Damit man Cyber-Angriffe erkennen kann, muss man sehen, was in der IT-Infrastruktur passiert. Hierzu ist es wichtig, zu wissen, welche Komponenten sich überhaupt im eigenen Firmennetzwerk befinden. Neben klassischen Netzwerkkomponenten wie Routern, Gateways und Switches sollte man auch in Erfahrung bringen, über welcher sicherheitsrelevanten IT-Assets das Unternehmen verfügt. Wo befinden sich beispielsweise Firewalls, IDS/IPS-Systeme oder Anti-Viren-Scanner? Gibt es Scanner, die nach Schwachstellen suchen? Hat das Unternehmen für die erlaubte Software spezielle Whitelisting-Lösungen implementiert? All diese Fragen sollten vorab geklärt werden, damit man sich ein umfassendes Bild der IT-Infrastruktur machen kann.
Wenn man weiß, welche IT-Assets man hat, fällt es auch leichter herauszufinden, welche IT-Assets nicht in das Unternehmen gehören.
Nachdem wir nun wissen, wie die IT-Infrastruktur im Unternehmen aufgebaut ist, sollte als nächstes die Frage beantwortet werden, wie wir Cyber-Angriffe erkennen können. Hat sich das Unternehmen für die Einführung einer zentralen SIEM-Lösung entschieden, so können SIEM Use Cases bei der Erkennung von Angriffen oder ungewöhnlichem Verhalten helfen.
SIEM steht für Security Information and Event Management. SIEM ist eine Art von Software, die Sicherheitsinformationen aus verschiedenen Quellen sammelt und analysiert. Diese Informationen können dann verwendet werden, um Bedrohungen zu erkennen, zu verhindern und zu bekämpfen. SIEM-Software kann auch dazu verwendet werden, Security-Audits durchzuführen, Compliance-Regeln einzuhalten und Sicherheitsprobleme zu diagnostizieren. SIEM ist ein wesentliches Werkzeug für Sicherheitsprofis, um sicherzustellen, dass ihr Unternehmen vor Bedrohungen geschützt ist.
Es gibt verschiedene Use Cases, die mit Hilfe von SIEM erstellt werden können.
Einige dieser Use Cases sind:
Durch die Implementierung eines SIEM kann das Unternehmen die Sicherheit der eigenen IT-Infrastruktur erheblich verbessern.
Unter einem SIEM Use Case verstehen wir ein bestimmtes Szenario, welches wir mit einem SIEM beobachten wollen. Das Szenario beschreibt hierbei ein ungewöhnliches oder auffälliges Verhalten, welches näher analysiert werden sollte, sobald es auftritt. Tritt ein solches Szenario auf, so wird ein Alarm erzeugt, der analysiert werden sollte. Ein Beispiel wäre hier das Hinzufügen von neuen Benutzern in eine Admin-Gruppe oder die Verwendung eines Ports, der nicht durch einen Business Service benutzt wird. Solche Aktivitäten sind ungewöhnlich und sollten fast nie auftreten. Wenn sie dennoch vorkommen, dann muss hier geprüft werden, ob eine legitime Handlung vorliegt, oder ob es Hinweise auf einem Cyber-Angriff gibt.
Es gibt zwei gängige SIEM Use Case Frameworks, welche ich Ihnen im Folgenden kurz vorstellen möchte:
SANS Top 20 ist ein Framework, welches von der SANS Institute entwickelt wurde. Dabei handelt es sich um eine Liste von 20 Angriffsszenarien, welche regelmäßig in Unternehmen auftreten.
Das zweite Framework ist MITRE ATT&CK. Dabei handelt es sich um ein Framework, welches sich auf die Erkennung von Angriffen spezialisiert hat, die mithilfe von Tools und Techniken des Angreifers durchgeführt werden.
Im Folgenden möchte ich Ihnen die beiden Frameworks etwas näher vorstellen.
Als nächstes stellt sich die Frage, welche SIEM Use Cases brauchen wir in unserem Unternehmen? Es existiert eine große Auswahl an öffentlich verfügbaren SIEM Use Cases. Hier wären zum Beispiel die MITRE ATT&CK Use Cases zu nennen. Das sind allerdings auch weit über 200 Stück.
Alle verfügbaren SIEM Use Cases zu implementieren macht keinen Sinn, da diese einfach nicht wirtschaftlich wäre. Man würde auch gar nicht die notwendigen Ressourcen bekommen, um diese Aufwände handhaben zu können. Wenn man also nicht alle SIEM Use Cases einführen kann, muss man einen Weg finden, die wichtigsten SIEM Use Cases für das Unternehmen zu finden. Hierfür gibt es mehrere Möglichkeiten. Eine Möglichkeit ist risikobasiert vorzugehen. Das IT-Risikomanagement analysiert die Angriffsvektoren, denen das Unternehmen ausgesetzt ist. Aus dieser Analyse ergeben sich Gefahren und das Schadenspotenzial, welches beim Eintreten der Gefahren entsteht. Daraus leitet sich das zu erwartende Risiko für das jeweils identifizierte Angriffsszenario ab.
Auf Basis der identifizierten Risiken können nun die SIEM Use Cases ausgewählt werden. Die SIEM Use Cases orientieren sich dabei an den größten Risiken. Also den Risiken, welche den größten Schaden verursachen und gleichzeitig auch die größte Wahrscheinlichkeit haben, dass sie eintreten.
Mit dieser Vorgehensweise wählt man die SIEM Use Cases, die am meisten zur Reduktion der Risiken beitragen. Durch dieses Vorgehen fällt es auch leichter die Aufwände für die Umsetzung von SIEM Use Cases zu rechtfertigen, denn man kann zeigen, dass die Maßnahmen direkt zur Reduktion von Risiken beitragen.
Nun hat nicht jedes Unternehmen ein IT-Risikomanagement, welches so eindeutige Informationen liefern kann, dass diese zur Auswahl von SIEM Use Cases beitragen. Manchmal ist vielleicht nicht einmal ein IT-Risikomanagement vorhanden. In diesem Fall ist man auf die Verwendung von Best-Practices und Meinungen von Experten angewiesen.
Zunächst einmal ist es wichtig die IT-Umgebung des Unternehmens zu kennen. Welche Schnittstellen gibt es zu Dienstleistern? Welche Cloud-Dienste werden verwendet? Wie sind die Netzwerkzonen organisiert? Was befindet sich in der DMZ? All diese Fragen sollten beantwortet werden, um herausfinden zu können, welche SIEM Use Cases für das Unternehmen einen guten Schutz bieten.
Auf diese zwei Arten lassen sich also aus der großen Menge an SIEM Use Cases die Use Cases wählen, die den größten Nutzen bieten und damit auch wirtschaftlich vertretbar sind.
Um SIEM Use Cases optimal nutzen zu können, ist es wichtig, die Grundlagen der SIEM-Bereitstellung und des Betriebs zu verstehen. SIEM-Lösungen bestehen aus mehreren Komponenten, darunter Datenerfassungsmechanismen, Regel-Engines, Korrelations-Engines und Berichtsschnittstellen. Diese Komponenten arbeiten zusammen, um einen Echtzeit-Einblick in die IT-Umgebung eines Unternehmens zu bieten und Sicherheitsanalysten dabei zu helfen, schnell zu erkennen und zu reagieren, wenn ein Cyber-Angriff stattfindet.
Nachdem SIEM Use Cases implementiert wurden, müssen die Use Cases getunt werden. Das bedeutet, dass Fehlalarme, soweit es geht, reduziert werden. Fehlalarme treten auf, wenn Use Cases Alarme produzieren, es aber gar kein Sicherheitskritisches Ereignis vorliegt.
Diese Fehlalarme sind teuer. Warum? Ganz einfach, die Security Analysten wissen vor der Analyse eines Alarms nicht, ob es sich um einen echten Sicherheitsvorfall oder nur um einen Fehlalarm handelt.
Daher steigt durch Fehlalarme die Menge an Alarmen, die durch Security Analysten zu bearbeiten sind. Die Bearbeitung und Analyse kostet Zeit und bindet somit wertvolle Ressource, die eh schon zu knapp vorhanden sind. Außerdem erhöhen Fehlalarme auch das Sicherheitsrisiko. Durch ein großes Volumen an Fehlalarmen steigt die Wahrscheinlichkeit, dass echte Sicherheitsvorfälle nicht oder erst verspätet bearbeitet werden.
Daher ist es wichtig die SIEM Use Cases ausreichend zu testen und kontinuierlich zu verbessern und die Quote der Fehlalarme zu reduzieren. Hierfür gibt es keine allgemeine Formel. Jeder SIEM Use Case muss an die IT-Umgebung des Unternehmens angepasst werden, damit die Security Analysten sich im Idealfall fast ausschließlich mit echten Sicherheitsvorfällen beschäftigen können.
Das Security Incident Management regelt, wie mit Sicherheitsvorfällen umgegangen werden muss. Es beschriebt die Abläufe, die von der Erkennung eines Sicherheitsvorfalls bis zu dessen vollständiger Beseitigung. Es regelt außerdem, welche Rollen und Personen die entsprechenden Tätigkeiten durchführen müssen und welche Personen mit welchen Informationen versorgt werden müssen.
Fassen wir das ganze nochmal zusammen. SIEM Use Cases sind wichtig, um Cyber-Angriffe frühzeitig zu erkennen und angemessen darauf reagieren zu können. Die Auswahl der passenden SIEM Use Cases ist wichtig, um das Security Monitoring wirtschaftlich zu betreiben.
Die Erkennung von Cyber-Angriffen ist ein wichtiger Teil der IT-Security im Unternehmen. Nachdem ein Sicherheitsvorfall erkannt wurde, muss er durch das Security Incident Management behandelt werden, damit der Geschäftsbetrieb ohne Unterbrechung fortgesetzt werden kann.
Jetzt gebe ich noch einen Bonus-Tipp, auf den man bei der Umsetzung von SIEM Use Cases auf jeden Fall achten muss. SIEM Use Cases können einen starken Einfluss auf die Sichtbarkeit im Unternehmen haben. Das dient zur Erkennung von Cyber-Angriffen, aber könnte auch für die Überwachung von Mitarbeitern eingesetzt werden.
Daher ist es wichtig den Betriebsrat und den Datenschutz bei der Planung und der Umsetzung der SIEM Use Cases frühzeitig mit einzubinden. Wenn der Betriebsrat das Gefühl hat, dass die geplanten Maßnahmen zur Überwachung von Mitarbeitern eingesetzt werden können, dann wird er ganz schnell dafür sorgen, dass es kein Security Monitoring gibt. Um das zu vermeiden, muss deutlich gemacht werden, was überwacht werden soll. Es muss klar sein, wann eine Überwachung durchgeführt wird und wer unter welchen Voraussetzungen dazu berechtigt ist.