Security Information and Event Management (SIEM) ist zweifellos eine tragende Säule für die Sicherheitsstrategie von Unternehmen. Aber auch ein zweischneidiges Schwert: Denn wenn im Unternehmen immer mehr digitalisiert wird, nimmt auch die Menge der Nutzungsdaten rasant zu, die gesammelt, gespeichert und verarbeitet werden müssen – und damit auch die Kosten.
Mit den Tipps von Balabit lassen sich bis zu 40 Prozent der Lizenzkosten von SIEM-Lösungen einsparen und die Performance steigern.
Ein Schlüsselelement für alle Unternehmen und Organisationen ist ein ausgewogenes Verhältnis von Effizienz und Kosten. Die Verantwortlichen der IT-Abteilungen stehen somit unter enormen Druck: Sie sollen »mehr mit weniger« erreichen. Doch da immer mehr Produkte und Geschäftsprozesse digitalisiert werden, stellt es selbst für gut vorbereitete IT-Teams eine Herausforderung dar, mithilfe eines Monitorings die reibungslose Funktion und Sicherheit der IT-Infrastruktur sicherzustellen und dabei natürlich die gewonnenen Informationen nutzbringend zu verwenden.
Herzstück vieler IT-Sicherheitsinfrastrukturen und -strategien sind SIEM-Lösungen (Security Information and Event Management). Doch wenn Unternehmen damit beginnen, eine Digitalisierungsstrategie umzusetzen, nimmt die Menge der Nutzungsdaten überhand, die gesammelt, gespeichert und verarbeitet werden müssen. In Folge müssen Unternehmen entweder ständig ihr Budget für den Ausbau der SIEM-Systeme erhöhen oder einfach darauf vertrauen, dass sie nicht zum Ziel der Aktivitäten von internen und externen Cyberkriminellen werden. Außerdem müssen Nutzer berücksichtigen, dass SIEM-Systeme vor allem eine Aufgabe gut erfüllen: Sie erstellen Analysen und Berichte. Allerdings sie sind nicht dafür ausgelegt, die Grundlage zu optimieren, auf der sie aufsetzen – die Log-Daten.
Soll eine SIEM-Lösung optimiert werden, etwa um die Kosten zu senken oder die Effizienz zu erhöhen, bietet es sich deshalb an, parallel dazu das Log-Management zu verbessern. Wer dabei einige Best Practices berücksichtigt, erzielt beträchtliche Erfolge, die sofort spürbar sind und auch auf lange Sicht wirken. Das gilt für den Betrieb des SIEM-Systems, aber auch andere Bereiche wie etwa Compliance-Audits. Vor allem jedoch machen solche Best Practices dem SOC-Team (Security Operations Center) das Leben leichter.
Die acht Tipps in Kürze:
- Vermeiden Sie Kompatibilitätsprobleme – denn die Analyse-Ergebnisse sind nur so gut wie die Daten, auf denen sie beruhen:
Die meisten Netzwerke sind heterogen. Daher sollte die Wahl auf ein Log-Management-System fallen, das für möglichst viele Plattformen und Quellen von Log-Informationen ausgelegt ist. Das Syslog-Protokoll, einfache Text-Files, Datenbanken wie MSSQL und Oracle sowie SNMP-Traps ist dabei nur eine Auswahl der wichtigsten Log-Quellen.
- Füttern Sie Ihr SIEM-System nur mit wirklich verwertbaren Informationen:
Extrahieren Sie aus den Logs verwertbare Informationen und speisen Sie sie in Ihr SIEM-System ein. Ihr SIEM-Feeding-Tool sollte in der Lage sein, sowohl strukturierte als auch unstrukturierte Daten zu verarbeiten und bereitzustellen. Außerdem ist es hilfreich, wenn das Tool über Transformationsfunktionen verfügt, beispielsweise für das Filtern, Parsing, Rewriting und Klassifizieren von Informationen. Sind solche Funktionen vorhanden, muss der Nutzer nur noch die wichtigsten Informationen weiterleiten. Dadurch lassen sich die Event-basierten SIEM-Lizenzkosten signifikant reduzieren, nach Erfahrungen aus der Praxis um bis zu 40 Prozent innerhalb eines Jahres. Außerdem ermöglichen solche Funktionen die Anreicherung und Neustrukturierung von Logdaten, der die Analyse vereinfachen.
- Stellen Sie sicher, dass das Sammeln und Speichern von Log-Daten im Einklang mit gesetzlichen Vorgaben und Compliance-Vorschriften erfolgt:
Funktionen wie Anonymisierung und Pseudonymisierung sind wichtig, um internationale Vorgaben von Datenschutz- und Sicherheitsstandards zu erfüllen. Dazu zählen PCI-DSS, HIPAA und die neue Datenschutz-Grundverordnung (General Data Protection Regulation, GDPR) der Europäischen Union.
- Komprimieren Sie Log-Messages, wenn diese über Internet-Verbindungen mit niedriger Bandbreite transportiert werden:
Dabei ist zu berücksichtigen, dass die Bandbreite sowohl des Internets als auch des Intranets erheblich differieren kann. Daher sollte das Log-Management so ausgelegt sein, dass es auch in Netzwerkumgebungen mit niedriger Bandbreite funktioniert. Werden Log-Messages beim Versenden komprimiert, kann dies den Bandbreitenbedarf erheblich verringern. Ein weiterer Vorteil ist, dass die Log-Daten zentral schneller erfasst werden. Das wiederum verkürzt die Zeit, um auf potenzielle Sicherheits- oder Betriebsrisiken zu reagieren.
- Stellen Sie sicher, dass keine einzige Log-Nachricht verloren geht:
Was passiert, wenn Sie eine einzelne Log-Message verlieren? Vermutlich nichts. Doch was ist, wenn exakt diese Meldung einen Hinweis auf ein Datenleck enthält? Deshalb sind Verfahren wichtig, die den Verlust von Log-Nachrichten verhindern. Dazu zählen das Puffern von Log-Daten und die Möglichkeit, bei der Nichtverfügbarkeit des Ziels Lognachrichten automatisch an ein alternatives System zu leiten, um die Ausfallsicherheit zu erhöhen. Außerdem sollte eine Message-Rate-Control-Funktion vorhanden sein. Sie passt die Übermittelungsrate von Nachrichten an, damit das Ziel nicht überlastet wird und dadurch eventuell Mitteilungen verloren gehen. Wichtig ist zudem, dass das Log-Management-System den Empfang von Nachrichten auf der Anwendungsebene quittiert, damit nicht nur Fehler im Netzwerk abgefangen werden können.
- Ein großer Funktionsumfang braucht hohe Skalierbarkeit und verlässliche Performance:
Spezialisierte Tools mit einer robusten Systemarchitektur unterstützen die Übermittlung von wenigen Hundert bis hin zu Hundertausenden von Events pro Sekunde. Zwar ist dabei eine Vielzahl von Abhängigkeiten und Variablen zu berücksichtigen. Doch generell gilt, dass auch bei aktivierter Indexierung keine Probleme durch das Datenvolumen auftreten sollten.
- Liefern Sie Ihrem SIEM-System auch Daten über die Aktivitäten von Usern mit privilegierten Rechten:
Die meisten Aktionen von IT-Usern hinterlassen Spuren in Log-Daten. Dennoch gibt es bestimmte Aktivitäten, deren Details nicht in den Logs und damit den SIEM-Analysen auftauchen. Das ist beispielsweise dann der Fall, wenn Nutzer mit privilegierten Rechten über Protokolle wie SSH oder RDP zugreifen, die vorzugsweise von Administratoren genutzt werden. Wird das SIEM-System mit einer Lösung für das Privileged Activity Monitoring gekoppelt, können Organisationen alle risikobehafteten Nutzeraktivitäten in Echtzeit analysieren. Dadurch sind IT-Abteilungen in der Lage, Cyber-Angriffe und den Missbrauch von IT-Konten mit privilegierten Rechten zu unterbinden und damit verbundene finanzielle Schäden zu verhindern.
- Ordnen Sie SIEM-Alarme nach Priorität:
Werden auch in Ihrem Unternehmen zu viele Log-Daten oder Fehlalarme des SIEM-Systems erzeugt, die Ihr kleines und eh schon gut ausgelastetes IT-Team umgehend untersuchen soll? Laut dem CSI-Report von Balabit [1] haben Sicherheitsfachleute im Schnitt ganze sieben Minuten Zeit, um zu entscheiden, ob Daten ein Beleg für eine APT-Attacke (Advanced Persistent Threat) sind oder ein User »nur« eine Phishing-E-Mail geöffnet hat. Eine Lösung ist der Einsatz einer User-Behavior-Analytics-Lösung (UBA). Sie ist in der Lage, die IT-Sicherheitsprobleme mit dem größten Risikopotenzial präzise zu ermitteln.
Dies erfolgt unter Berücksichtigung der Rechte eines Nutzers, etwa ob er über privilegierte Zugriffsoptionen verfügt. Mittels User Behavior Analytics werden die Unterschiede zwischen den aktuellen Aktivitäten eines IT-Nutzers und dem Verhalten, das er im Normalfall an den Tag legt, untersucht.
Damit ermöglicht eine UBA-Lösung exakt das, was sich Unternehmen bislang von der Implementierung eines SIEM-Systeme versprachen: Eine drastische Verkürzung der Zeit, um mögliche Sicherheitsrisiken zu identifizieren, diese zu untersuchen, Maßnahmen dagegen zu ergreifen, und schließlich zum Normalbetrieb zurückzukehren.
Textquelle: https://www.balabit.com/acht-praxistipps-kosten-und-performance-von-siem-systemen-optimieren
[1] https://pages.balabit.com/csi-survey.html#_ga=1.168080865.1534057408.1479879760
SIEM-Lösungen und Big-Data-Implementierungen zu Sicherheitszwecken – Security Intelligence
10 Fragen zur Selbstüberprüfung der unternehmenseigenen SAP-Sicherheitspolitik
IT-Security-Strategie erzeugt intensivere Kundenbindung, Wettbewerbsvorteile, höhere Produktivität
Cybersicherheit: Vertrauen stärken und staatliche Überwachung einschränken
IT-Sicherheitsinitiativen müssen Privileged Account Security beinhalten