Durch die Digitalisierung werden immer mehr und wertvollere Informationen gespeichert und gleichzeitig verwischt sich die technische Unternehmensgrenze mit der Cloud. Dadurch entstehen wesentlich mehr Angriffsflächen gegen Unternehmen, bei denen protektive Sicherheitsmassnahmen nicht mehr genügen. Angesichts der sich ständig verändernden Bedrohungslage und der Komplexität stellen sich viele Unternehmen neu auf und formieren Cyber Defense und Security Operations Center Teams. Menschliche Intelligenz ist gefragt, wenn es darum geht die Aktionsfähigkeit zu behalten und im Ernstfall Schaden zu abzuwenden. Nur wenn man sich über die aktuelle Bedrohungslage auf dem Laufenden hält, wenn man Angriffe zuverlässig identifiziert und die eigene Angreifbarkeit kennt, kann Schaden abgewehrt werden. Um prompt und adäquat agieren zu können, sind Security Teams jedoch auf zuverlässige Systeme angewiesen.
Sicherheit auf einen gemeinsamen Nenner bringen
Das IT-Sicherheitsdispositiv eines jeden Unternehmens besteht typischerweise aus einer Vielzahl an Insellösungen. Schliesslich gilt es, die IT-Infrastruktur, das Netzwerk und die Zugänge auf Business Lösungen, Portale und Services, ob intern, gehosted oder aus der Cloud, wirksam vor unbefugten Zugriffen abzusichern. Firewalls, E-Mail Gateways, Mobile Device Management Systeme, Web Application Firewalls, Identity and Access Management, Anti-Spam Lösungen, Unified Threat Management, Benutzerverzeichnisse, Betriebssysteme und Server… Die Liste an Produkten und Lösungen für IT-Sicherheit ist lang. Jede einzelne dieser Komponenten trägt einen Teil zur Party bei, haben jedoch primär einen präventiven Charakter und sind dazu da, Angriffe zu verhindern.
Das Ganze ist mehr als die Summe seiner Teile
IT-Sicherheit wird nicht bzw. nicht nur durch den Einsatz präventiver Tools erreicht. Jede funktionierende Cyber Defense Organisation ist angesichts der aktuellen Bedrohungslage auf eine ausgewogene Kombination der IT-Sicherheitslandschaft, bestehend aus Systemen für Prävention, Identifikation und Reaktion, angewiesen. Die rasche Identifizierung von Incidents und die adäquate Reaktion darauf ist im Wesentlichen eine Frage von funktionierenden Prozessen, die Hand in Hand mit passenden Tools gehen müssen. Dazu gehört beispielsweise ein zentrales Security Information and Event Management System (SIEM), das für den Umgang mit den Gefährdungen ein zentrales Werkzeug ist und die Risikobehandlung massiv erleichtert. In SIEM laufen alle Fäden zusammen, die für eine fundierte Betrachtung der Sicherheitsrisiken von Bedeutung sind: Es handelt sich bei SIEM-Tools also um ein Meta-Tool, das die interne Sicht aus dem Vulnerability Management und dem Logging und Monitoring mit der externen Sicht auf die Gefahren (Threat Intelligence) vereint und effizient nutzbar macht.
Interoperabilität als Schlüsselfaktor
SIEM kann IT-Sicherheit auf einen neuen Level bringen und ist für Unternehmen, die bereits alle klassischen Präventionstools einsetzen ein weiterer entscheidender Schritt zur Verbesserung der Informationssicherheit. Nur wenn eine hohe Interoperabilität über die die gesamte Sicherheitsinfrastruktur erlangt wird, können SIEM-Projekte innert nützlicher Frist Erfolg haben. Wenn es um SIEM Tools geht, ist Interoperabilität mehr als eine leere Worthülse. Sie ist der Schlüssel, der es ermöglicht, sämtliche Informationen, die Sicherheitsprodukte bereitstellen (z.B. Logs, Events, Audits) sinnvoll zu nutzen bzw. den Nutzen jeder einzelnen Sicherheitskomponente noch ein bisschen zu erhöhen.
Die Rolle von Logs und Sensordaten
SIEM-Tools brauchen «Futter» damit sie richtig gut werden. Je vielseitiger und hochwertiger das Futter, desto besser wird die Performance von SIEM-Tools. Hier reiben sich die gewieften SIEM-Tool-Hersteller die Hände, deren Lizenzmodelle auf der Menge der verarbeiteten Daten pro Zeiteinheit basieren. Wenn Unternehmen in SIEM-Euphorie möglichst viele Daten für ihr Security Information Event Management verfügbar machen, klingeln die Kassen. Aber Daten sind nur eine Seite der Medaille. Die Logik die andere: Wichtiger als eine möglichst hohe Datenmenge ist die Selektion der wirklich relevanten Daten und deren logische Weiterverarbeitung zu verwertbarer Information.
Firewall Log-Daten gehören zu den nützlichsten und meist gesammelten Informationen um Angriffe auf das Unternehmensnetzwerk zu erkennen. Firewalls besitzen einen direkten Zugriff auf Netzwerkknotenpunkte und untersuchen einen Grossteil des Datenverkehrs eines Unternehmens. Dieser Zugriff erlaubt, in die Aktivitäten der Unternehmen zu sehen und so Rückschlüsse auf böswillige Aktivitäten zu detektieren.
Auch Daten aus LDAP und weiteren Benutzerverzeichnissen oder auch Daten aus Web Application Firewalls sind höchst nützlich wenn es darum geht, die Quelle eines Missbrauchs zu entdecken, einzugrenzen und gezielte Massnahmen dagegen zu treffen.
Eine Hauptquelle zur Detektion von Anomalien in einem Unternehmensnetzwerk sind Daten von Netflow. Netflow protokolliert alle Adressdaten des IP-Datenstroms und beinhaltet die Metadaten sämtlicher Kommunikation in einem (verteilten) Netzwerk, d.h. es geht daraus hervor, wer mit wem wann über welchen Weg in einem Netz kommuniziert hat.
Interoperabilität ist wichtig
Die Schlagkraft eines Security Defense Centers darf nicht durch inexistente Standards untergraben werden. Ein ganz wesentliches Kriterium bei der Beschaffung von IT-Sicherheitslösungen ist deshalb die Kompatibilität im Bereich des Datenaustauschs. Die Lösungen sollten auf eine möglichst simple Weise ihre aufgezeichneten Daten an weitere Tools in der IT-Sicherheitslandschaft übermitteln können. Dafür braucht es geeignete Schnittstellen und Datenformate, mit denen man die geloggten Daten mit wenigen Klicks automatisch z.B. in SIEM importieren kann, um diese dort zu einem Gesamtbild zusammenzufügen.
Kluge Tool-Wahl wird belohnt (Beispiel WAF und SIEM)
Ohne Web Application Firewall (WAF) geht heute nichts mehr: Sie steht zentral vor allen über das Internet erreichbaren Anwendungen, Portalen und Services und schützt diese vor unbefugten Zugriffen. Dank der vorgelagerten Rolle einer WAF in der Applikationslandschaft vieler Unternehmen ist es wichtig, dass die dort gesammelten Daten einfach und unkompliziert an ein Security Information and Event Management System übermittelt werden können.
Der USP Secure Entry Server®, Web Application Firewall von United Security Providers, unterstützt dank einem zentralen intelligenten Datenlayer mit modernster Big Data-Technology die Integration mit gängigen externen IT-Sicherheitssystemen out-of-the-box. Am Beispiel von HP ArcSight lässt sich dies anschaulich illustrieren: Die relevanten Daten stehen in einem standardisierten USP Key-Value-Format (Schlüssel-Wert-Paare) zur Verfügung. Bei Bedarf lassen sie sich einfach in das das von HP ArcSight unterstützte Common Event Format (CEF) übersetzen, was eine enge Integration mit dieser SIEM-Lösung erlaubt. Für das Monitoring und Analyse-Tool steht das von terreActive entwickelte Splunk App für den USP Secure Entry Server® zur Verfügung. Auch mit Tools wie Kibana und Monitoringwerkzeugen wie Icinga und Nagios kommuniziert der USP Secure Entry Server® einfach, was den Security Operation Centers ermöglicht, mit wenig Ressourcenaufwand die nahtlose Überwachung der Infrastruktur sicherzustellen.
Fazit: Wer agil bleibt, gewinnt
Die Bedrohungslage wird sich weiter verschärfen und noch dynamischer verändern. Schnell auf neue unerwartete Herausforderungen reagieren zu können wird in Zukunft also noch bedeutsamer. Flexibilität und Interoperabilität sind wichtiges Rüstzeug wenn es darum geht, ein Mindestmass an Sicherheit zu gewährleisten. Security Vendors müssen den Bedürfnissen der Cyber Defence Teams Rechnung tragen und können mit einer hohen Komptabilität ihrer Produkte und mit der Einsicht, dass sie im Sicherheitsdispositiv immer nur als Teil eines Ganzen funktionieren, punkten.
Michael Liebi ist Gründer und nun als Board Member bei United Security Providers tätig.