Was ist dafür notwendig?

Mit dem Faktor Zeit steht und fällt die Möglichkeit, das Ausmaß des Schadens so gering wie möglich zu halten!
Alle Mitwirkenden müssen für das Ziel “SIEM360” sensibilisiert werden. Das ist eine Team-Aufgabe. Denn jede Änderung im IT-Betrieb und der IT-Infrastruktur hat Auswirkungen auf das zentrale SIEM360-Management. Die gute Nachricht ist, dass von jeder Ausgangssituation gestartet werden kann. “Der Weg ist das Ziel” und der Reifegrad entwickelt sich schrittweise. Die Größe der Schritte und die Geschwindigkeit bestimmt jeder für sich.

TOM

Im Mittelpunkt steht TOM (technische und organisatorische Maßnahmen). Und damit einhergehend die zentralen Fragen, wie und warum tun wir, was wir tun? Was sind aussagekräftige Kennzahlen für den Business Prozess und die Kernanwendung?
SIEM360 wird zum Mittelpunkt für IT-Service und Change-Management! Dort fließt alles zusammen und unterstützt dabei, schneller eine Abweichung zum “normalen” zu erkennen.
Der Fokus auf Transparenz scheint in vielen IT Sicherheitskonzepten (-Security-Strategien) noch zu fehlen. Es geht wertvolle Zeit verloren, zu erkennen, ob gerade eine “Security Policy” aus dem ISMS verletzt wurde.

Cyber Bedrohungslage

Die drei größten Herausforderungen der aktuellen “Cyber-Bedrohungslage” sind Vorfälle der Kategorie

• “Undisclosed” (nicht veröffentlicht!)
• “Misconfiguration”(Komplexität der IT, Ausbildung, Hands-On) und
• “Malware” (Schwachstellen, Patch-Management).

Informations-Silos

Mit einzelnen Tools (Informations-Silos) sind 100 Mio. Logs pro Tag nur schwer zu überwachen. Logmanagement alleine reicht nicht aus; vor allem ohne Bezug zu Kontext.
Es ist erforderlich, sich intensiv mit allen Geschäftsprozessen und dem internen Risiko-Management zu beschäftigen.
Daraus resultieren Rahmenbedingungen und Schwellwerte für “sicherheitsrelevante Alarme” und das optimiert das Sicherheitsniveau.

Cyber Kill Chain

Die verschiedenen Phasen der “Cyber Kill Chain” erfordern einen Rundum-Blick.
Die Fragestellungen der IT-Sicherheit sind komplex, die IT ist komplizierter geworden. Die Ressourcen (Expertisen) und Budget sind begrenzt; Kosten und Nutzen müssen optimal balanciert werden.

Phasen

Wir sind gefordert, die “neuronalen Schmerzpunkte” zu identifizieren und zu priorisieren. Dadurch können die vorhandenen Ressourcen gezielt und strategisch eingesetzt werden. Diese Punkte zu kennen ist sehr wertvoll und hilft die Normalität in den Abläufen besser zu verstehen.

Inzwischen gibt es auch hilfreiche Erkenntnisse aus der Forensik (MITRE ATT@CK), die zur Früherkennung genutzt werden können. Wir benötigen die Informationen der sich dynamisch verändernden IT-Infrastruktur zeitnah. Denn alles hängt mit allem zusammen.

Schadensereignisse erkennen

Um verdächtige Schadensereignisse schneller zu identifizieren braucht es Kontext - dazu gehören

• Loginformationen
• Assets (Kronjuwelen)
• tief gehende Netzwerkaktivitäten
• User Analytics
• Schwachstellen-Management
• Netzwerkstruktur
• Beschreibungen zu eingesetzten IT-Systemen (Definitionen) und
• individuellen Betriebs-Kontext

Komplexe IT-Sicherheitsbedrohungen

Dadurch lassen sich schnell komplexe IT-Sicherheitsbedrohungen im Netzwerk mit Echtzeitanalysen erkennen. Gerade für kleinere Teams, reduziert das manuelle Aufgaben.
Bewegungsmuster über Silos hinweg werden zusammengefasst und priorisiert. Vordefinierte IT-Sicherheits-Regeln und Algorithmen setzen die Daten in Korrelation zueinander.


Sicherheitsbedrohungen werden mit zusätzlichen Asset- und Schwachstellen-Informationen angereichert.
Unternehmensinterne und externe Richtlinien lassen sich damit ebenfalls einhalten.

Security-Analysten

Security-Analysten können sich auf Untersuchungen der Sicherheits-vorfälle und Abhilfemaßnahmen konzentrieren.
Zusätzlich liefern die Sicherheits-analysen Erkenntnisse im ganzen Unternehmen und helfen den Teams schneller zu reagieren und Auswirkungen von Sicherheitsvorfällen zu minimieren.

Skalierbarkeit

SIEM360 lässt sich flexibel und skalierbar an die ständigen Veränderungen und Bedarfe anpassen (Hardware-/Softwarelösung, API, Schnittstellen, Federation, Updates, Stand der Technik). Wenn abschließend dazu das SIEM-Team sich noch kontinuierlich durch Ausbildung und Hands-On weiterentwickelt, schließt sich der SIEM360-Kreis.