Ehrlich oder höflich?

Nun ist SIEM (Security Information und Event Management) ein sehr komplexes und umfangreiches IT-Security-Thema rund um individuelle technische und organisatorische Maßnahmen! Die Frage klingt auf den ersten Blick relativ einfach. Die Beantwortung dieser Frage wird wohl eher ähnlich komplex - mit Sicherheit.

Motivations-Gap und Zielklarheit

Für mein Empfinden wird inzwischen der Begriff “Use-Case” inflationär verwendet. Denn vorher gilt es, das Know-How-Gap und das Migrations-Gap (bisherige - künftige Vorgehensweise) zu überwinden.

Ganz abgesehen vom Motivations-Gap (wozu brauchen wir das? warum nicht wie bisher? können wir nicht einfach ein Tool dafür kaufen? das ist aber aufwendig!), das uns die Arbeit erschwert. Ganz nach dem Motto: "Wer den Hafen nicht kennt, in den er segeln will, für den ist kein Wind der richtige." Zitat von dem römischen Philosoph Lucius Anbaues Seneca.

SIEM Strategie - Geschäftsprozesse & Risikoeinschätzung

Zielführender aus meiner Erfahrung ist, den Begriff “Szenario” zu verwenden und den Bezug zum Geschäftsprozess herzustellen. Das hilft in den Gesprächen und unterstützt dabei, Ziel-Klarheit zu schaffen und die kritischen Punkte zu identifizieren.

Durch diese Klarheit können Zeit, die vorhandenen Ressourcen, Möglichkeiten & Budget optimal balanciert werden, um das gewünschte Ergebnis für das jeweilige Szenario auch zu erreichen!

Nur wenn die komplette Prozess-Kette (von oben nach unten) betrachtet wird, werden die spezifischen “Schwellwerte”, “Gewichtungen” und “Schwachstellen” erkennbar, die notwendig sind, um mögliche IT-Sicherheitsvorfälle schneller zu erkennen.

Trend & Praxis

Es scheint noch immer im Trend zu sein, mögliche Cyber-Angriffs-Szenarien “einfach” anhand von Techniken und Taktiken zu untersuchen, um einen möglichen IT-Sicherheitsvorfall zu erkennen. Allerdings werden dadurch lediglich viele Alarme ohne Relevanz erzeugt. Warum? Weil der wesentliche Bezug auf kritische Assets im und zum Geschäftsprozess fehlt!

• Die Meldungen dieses normalen “Betriebs-Grundrauschen” lenken von den wichtigen Alarmen zu möglichen IT-Sicherheitsvorfällen ab.
• Frustrieren so nur die SOC-Teammitglieder!
• Kosten den Analysten Zeit, die an anderer Stelle fehlt.  

Als ergänzendes Merkmal unterstützen TTPs aus dem MITRE ATT&CK Framework sehr wohl und runden die Erkennungsstrategie ab!

Cyber Bedrohungslage - PDCA

Die aktuelle Cyber-Bedrohungslage zeigt ganz offensichtlich, dass es mit dieser eingeschränkten Vorgehensweise nicht schnell genug funktioniert, in den vielen “Daten/Technik-Silos” die berühmte “Nadel im Heuhaufen” zu finden!

Wir sind alle gefordert, die bisherige Erkennungs-Strategie schnellstmöglich anzupassen und immer wieder auf den Prüfstand zu bringen, um zu überprüfen, ob wir durch die Strategie-Anpassungen auch besser werden. Denn auch die eingesetzte IT-Landschaft ändert sich inzwischen fast täglich und wird immer komplizierter!

Über den Geschäftsprozess, als Teil dieser Strategie, wird schneller sichtbar

• welche (kritischen) Assets in der IT-Prozess-Kette (Hardware, OS, DBs, Applikationen, Netzwerk, Anwender) genutzt werden und
• helfen eine passende Gewichtung - aus Sicht der Risikobewertung - zu definieren.
• Das hilft, die richtigen Prioritäten zu setzen, mit welchen vorhandenen Optionen/Ressourcen auf einen möglichen IT-Sicherheitsvorfall, der die Geschäftsfähigkeit gefährden könnte, reagiert werden kann.

Vor allem ist SIEM mehr als nur Log-Management! Es ist zwingend erforderlich geworden, eine 360 Grad Sichtbarkeit innerhalb der eingesetzten IT-Infrastruktur herzustellen! Und ja - das ist Arbeit und auch anstrengend! Es gibt dafür leider keinen “einfachen” Weg, auch wenn es oft in vielen Trends und Versprechen so den Anschein erwecken könnte.

Business Case - Pareto-Prinzip

Um heute Angriffsvektoren beispielsweise zu den Themen “Malware” oder “Threat-Hunting” rechtzeitig zu erkennen, bedarf es (auch) der Überwachung von Netzwerkaktivitäten mit einem erweiterten “Inspection”-Level. Dazu wird eine zeitgemäße Plattform/Lösung benötigt, die skalierbar ist, die zentral alle relevanten Big-Data-Informationen verarbeitet, kategorisiert & in Zusammenhang stellt und sich proaktiv an den aktuellen Stand der Bedrohungslage anpassen lässt!

Es gilt also, den Business-Case (TOP 5 Geschäftsprozesse, Compliance Anforderung, eigener Anspruch, etc.) klar im Unternehmen zu identifizieren und allen MA’s zu kommunizieren. Auch das Ziel für das SOC muss klar definiert sein.

Dann kann mit Hilfe einer ausgereiften SIEM360-Plattform mit 20% Aufwand eine 80%ige Zielerreichung hergestellt werden. Und die Analysten können sich auf ihre eigentliche Arbeit und auf ein Werkzeug fokussieren.

SOC

Wie könnte eine mögliche Zieldefinition für ein internes SOC aussehen?

Aus meiner Erfahrung zählen dazu die folgenden Punkte:

• Vermeidung und Reduktion von Schäden durch IT-Security Incidents, die die Geschäftsfähigkeit beeinträchtigen können.
• Zusätzlich kann der Prozess der Security-Incident Analyse, sowie Behebung der Incidents  unterstützt werden.
• Proaktiv neue mögliche Angriffsvektoren untersuchen, auf Basis des aktuellen Stands der Bedrohungslage.
• Gewonnene Erkenntnisse des SOCs können so wieder in die IT-Security-Strategie und schließlich in den IT-Betrieb einfliessen (PDCA!).

Eine wohlklingende Strategie auf dem Papier ist nutzlos und somit auch die falsche Strategie, wenn

• die Zielklarheit fehlt und somit eine Balance zwischen Ressourcen und Geld erschweren!
• der Wille das Ziel zu erreichen und damit das notwendige Durchhaltevermögen beeinträchtigt
• MA nicht wissen, wofür sie relevante Informationen mit dem SOC teilen sollen
• und final dadurch wertvolle Zeit verloren geht und vereinbarte Ziele nicht eingehalten werden können

Rahmenbedingung - Theorie & Praxis!

Nur unter Berücksichtigung dieser Rahmenbedingungen kann eine auf die individuellen Bedarfe passende Strategie entwickelt werden. Niemand verlangt von Anfang an 100% Zielerreichung.

Unbedingt notwendig sind allerdings Zielklarheit, Teamgeist und die Verpflichtung, das Ziel erreichen zu wollen. SIEM ist eine Team-Aufgabe und alle sitzen im selben Boot. Theorie und Praxis müssen in Einklang gebracht werden. Das erhöht die Chance, die Erwartung erfüllen zu können!

Das war’s in relativer Kürze :)

Mein persönliches Fazit: es lohnt sich jeden Tag erneut anzutreten und an diesen spannenden Themen mitzuwirken. Jeden Tag um neue Positionen ringen, um wieder ein Stückchen zu optimieren.

Für Fragen und Anregungen zum vorliegenden Beitrag stehe ich gerne zur Verfügung. Falls dieser Beitrag neugierig auf mehr zum Thema “SIEM360” macht, gerne auch auf Twitter unter @p4bgmbh folgen oder unseren P4B-Blog unter blog.pro4bizz.de abonnieren.