Firmenfachbeitrag
20.09.2021, 07:30 Uhr
Warum das SIEM im SOC eine grosse Rolle spielt
Wenn das SOC die zentrale Leitstelle ist, die sich um alle sicherheitsrelevanten IT/OT-Themen eines Unternehmens kümmert, liefert das SIEM die dafür nötige Datengrundlage. Was leistet es im Detail? Und wie arbeiten beide Komponenten optimal zusammen?
Bei der Abwehr von Cyber-Bedrohungen spielen im SOC Menschen, Prozesse und Technologien zusammen
(Quelle: Axians)
Mehr als deutlich haben die schlagzeilenträchtigen Hackerangriffe auf die beiden IT-Dienstleister SolarWinds und Kaseya wieder gezeigt, wie entscheidend die Cyber Security heute ist. Bei beiden Attacken haben die Angreifer Schwachstellen im hauseigenen IT-Management ausgenutzt, wodurch über Software-Updates Schadsoftware an Endkunden von SolarWinds und Kaseya verteilt wurde – weltweit waren Tausende betroffen.
Um solche und andere Angreifer im eigenen Netzwerk möglichst früh zu erkennen und die Auswirkungen grösstmöglich einzudämmen, vertrauen immer mehr Organisationen auf ein SOC (Security Operations Center), in dem Cyber-Security-Experten, Prozesse und spezielle Tools ineinandergreifen.
Das Ziel: IT- und OT-Systeme (operative Technologien in industriellen Netzwerken) mitsamt ihren Daten schützen und dadurch die Cyber-Resilienz erhöhen. Damit dabei auch die Erkennung unbekannter, mehrstufiger und immer komplexerer Angriffsmuster sichergestellt ist, braucht es Transparenz im Unternehmensnetzwerk. Hier kommt das Tool «SIEM» (Security Information and Event Management) ins Spiel, das Maschinendaten aus einer Vielzahl von Quellen auswertet, um Sicherheitsrisiken zu erkennen.
Was leistet das SIEM?
Das SIEM ist eine Art Cyber-Security-bezogenes Radarsystem, das nach ungewöhnlichem Verhalten, Systemanomalien und anderen Anzeichen für einen Hackerangriff sucht. Dazu sammelt, korreliert und analysiert es Daten verschiedenster Geräte (z. B. Netzkomponenten, Applikationen) in Echtzeit. Die gewonnenen Informationen ermöglichen es, Bedrohungen schnell zu erkennen und gezielt zu reagieren. Zudem erleichtert das SIEM es, gesetzliche Vorgaben, Richtlinien und Compliance-Regularien der Cyber Security einzuhalten.
SIEM und SOC sind füreinander unerlässlich
Während das SOC im Gesamten aus Personen, Prozessen und Technologien besteht, handelt es sich beim SIEM um eine grundlegende Teiltechnologie. Dabei bietet das zentrale Sammeln der Informationen den SOC-Analysten die Möglichkeit, Daten über die jüngsten Cyberangriffe zu identifizieren, zu analysieren und auf Basis vorgegebener Prozesse (z. B. ISO 27001 Annex A.16: Information Security Incident Management) unmittelbar auf Risiken zu reagieren. So unterstützt ein SIEM das SOC dabei, die vier wichtigsten Fragen nach der Erkennung eines Sicherheitsvorfalls zu beantworten: Was ist wie, wann und wo passiert?
Da Hacker ihre Fähigkeiten auch immer weiterentwickeln, müssen es das SOC und SIEM ebenso tun, denn aktuelle, komplexe und mehrstufige Bedrohungen müssen erkannt werden. Daher ergänzen die Spezialisten des SOCs das Wissen des SIEM mit bekannten Taktiken, Techniken und Prozeduren (TTPs), um Täterprofile zu erstellen und zu verstehen, welche Gegner sie angreifen könnten.
Worauf es bei einem Cyberangriff ankommt
Ist ein Unternehmen von einer Attacke betroffen, greift das SOC ein und versucht, die Situation unter Kontrolle zu bringen. Damit der Angriff nicht eskaliert, ist schnelles Handeln gefragt:
- Die SOC-Analysten nutzen die dynamischen Bedrohungsdaten des SIEM, um die Kritikalität auf Basis der wahrscheinlichen Auswirkung auf das Unternehmen festzustellen. Die meisten SOCs verwenden dabei verschiedene Kritikalitäten, wie Low/Medium/High/Critical, die mit unterschiedlichen Reaktionszeiten versehen sind.
- Die forensischen Experten nutzen die Erkenntnisse der SIEM-Technologie, um Beweise für den Hackerangriff zu erfassen. Für eine nachvollziehbare Dokumentation wird dieser rekonstruiert.
- Das Incident Response Team leitet auf Basis der SIEM-Daten die Isolierung der Bedrohung ein und verhindert die weitere Ausbreitung des Angriffs.
Threat Intelligence für ein effektives SIEM
Ein wesentlicher Baustein eines effektiven SIEM ist die Threat Intelligence, die bekannte Kontextinformationen über schädliche IP-Adressen, URLs, Domänen oder Hash-Werte bereitstellt. Ganz einfach, weil mehr Datenquellen eine grössere Basis für das rechtzeitige Aufspüren von Bedrohungen schaffen. Ohne Threat Intelligence fehlt der Kontext: Das SIEM hätte wesentlich weniger Alarme und Berichte, die die SOC-Analysten auswerten können. Die optimale Kombination aus Unternehmensinternen Daten und externen Informationen der Threat Intelligence ist bei der SIEM-Analyse entscheidend. Grundsätzlich gilt: Je mehr neue Indikatoren entdeckt, gesammelt, weitergegeben, analysiert und implementiert werden, desto schwieriger haben es die Angreifer, unentdeckt zu bleiben.
Herausforderungen, die es zu meistern gilt
Arbeiten Menschen, Prozesse und Tools wie das SIEM erfolgreich im SOC zusammen, sinkt das Bedrohungsrisiko deutlich. Allerdings sind gerade SIEM-Projekte in Unternehmen noch zu häufig zum Scheitern verurteilt. Klar: Für effektive Lösungen braucht es die entsprechende Fachkenntnis und Manpower – der Administrator muss das SIEM betreiben, der Engineer weiterentwickeln und SOC-Analysten müssen die Alarme rund um die Uhr auswerten. In Zeiten des Fachkräftemangels und bei begrenzten Budgets sind das keine leichten Aufgaben.
Hinzu kommen die technischen Herausforderungen, die das Sammeln mit sich bringt: Durch sicherheitsrelevante Informationen können pro Tag Gigabyte-grosse Mengen an Daten zusammenkommen, die noch in unzähligen Formaten und zum Teil recht kryptisch vorliegen. Ein SIEM benötigt sehr gute Algorithmen, um die Datenberge zu verarbeiten und verständlich zu visualisieren. Zudem muss es die im Unternehmen eingesetzten Anwendungen und Geräte unterstützen.
Oft stellen sich die Erfolge auch nicht so rasch wie gewünscht ein und das SIEM entfaltet anfangs nicht sein volles Potenzial. Der Grund liegt oft darin, dass die Lösung nicht optimal auf die speziellen Anforderungen, Reife und Ressourcen des eigenen Unternehmens abgestimmt ist – ein SIEM ist zwar ein hocheffektives Tool, aber nun mal kein Produkt von der Stange.
Über VINCI Energies
Netzwerke, Performance, Energieeffizienz, Daten: In einer sich ständig verändernden Welt legt Vinci Energies den Fokus auf die Implementierung neuer Technologien. Zwei Entwicklungen werden besonders unterstützt: digitale Transformation und Energiewende.
Die 1.800 regional verankerten, agilen und innovativen Business Units von Vinci Energies erhöhen jeden Tag die Zuverlässigkeit, Sicherheit und Effizienz von Energie-, Verkehrs- und Kommunikationsinfrastrukturen, Fabriken, Gebäuden und Informationssystemen.
2020: 13,7 Milliarden Euro Umsatz // 83.800 Mitarbeiter // 1.800 Business Units // 55 Länder
Mehr Informationen: www.vinci-energies.com
SIEM als wichtige Komponente für das SOC
Sie sehen: Die besten Mitarbeiter und ausgefeiltesten Prozesse nützen wenig, wenn sich Bedrohungslagen nicht rechtzeitig erkennen und bewerten lassen. So braucht es für ein effektives SOC entsprechende Tools wie das SIEM, das alle Informationen sammelt, diese mit Threat Intelligence Feeds abgleicht und in Echtzeit potenzielle Angriffe untersucht.
Und obwohl das SIEM eine der wichtigsten Komponente im SOC darstellt, bilden Prozesse immer noch das Rückgrat und die Cyber-Security-Analysten das Gehirn. Trotz aller technischen Fortschritte im Bereich der künstlichen Intelligenz sind vor allem Letztere bis auf Weiteres unersetzlich. Wer nicht über genügend qualifiziertes Personal oder Ressourcen für ein SOC oder SIEM verfügt, kann dann immer noch auf einen externen Dienstleister zurückgreifen, der diese Aufgaben als «Managed» oder «as a Service» übernimmt. Wichtig ist nur, jemanden zu finden, der die nötige Erfahrung, Kompetenz und Reputation dafür mitbringt.
Zum Autor
Martin Lutz ist Head of Security Operations Center der Axians Schweiz. Bereits seit 2013 begleitet er Kunden auf dem Weg zur Stärkung der Widerstandskraft der IT gegenüber Cyberangriffen. Mit der Kombination aus Führungs- und Fachkompetenz leitete er in seiner Vergangenheit verschiedene Cyber-Security-Spezialisten in Europa und Asien. Als bekannter Gastdozent und Business Angel für Cyber Security Start-up-Unternehmen fördert er neue Nachwuchskräfte und innovative Technologien.
Über Axians in der Schweiz: Die Axians-Unternehmensgruppe in der Schweiz ist Teil des globalen Markennetzwerks für ICT-Lösungen von VINCI Energies. Mit einem ganzheitlichen ICT-Portfolio unterstützt Axians Kunden bei der Modernisierung ihrer digitalen Infrastrukturen und Lösungen. In den Geschäftsbereichen in der Schweiz sorgen unsere Experten dafür, das Leben von Menschen zu verbessern – z.B. durch Cloud- und Data-Center-Infrastrukturen, Cybersicherheit, IoT-Plattformen und führende Software die öffentliche Verwaltung.
Dieser Beitrag wurde von der Axians Schweiz AG zur Verfügung gestellt und stellt die Sicht des Unternehmens dar. Computerworld übernimmt für dessen Inhalt keine Verantwortung.