeichert sind, die das Ziel von Cyber-Kriminellen sein könnten, oder welche Anwendungen Daten enthalten, die sich auf den Compliance-Status auswirken könnten (z. B. haben Daten von Kreditkarteninhabern Auswirkungen auf PCI DSS).

Evaluierung möglicher Lösungen

Es sollte ein klarer, schrittweiser Prozess für die Bewertung und Auswahl eines SIEMs vorhanden sein. Der erste Schritt ist die Auswahl. Unternehmen sollten eine Reihe von Anbietern festlegen, die sie bewerten wollen und sicherstellen, dass die Anbieter auf der Liste die Lösungen und die Unterstützung bieten. Firmen sollten nach Möglichkeit mindestens zwei oder drei Anbieter auswählen, in die das IT-Sicherheitsteam während der Proof-of-Concept-Phase Zeit und Mühe investieren wird.

Sie sollten sich darüber im Klaren sein, dass nicht alle Anbieter für diesen Prozess geeignet sind. Daher ist es wichtig zu wissen, bei welchen Anbietern die Zeit und Mühe aufgebracht werden muss, die es braucht, um sicherzustellen, dass sich die Investition lohnt.
Firmen sollten es in ihrer eigenen Umgebung ausprobieren. IT-Sicherheitsteam müssen Testfälle durchspielen, um sicherzustellen, dass das SIEM wie erwartet funktioniert, die wichtigsten technischen Anforderungen erfüllt und den Geschäftszielen gerecht wird. Unternehmen müssen nach geeigneten Anbietern suchen, die eine kostenlose Testversion anbieten, damit sie den Bereitstellungsprozess durchlaufen können, bevor sie einen endgültigen Kauf tätigen.

Sie sollten die Testfälle entwerfen, die den realen Anforderungen des Unternehmens so nahe wie möglich kommen. Durch Testen und Einholen von Feedback können Security Analysten herausfinden, wie einfach (oder schwierig) der Prozess von der Installation bis zum Einblick in das SIEM ist.

Firmen müssen alle Ergebnisse aus den Bewertungen und dem Feedback des Teams sammeln und analysieren, um den richtigen SIEM-Anbieter für sich selbst zu finden. Subjektive Kriterien sind so zu bewerten, wie das Verhältnis zum Anbieterteam, die Supportzeiten und die Kundenpolitik. Während das technologische Grundgerüst von größter Bedeutung ist, können Firmen mit dem richtigen Team im Rücken kann das SIEM noch besser für das Unternehmen arbeiten.

Alle wichtigen Interessengruppen sollten in diesen Prozess involviert und die Hauptgründe für die Auswahl des Anbieters dokumentiert werden. Das Feedback sowohl der Führungsteams als auch derjenigen, die regelmäßig mit der Lösung arbeiten werden, ist eine wichtige Information, die Firmen kennen sollten, vor allem, weil sie sich bei einer Erneuerung als nützlich erweisen kann.
Während des Kaufprozesses ist es von entscheidender Bedeutung, dass die Bedürfnisse mit dem Anbieter umfassend erkundet werden. Zu den wichtigsten Fragen gehören:

  • Was kann ich tun, wenn ich nicht über alle externen Sicherheitstechnologien verfüge, die in das SIEM einfließen können (z. B. Bestandsaufnahmen, IDS, Schwachstellen-Scans usw.)?
  • Wie ist das voraussichtliche Verhältnis von Lizenzkosten zu Beratungs- und Implementierungskosten?
  • Wie viele Mitarbeiter oder externe Berater werden für die Reaktion auf SIEM-Warnungen und die Verwaltung des Systems insgesamt benötigt?
  • Wie lange wird es dauern, von der Softwareinstallation bis zum Sicherheitseinblick zu kommen?
  • Wie viele Mitarbeiter oder externe Berater werden für die Integrationsarbeit benötigt?
  • Enthalten Warnungen und Alarme Schritt-für-Schritt-Anweisungen für die Schadensbegrenzung und die Reaktion auf Untersuchungen?

Es kann durchaus weitere Kriterien geben, die die Entscheidung für die Anschaffung eines SIEMs beeinflussen. Ein wichtiges Kriterium ist die Zeit bis zur Wertschöpfung. Wenn sich Unternehmen für eine SIEM-Lösung entscheiden, die bereits in andere wichtige Sicherheitskontrollen integriert ist, reduzieren sie den Zeit- und Arbeitsaufwand für die Beschaffung, Bereitstellung, Integration und Konfiguration mehrerer punktueller Sicherheits-Tools erheblich.

Stattdessen können sie die Lösung schnell einsetzen und eine schnellere Wertschöpfung erzielen. Sicherheitsorientierte SIEM-Lösungen enthalten oft vorgefertigte Korrelationsregeln zur Erkennung von Malware und mehr, sodass sie vom ersten Tag an Bedrohungen erkennen können.

Ebenso werden Kosteneinsparungen ein Hauptanliegen sein. Ein vereinheitlichtes SIEM mit integrierten Angeboten führt zu anfänglichen und laufenden Kosteneinsparungen. Anstatt mehrere punktuelle Sicherheits- und Compliance-Tools bereitzustellen, zu überwachen und zu pflegen, kann eine einheitliche Lösung eine einzige Ansicht für die vollständige Sicherheitsüberwachung und das Compliance-Management bieten. Dieser Ansatz ermöglicht es IT-Sicherheitsteams, die nur über begrenzte Ressourcen verfügen, eine solide Sicherheitslage mit weniger Ressourcen zu erreichen.

Wenn Firmen bereits über einige dieser Kerntechnologien verfügen, sollten sie sich darüber im Klaren sein, wie viel Zeit, Geld und Mühe es kosten wird, diese in Ihr SIEM zu integrieren und diese Integration aufrechtzuerhalten, wenn sich die Dinge im Unternehmen ändern. Erkundigen sie sich beim SIEM-Anbieter, wie er die Integration mit anderen Tools handhabt (einschließlich der Kosten) und wie lange dieser Teil der Implementierung voraussichtlich dauern wird.

Sven Bagemihl ist Regional Director für die Region CEMEA bei Logpoint.

Logpoint

Lesen Sie auch