ISMS und SIEM – Fundierte IT-Sicherheitsstrategie

ISMS und SIEM

Durch die Professionalisierung der Angreifer werden die staatlichen Organisationen und die privatwirtschaftlichen Unternehmen gezwungen die Professionalität der eigenen IT-Security zu erhöhen. ISMS und SIEM bedeuten mehr Aufwand, aber auch mehr Sicherheit.

Warum braucht es neue Technologien und ganzheitliche IT-Sicherheitsstrategien zur Aufrechterhaltung der IT-Security?

Märkte tendieren generell dazu, ihre Produktivität und Effektivität zu erhöhen – dabei spielt es keine Rolle, ob es sich um rechtmäßig agierende, pro-blematische oder gar um als kriminell einzuordnende Märkte handelt. Der Bereich, den wir simplifiziert als »Hacking-Welt« beschreiben, funktioniert nach den gleichen Prinzipien. Auch hier suchen die Käufer nach dem günstigsten Preis. Die Verkäufer bieten ihre Fähigkeiten und Produkte an, um einen möglichst hohen Profit zu generieren. Mit der Zeit verdrängen die besseren Produkte und Dienstleistungen die weniger guten und High-Quality-Marken erzielen auch in der Hacking-Welt -Premiumpreise.

In den letzten 10 bis 15 Jahren zeichnete sich im »Businessmodell der Hacking-Welt« ebenfalls eine hohe Marktreife mit entsprechender Diversifikation der Angebote ab. Die Organisationen bieten mittlerweile Services mit 24/7-Hotline für Malicious Code und Zero-Day-Exploit-Generierung oder komplette Testing Center ausgestattet mit den Produkten aller gängigen IT-Security-Hersteller an. Die Auftragsannahme erfolgt in Call Centern. Teilweise erhält der Kunde sogar Probeläufe für Bot-Netze mit Geld-zurück-Garantie im Falle des Nichterfolgs [1]. Dementsprechend hat sich die Bedrohung der IT-Sicherheit innerhalb der letzten Jahre grundlegend gewandelt. Nicht nur die Angreifer haben nun überwiegend finanzielle und politische Motivationen, auch die Technologien der Angriffe werden aufgrund der obigen Mechanismen immer professioneller.

So ist die verwendete Anzahl der aufgedeckten Schwachstellen, die lange Zeit als Maß für die Internetsicherheit galt, inzwischen rückläufig, obwohl die Anzahl der erfolgreichen, meist unentdeckten Angriffe zunimmt. Sogenannte Advanced Persistent Threats (ATP), mehrstufige Angriffsszenarien, die eine nachhaltige Beeinflussung und Kompromittierung von IT-Systemen zum Ziel haben, sind von einzelnen Geräten wie etwa Firewalls kaum noch zu erkennen. Meist findet bei einem Angriff auf Applikationsebene parallel ein Ablenkungsmanöver statt (häufig in Form einer DDOS-Attacke), um die Aufmerksamkeit des für die IT-Sicherheit zuständigen Personals darauf zu lenken [2].

Auch der aktuell zu beobachtende Preisverfall von gehackten und per Spam-Mail zum Verkauf angebotenen Bankkonten- und Kreditkartendaten ist kein Beleg für den Niedergang dieser Industrie, sondern zeigt im Gegenteil den hohen Automatisierungsgrad dieses Marktes, wo hochspezialisiertes Expertenwissen mit 4-stelligen Beträgen pro Tag honoriert wird.

Alle führenden IT-Security-Anbieter stimmen mittlerweile darüber überein, dass eine Organisation, die sich zum Ziel gesetzt hat, in eine bestimmte Firma »einzubrechen«, um an wichtige Informationen für deren Klienten zu gelangen, dieses Ziel früher oder später auch erreichen wird. Es hängt nur von den zeitlichen und finanziellen Ressourcen des Auftraggebers ab, innerhalb welches Zeitraumes der Eindringversuch erfolgreich umgesetzt wird.

Die mehrstufigen Angriffe bedienen sich auf dem Weg in die Unternehmen aller möglichen Kanäle – von Smartphones über Tablet PCs bis hin zu privaten Geräten der Mitarbeiter oder vom Unternehmen gemieteter Cloud-Dienste.

Studien des Herstellers Mandiant [3], inzwischen übernommen vom IT-Security-Anbieter FireEye, aus dem Jahre 2013 und 2014 kommen zum Ergebnis, dass der Großteil aller von Mandiant beauftragten Unternehmen unautorisierten erfolgreichen Zugriff von externer Seite zu verzeichnen hatte. Die Zeit zwischen dem erstem erfolgreichen Eindringen und der Entdeckung betrug im Schnitt 243 Tage – und dies trotz voll funktionierendem Antiviren-Schutz und restriktiven Firewall Policies.

Ganzheitlicher Ansatz. Welche Möglichkeiten ergeben sich nun für die IT-Security-Verantwortlichen, um aus dieser Gemengelage eine Strategie gegen ATPs und deren Folgen zu entwickeln?

Zunächst sollte IT-Security als Prozess betrachtet werden, um einen ganzheitlichen Ansatz zu ermöglichen. Dabei ist es ratsam, alle Mitarbeiter in die Umsetzung der Strategie von Anfang an einzubeziehen, was den verantwortungsbewussten Umgang mit sensiblen Daten auf allen Ebenen schärft. Des Weiteren etabliert sich durch die ständige Verbesserung des Prozesses im Rahmen des PDCA oder Deming-Kreis-Zyklus eine Art Firmenkultur hinsichtlich der IT-Sicherheit. In der Regel führt der Prozess in der konkreten Umsetzung zu einem Informationssicherheitsmanagementsystem (ISMS) und ist Voraussetzung dafür, dass der IT-Sicherheitsverantwortliche Informationen zum Status der IT-Sicherheit zusammenführen und auswerten kann. Es empfiehlt sich, für eine erfolgreiche ISMS-Implementierung einen erfahrenen Dienstleister an Bord zu holen. Dies erleichtert die Einführung einer Sicherheitsstrategie und erlaubt eine Risikobewertung der Unternehmenswerte sowie die Etablierung geeigneter Richtlinien und Arbeitsanweisungen.

Ferner erleichtert die Einführung eines ISMS auch die Erfüllung externer Anforderungskataloge – zum Beispiel Compliance/Audit-Auflagen oder die Umsetzung der KRITIS-Empfehlungen [4] zur Aufrechterhaltung kritischer Infrastrukturen.

Schematische Beschreibung der Einführung eines ISMS, die technische Umsetzung führt zum SIEM.

Schematische Beschreibung der Einführung eines ISMS, die technische Umsetzung führt zum SIEM.

Ein Ziel einer jeden Sicherheitsstrategie besteht darin, einen Überblick aller aktuellen Sicherheitsvorfälle zu erhalten, um schnell reagieren zu können. Die Aufgabe, nur die wirklich relevanten Informationen zu aggregieren und aufzubereiten, wird über ein Security Incident- und Event Management-System (SIEM) ermöglicht. Eine SIEM-Lösung wertet Daten unterschiedlichster IT-Security-Systeme aus und stellt sicherheitsrelevante Log–Daten in einem einheitlichen, leicht zu interpretierenden Format bereit. Mittels Data Mining auf Korrelationsbasis rekonstruiert das SIEM aus der Vielzahl der Log-Daten reale Angriffsmuster, stellt diese in einer Übersicht dar und gibt Hinweise zur Risikobewertung. Erst damit wird es überhaupt möglich, mehrstufige Angriffe als solche zu erkennen und einzelne Ereignisse aufzuschlüsseln und entsprechend zu bewerten – die jedes für sich betrachtet nur ein geringes Gefahrenpotenzial darstellen, in der Summe aber den unerlaubten Zugriff auf wichtige Systeme ermöglichen.

Eine SIEM-Lösung liefert somit einen detaillierten Überblick über Zugriffsverletzungen durch Angriffe (erfolgreich oder nicht), über die Art der Angriffsvektoren, die Ziele und den möglichen Schaden. Zudem werden Handlungsempfehlungen bereitgestellt, welche Einstellungen an welchen Geräten zu ändern sind, um den Angriffsvektor zu schließen. Automatisierte Abläufe verkürzen die Zeit zwischen Erkennung und Reaktion. Damit entlastet ein SIEM-System die IT-Abteilung bei der Abarbeitung aufgetretener Sicherheitsvorfälle. So lässt sich beispielsweise die Gesamtanzahl dieser Vorfälle signifikant mittels intelligenter Verdichtung und Erkennung von Wechselbeziehungen der einzelnen Sicherheitsvor-fälle reduzieren. Zudem liefert eine SIEM-Lösung der Führungsebene Statuszusammenfassungen mit grafischen Elementen und aussagekräftigen Berichten. Für spätere forensische Untersuchungen muss eine SIEM-Lösung die revisionssichere Archivierung der Daten unterstützen (Compliance-Beweisführung, Chain of Custody).

Einführung einer SIEM-Lösung. Die Einführung einer SIEM-Lösung stellt Unternehmen vor große Herausforderungen, denn SIEM greift vielfach in die Arbeitsabläufe von bisher meist unabhängig agierenden Abteilungen ein. Insofern ist hier auch die Geschäftsführung gefordert, das Projekt zu monitoren und den zeitlich gesteckten Rahmen nicht aus den Augen zu verlieren. Es gibt bestimmte Rahmenparameter, die eine erfolgreiche Einführung einer SIEM-Lösung unterstützen.

  • Die Missionsdefinition – Welches Ziel liegt der Einführung einer SIEM-Lösung zugrunde?
  • Welches sind die Vorteile für die Abteilungen, die von einer SIEM-Einführung betroffen sind?
  • Für jedes Teammitglied, das am SIEM-Projekt mitwirkt, sollten die Aufgaben klar definiert sein.
  • Gegebenenfalls muss in die Ausbildung des vorhandenen Personals oder in neues Personal investiert werden, um das notwendige Know-how zu haben, die Einführung und den Betrieb zu bewerkstelligen.
  • Definition von »Use Cases« in den Facharbeitsgruppen, wie beispielsweise die Überwachung privilegierter Accounts oder das Monitoring temporärer Zugänge, Accounts etc.
  • Reduzierung der Komplexität des Projekts zu Beginn durch Begrenzung von Quellenanzahl, Quellentypen und Beschränkung der Anzahl der Use Cases
  • Hinzuziehen externer Beratungsleistungen
  • Überlegungen, ob es sinnvoll ist, eine SIEM-Lösung als Managed Service einzuführen, falls der eigene Kompetenzaufbau und Betrieb unter wirtschaftlichen Aspekten nicht lohnen.

Resümee. Unternehmen stehen bereits ausgereifte Technologien zur Verfügung, um den neuen IT-Sicherheitsbedrohungen zu begegnen. Die Professionalisierung der Angreifer zwingt die Unternehmen allerdings dazu, im Umgang mit der eigenen IT-Security selbst eine solche Professionalität an den Tag zu legen. Ohne Frage bedeutet für alle Firmen die Einführung eines ISMS mit entsprechendem technologischem Unterbau in Form einer SIEM-Lösung einen erhöhten Aufwand.

Die zentrale Fragestellung der Geschäftsführung besteht in der Regel darin, zu klären, ob die Erkennung mehrstufiger Angriffe oder das Aufdecken erfolgreicher Angriffe mit Platzierung von Malware, die den unkontrollierten Abfluss von Firmendaten zum Ziel hat, nicht weit höhere finanzielle Schäden verursacht, als die Kosten, die der Aufbau einer fundierten IT-Security-Strategie mit sich bringt.

Auf jeden Fall ist es ratsam, für eine erfolgreiche ISMS-Implementierung einen erfahrenen Dienstleister in das Projekt einzubeziehen. Als Systemintegrator und Managed Service Provider mit themenübergreifendem Know-how und langjähriger Erfahrung ist Control-ware hier der ideale IT-Partner.


autor_rainer_funk

Rainer Funk,
Solution Manager
Information Security, Controlware GmbH 

www.controlware.de

 

 

[1] http://www.trendmicro.de/sicherheitsinformationen/forschung/trendlabs-q1-2014-security-roundup

[2] www.rand.org

[3] https://www.mandiant.com/resources/mandiant-reports

[4] http://www.kritis.bund.de/SubSites/Kritis/DE/Einfuehrung/einfuehrung_node.html

 

Bild: © Lightspring/shutterstock.com 

 

 

Weitere Artikel zu