Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Die Sicherheit im Blick

Die Sicherheit im Blick

10. September 2007, 16:28 Uhr |

Security-Management – Sicherheit heißt insbesondere auch Sichtbarkeit. Hier gibt es bei vielen Unternehmen starken Nachholbedarf.

Praktisch in allen Unternsehmen sind Anti-Viren-Programme, Anti-Spyware, Intrusion-Detection-Systeme und Firewalls im Einsatz. Aber die Ereignisse in den jeweiligen »Informationssilos« sind nicht miteinander gekoppelt. Dies führt zu ineffizienten Security-Incident-Response-Prozessen – oft wird an mehreren Stellen gleichzeitig an einem Problem gearbeitet und die Tragweite eines Vorfalls wird gar nicht deutlich, weil die Gesamtsicht auf die Security-Infrastruktur fehlt. Es gibt auch Berichte von Unternehmen, die durch die Analyse eines Angriffs im Nachgang feststellten, dass sie alle Informationen schon hatten, um den Angriff hätten abwehren und damit den Schaden hätten vermeiden können. Weitere Treiber in diesem Bereich sind die Anforderungen an das Reporting für Compliance-Fragen. Oft sind Unternehmen heute nicht aussagefähig und müssen entsprechend handeln.

Security-Information und Event-Management
Die Technologie »Security Information and Event Management«, kurz »SIEM«, ist ein Hilfsmittel, um diese Problematik zu adressieren und um das Security-Management vom reaktiven in den proaktiven Modus zu bringen. Dies wird durch das zentrale Sammeln aller sicherheitsrelevanten Ereignisse und Daten sowie die Korrelation dieser Daten erreicht. Diesem letzten Schritt, dem effektiven Korrelieren, kommt mit die größte Bedeutung zu. Denn selbst wenn die zuvor angesprochenen Informationssilos beseitigt werden und allen Daten in einer zentralen Datenbank erfasst werden, bleibt das Problem der Informationsflut.

Es werden zu viele Daten produziert, die heute unbearbeitet und unbewertet abgelegt werden. Kaum ein IT-Verantwortlicher schaut sich beispielsweise regelmäßig die Firewall-Logs an. Siem-Systeme automatisieren auch diesen Schritt – durch eine vorgegebene Reihe von Bewertungsalgorithmen in der sogenannten »Custom Rule Engine«, kurz CRE. Diese kann der IT-Verantwortliche modifizieren und erweitern, um spezifischen Anforderungen genüge zu tun. Oft werden in aktuellen Siem-Systemen auch Netzwerkanomalie-Erkennungsmechanismen integriert, um durch die Verwendung von noch mehr Datenquellen wesentlich aussagekräftiger gegenüber einem potentiellen Angriff zu werden.

Verschiedene Event-Quellen zusammenfassen
Jeder eingehende Event wird zunächst normalisiert, damit auch die Ereignisse unterschiedlichster Quellen untereinander verknüpft werden können. Danach erfolgt die Bewertung auf verschiedene Kriterien hin.

  • Severity: Wie wird das Ereignis vom meldenden System bewertet und in welcher Kategorie (Exploit, Probe) liegt das Ereignis? Wie viele Zielsysteme sind betroffen und sind diese Systeme gegen den Angriff immun? Diese Information wird durch die Integration von Vulnerability-Assessment-Scannern (VA) ermittelt.
  • Relevance: Die Relevanz des Zielsystems für das Unternehmen ist ein wichtiger Faktor zum Bewerten eines Angriffs. Wenn es sich um zentrale Ressourcen oder die Systeme handelt, die das intellektuelle Eigentum eines Unternehmens speichern, dann ist die Ereignis-Kette höher zu bewerten.
  • Credibility: Von welchen Systemen werden die Ereignisse gemeldet. Wie vertrauenswürdig sind diese einzustufen? Ein optimal konfiguriertes Intrusion-Detection-System ist höher zu bewerten als ein einfacher Router-ACL-Hit (Access-Control-List).

Durch die Bewertung und nachfolgende Korrelation wird dem Administrator eine ganze Reihe von Arbeitsschritten abgenommen, die manuell in der Masse gar nicht mehr zu leisten wären. Erfahrungen aus Projekten zeigen, dass die typische Datenreduktionsrate (Korrelation von Einzelereignissen in Angriffe, Offenses) bei 10000 : 1 bis 100000 : 1 liegt. Präsentiert werden die Ergebnisse konzentriert in einem sogenannten Dashboard, von wo aus eine Nachverfolgung der Angriffe erfolgen kann. Ein detailliertes Reporting ist ebenfalls Teil heutiger Siem-Produkte.

Den Security-Status im Blick
Siem-Projekte zeichnen sich durch einen schnellen ROI aus. Erste Ergebnisse werden schon nach Tagen der Erstinbetriebnahme einer Siem-Lösung der neuen Generation sichtbar. Die Aussagekraft und Reportingfähigkeiten sind praktisch sofort vorhanden. Jedoch sind zuvor detaillierte Planungen notwendig: Siem bringt viele verschiedene Technologien und Arbeitsgruppen zusammen, von IT-Abteilungen zu Mitgliedern der Geschäftsleitung inklusive Risk-Management-Arbeitsgruppen, Compliance-Managern und der Personalabteilung.

Gründe zum Scheitern von Siem-Projekten sind meist in den Bereichen zu finden, die auch andere Projekte scheitern lassen:

  • Das Projektmanagement-Team ist nicht identifiziert.
  • Die Rollenzuordnung für die Projektverantwortlichen ist nicht definiert.
  • Es gibt keine klare und realistische Zeitplanung.
  • Die Anforderungsdefinition sind nicht klar.
  • Das Problemmanagement funktioniert nicht.
  • Die »Non-IT«-Abteilungen sind nicht angemessen eingebunden.

Um dem Scheitern vorzubeugen, sollten eine Reihe von Schritten in der Planung berücksichtigt werden.

  • Analyse: Das Zusammentragen der Anforderungen der wichtigsten Abteilungen sowie die Überprüfung der existierenden IT im Hinblick auf Schwachstellen.
  • Vereinfachung: Je einfacher das Netzwerk aufgebaut ist, desto schneller und effektiver ist das Siem-System einsatzfähig und liefert optimale Ergebnisse. Eventuell führt dieser Schritt auch zu Änderungen in der IT-Security-Systemlandschaft.
  • Tuning: Dieser Schritt bezieht sich primär auf vorhandene Intrusion-Detection-Systeme. Hier wird oft eine hohe Zahl von Ereignissen produziert, die nicht alle unbedingt an das Siem-System weitergeleitet werden müssen. Zu frühes und zu starkes Filtern ist aber nicht empfehlenswert, da hierdurch eventuell »Beweismaterial« für Angriffe zu früh verworfen wird.
  • Deployment: Dieses sollte in Schritten erfolgen. Nach und nach sollten mehr Systeme angebunden und die Einbindung abgestimmt werden. Am besten ist es, mit den wichtigen Systemen zu starten und sich zunächst auf diese zu beschränken. Wenn das System optimal läuft, dann können weitere Systeme folgen.

Durch ein Siem-Projekt sollten die rar gesäten Security-Spezialisten im Unternehmen von den täglichen Ereignisanalysen entlastet werden. Compliance-Reporting und die Möglichkeit, echten Angriffen nachzugehen, stehen dafür auf der Habenseite.

Anomalien erkennen
Eine weitere Datenquelle (neben den ganzen Log-Dateien, die im Unternehmen vorhanden sind), die in ein SIEM-Projekt eingebunden werden kann, sind die Statistikdaten aus den Netzwer-Komponenten. Diese können genutzt werden, um Anomalien zu erkennen und um damit frühzeitig auf Ereignisse aufmerksam zu werden. Die größte Herausforderung besteht hierbei darin, zunächst einmal das festzuhalten, was als normal gilt. Hier gilt natürlich auch, dass zu diesem Zeitpunkt kein System kompromittiert sein sollte. Das kann eine genaue Analyse unter anderem mit Signatur-basierten IDS-Systemen und Vulnerbility-Assessment-Scannern nachgewiesen werden. Darauf aufbauend kann eine Anomalie-Erkennung erfolgen.

Für die »Network Behavioral Anomaly Detection«, kurz NBDA, gibt es verschiedene Ansätze. Als erstes Verfahren ist hier die Alarmierung bei Nutzung bestimmter Ressourcen zu nennen. Diese Methode ist eigentlich eine Signatur-basierte Methode, die bei den meisten NBAD-Systemen dennoch zu einem gewissen Maße zum Einsatz kommt. Hierbei wird beispielsweise der Dateninhalt auf unerlaubten Peer-to-Peer-Verkehr oder andere Verkehrstypen, die unerwünscht sind, hin untersucht und entsprechend eine Alarmierung automatisch durchgeführt.

Als weiteres Verfahren ist die Alarmierung bei absoluter Schwellwert-Über- oder Unterschreitung zu nennen. Hierbei wird eine Alarmierung erfolgen, wenn die Nutzung einer bestimmten Applikation zum Beispiel plötzlich auf Null sinkt, wenn sich ein Prozess »aufhängt«, oder die Nutzung exorbitant hoch wird. Dies ist der Fall, wenn beispielsweise ein Wurm via E-Mail verschickt wird oder eine (D)DOS-Attacke auf ein Zielsystem erfolgt. Dies kann sich auch auf den Verkehr in ein bestimmtes Zielnetz oder auf ein bestimmtes Zielsystem beziehen. Ein Beispiel hierfür ist ein Angriff auf den zentralen DNS-Server mit zu vielen Anfragen. Es besteht natürlich auch die Gefahr, dass nicht sauber gewählte Werte zu Fehlalarmen führen.

Möglich ist auch die Alarmierung bei zu starker Änderung der Auslastung in einem vorgegebenen Zeitrahmen. Die NBAD-Systeme sind zumeist in der Lage, eine Mittelung der Verkehrs über einen vorgebbaren Zeitraum durchzuführen. Als Beispiel sei hier der mittlere File-Sharing-Verkehr zu einem Servernetz genannt. Eine Alarmierung kann dann Sinn machen, wenn kurzfristig eine starke Änderung dieses Verkehrsverhaltens auftritt. Ein weiteres Verfahren ist die Alarmierung beim Verlassen eines automatisch zuvor ermittelten Akzeptanzfensters. Eine präzisere Erkennungsmethode ist die Ermittlung des Verkehrsprofils über einen gewisse Periode, beispielsweise drei Monate, und die Erstellung eines zu erwartenden Profils für die Folgeperioden. Entsprechende Akzeptanzgrenzen können dann hier effektiv angewandt werden.

Eine mathematische Methode, die dies ermöglicht, ist der sogenannte Holt-Winters-Algorithmus. Ein Produkt, das diesen Algorithmus mit einer »Triple Exponential Smoothing«-Methode nutzt, ist die »Dragon Security Command Console« von Enterasys. Hiermit können saisonale Gegebenheiten voll mathematisch erfasst werden und Vorhersagen für zukünftig zu erwartende Werte erstellt werden. Auch werden »globale« Trends der einzelnen Verkehrsflüsse mit einberechnet, so dass man zu einer präzisen Vorhersage kommen kann. Die Holt-Winters-Methode ist eine der präzisesten Methoden, die heute für die saisonal angepasste Zeitreihenberechnung existiert. Eine Alternative wäre die Box-Jenkins-Methode, die jedoch Probleme bei zu flüchtigen Zeitreihen hat.

Fazit
Siem-Systeme versetzen den Betreiber einer IT-Infrastruktur in die Lage, durch automatisierte Verarbeitung und Bewertung zentralisierter Security-Ereignis-Daten Angriffe frühzeitig zu erkennen und darauf reagieren zu können. Die tägliche Arbeit kann auf die wichtigen Aufgaben fokussiert werden. Die gewonnene Zeit kann in das Security-Management investiert werden. Die Reporting-Möglichkeiten in Siem-Systemen sind eine optimale Basis, um Fragen im Hinblick auf Compliance einfach und schnell beantworten zu können.

Markus Nispel,
Director Solution Architecture,
Enterasys

Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
ICP Deutschland GmbH

ICP Deutschland GmbH
Panduit

Panduit

WEKA Fachmedien GmbH

WEKA Fachmedien GmbH
TREND MICRO Deutschland GmbH

TREND MICRO Deutschland GmbH
HP Deutschland GmbH

HP Deutschland GmbH
estos GmbH

estos GmbH