Security Event Management: Sinn und Zielsetzung
Ob die IT-Infrastrukturen in Unternehmen sicher sind, ist nicht mehr nur eine Frage der einzelnen Lösungen, die zum Einsatz kommen – diese gibt es zahlreich, mit unterschiedlichen Funktionen, Standards und Aufgabenbereichen. Der entscheidende Punkt ist heute, über das aktuelle Geschehen im Unternehmens-Netz den Überblick zu behalten und Zusammenhänge zu erkennen.
Schließlich heißt IT-Sicherheit nicht nur, Hackerangriffe von unterschiedlichen Fronten abzuwehren. Der regelkonforme Umgang mit Daten und Ressourcen, wie sie unterschiedliche gesetzliche, industrielle sowie auch unternehmensinterne Regularien und Richtlinen zwingend vorschreiben, ist ein nicht minder relevanter Aufgabenbereich.
Sicherheit vernetzt verstehen
Folglich ist IT-Security nicht auf definierte Netz-Zugangsbereiche beschränkt, sondern muss innerhalb des IT-Netzes selbst scheinbar belanglose Alltagsvorgänge im Kontext erfassen und mit gesetzten Policies vergleichen, um zu entscheiden, was sicherheitsrelevant ist und was nicht.
Damit ist klar, dass sowohl aufgrund der schieren Masse an möglichen Sicherheitsproblemen als auch die fachliche Kompetenz zur Beurteilung der möglichen Sicherheitsaspekte von Vorgängen im Netz eine manuelle Handhabung ausschließen.
Selbst wenn einzelne IT-Security-Lösungen Alarmmeldungen absetzen, stellt sich die Frage nach dem Kontext: Welche der zahllosen Alarmmeldungen steht mit welchen anderen Vorgängen in Zusammenhang und muss deshalb mit welcher Priorität behandelt werden? Gibt es zudem Verletzungen von Compliance-Richtlinien, selbst wenn ein Vorgang rein technisch kein Sicherheitsproblem darstellt?
Wenn überhaupt ist dies selbst von ausgewiesenen IT-Security-Profis in Echtzeit nicht zu entscheiden.
Intelligentes Management statt Massen-Alarm
Die logische Konsequenz ist eine Security-Event-Management-Lösung (SEM), die zwei Voraussetzungen erfüllt: alle Aktivitäten im Unternehmensnetz müssen erfasst werden, da grundsätzlich alle in irgendeiner Weise relevant sein könnten. Anschließend müssen die Aktivitäten im Netz so intelligent und automatisiert analysiert werden, dass nach einem abgestuften Aktionsmodell möglichst nur die wirklichen kritischen Fälle als akut gemeldet werden, alles andere fließt in einen kontrollierten und dokumentierten Workflow.
Aufgrund der erstgenannten Voraussetzung investieren laut einer aktuellen Studie zum Enterprise Security and Information Management (ESIM) des Analystenhauses The 451 Group die meisten der befragten Unternehmen in Log-Management-Systeme, um anhand dieser Daten ungewöhnliche Aktivitäten oder definierte Risiken in ihren Netzwerken zu identifizieren.
Log Management ist Basis aller Sicherheitssysteme
An diesem Punkt setzt auch der Log-Management-Spezialist LogLogic an. "Unabhängig davon, welche spezifischen IT-Security-Anforderungen ein Unternehmen hat - die Grundlage ist zwingend eine 100 prozentige Erfassung der Logs aller IT-Systeme, ganz gleich wie heterogen die Landschaft ist", erklärt Dominique Levin, VP Marketing and Strategy bei LogLogic. "Denn nur wenn 100 Prozent der Logs im Unternehmensnetz erfasst werden, können Analyse-Tools im zweiten Schritt auch verlässliche und wertvolle Ergebnisse liefern. Wertvoll heißt insbesondere, dass die anhand von Analysen und Korrelationen anschließenden Sicherheitsmaßnahmen priorisiert werden und weitgehend automatisiert ablaufen - ansonsten ist die Masse an Alerts nicht handhabbar. Dies gilt sowohl für Compliance Management als auch für alle anderen Sicherheitsbereiche wie Identity und Access Management oder Database Security Management und Monitoring."
Diese Forderung nach intelligenter Korrelation, die Security Events verlässlich nach Risikograden einstuft und damit in erträglicher Menge anzeigt, ist auch laut der ESIM-Studie von The 451 Group kritisch. Gelöst werden kann dies, indem Informationen vom Log Management zur Korrelationen entweder intelligenter verlaufen oder über eine grobe Vor-Analyse der Logs gefiltert werden kann, was tatsächlich für die Echtzeit-Korrelation relevant ist.
System-Interaktion schafft Überblick
"Wichtig für den Überblick und eine durchgängige Sicherheit gemäß unterschiedlicher fachlicher Anforderungen ist zudem die intelligente Interaktion der Sicherheitssysteme in Unternehmen", sagt Uwe Hofmann, Technical Engineer bei LogLogic. "Deshalb ist die Nutzung des neuen Incident API mit Hilfe des standardisierten Incident Object Description Exchange Format (IODEF) in unserem Security Event Manager v3.3 so entscheidend. Dieser Standard für die Beschreibung von Sicherheitsvorfällen verbessert die Kommunikation mit Drittanwendungen wie etwa Trouble Ticket Systemen. So können mit dem IODEF alle Vorfälle in einem einheitlichen Format und in allen Systemen bearbeiten, angefangen vom Security-Event-Management- bis hin zum Helpdesk-System."
Standard-Korrelationen vereinfachen Abstimmung
Stellt sich noch die Frage, wie aufwendig es ist, das Security Event Management auf die individuellen Anforderungen eines Unternehmens abzustimmen. "LogLogic bietet mit dem Security Event Manager vorkonfigurierte Korrelations-Regel für die Identifikation von gängigen Angriffen an – das vereinfacht die Nutzung der Lösung erheblich", erklärt Uwe Hofmann. "Zusätzlich helfen integrierte Filter, die wichtigsten Standard-Compliance-Richtlinien einzuhalten wie PCI DSS, SOX und HIPAA. Die danach noch möglichen, nicht abgedeckten spezifischen Anforderungen sind überschaubar und lassen sich individuell einrichten."
Insgesamt ist Security Event Management (SEM) nicht als zusätzliche, sondern mehr als integrierende Lösung zu verstehen. Ziel eines SEM sollte es sein, Mehrwert aus dem grundlegenden Log Management und den im Unternehmen existierenden Sicherheitslösungen zu schaffen: Durch ein Alarm-System, das in der Praxis auch zu bewältigen ist, durch einen verbesserten Überblick über die Sicherheitssituation insgesamt und damit durch eine verlässliche Abwehr von Risiken.
Kommentare
Bitte beachten Sie unsere Informationen zum Datenschutz.
blog comments powered by DisqusWeitere Artikel zum Thema
alle Artikel zum Thema
© 2012 FEiG & PARTNER