Um die Prozesse in der Verarbeitung von IT-Daten sicher und simpel halten zu können, gibt es mehrere Methoden.
Eine mögliche Maßnahme dafür ist das Security Information and Event Management. Kombiniert ist dieser Begriff aus SIM für das Sammeln von IT-Bezogenen Informationen, sowie SEM für das Sammeln von IT-bezogenen Ereignissen.
Diese Sammelstelle soll einen ganzheitlichen Überblick auf die Infrastruktur der IT-Security bieten und eine Schwachstellenanalyse vereinfachen.
Zu den Informationsquellen gehören Firewalls, Server, Router, IDS/IPS und Anwendungen. Aus diesen Quellen werden Logfiles und Protokolle gesammelt, um diese im Anschluss korrelieren, granulieren und auswerten zu können. Hinzu kommen Newsmeldungen von außen, Statusmeldungen von Geräten sowie Benachrichtigungen über physische Auffälligkeiten, wie beispielsweise ein Ausfall eines Lüfters im Serverraum. Diese Protokollierung läuft 24/7 im Hintergrund.
Zusammenhängende Ereignisse sollen bildlich dargestellt werden, um eine verbesserte Risikomeldung zu kreieren. Dadurch soll sichergestellt werden, dass die gesammelten Logfiles nachvollziehbar sind und rückwirkend auch kontrolliert werden können, sollte es zu einem ungewöhnlichen Vorfall kommen.
Dafür wird protokolliert, von welchen IP-Adressen aus zu bestimmten Zeiten auf Daten zugegriffen wurde und welche Protokolle oder welche Webservices laufen. SIM und SEM bieten damit gemeinsam als SIEM eine Managementlösung, die auf die Anforderungen und Bedürfnisse des Unternehmens angepasst ist.
Außergewöhnliche Muster und gefährliche Trends werden im SIEM sichtbar und können aktiv beseitigt werden. Hierzu gehören beispielsweise fehlerhafte Anmeldeversuche. Dank der Sammlung der Logfiles und der anschließenden Korrelation und Auswertung kann mittels SIEM herausgefunden werden, ob es sich nur um einen Mitarbeiter handelt, der sein Passwort fünfmal falsch eingegeben hat, oder ob es sich tatsächlich um Hunderte Anfragen pro Sekunde handelt und man eventuell von einem Brute Force Angriff betroffen ist. Durch das Granulieren dieser Logfiles ist es auch möglich, False Positives auszuschließen. Potenziell betroffene Geräte können direkt vom Netzwerk isoliert und in Quarantäne gesetzt werden, sodass sich bei einem möglichen Befall mit Schadsoftware, diese nicht weiterverbreiten kann.
Um ein SIEM einrichten zu können, benötigt man im Vorfeld gesammelte Informationen und Kennzahlen. Hierfür kann beispielsweise auf die Mitre Datenbank zurückgegriffen werden, um eine Sammlung an Schwachstellen als Regeln und Vorgehensweisen zu notieren und potenzielle Angriffe frühzeitig zu erkennen. Darauf basierend werden fortlaufend Verbesserungen durchgeführt.
Um ein SIEM optimal nutzen zu können, empfiehlt es sich, ein Security Operations Center (SOC) einzurichten. Bei dem Aufbau eines SOCs kann Ihnen die ProSec GmbH helfen und Sie ab Tag 1 beraten und betreuen. Dafür wird im Vorfeld eine Strukturanalyse durchgeführt, um Ihren Bedarf zu ermitteln und Ihnen die bestmögliche Unterstützung zu geben. Die Vorgänge des SOC werden durch das SIEM vereinfacht. Diese Kombination bietet eine leistungsfähige und zielorientierte Lösung der IT-Sicherheit.
Ziel des SIEM ist es, den Daten-Overhead zu reduzieren, Kosten einzusparen und die vorhandenen Ressourcen in der IT besser einteilen zu können. Durch das SIEM soll ebenfalls sichergestellt werden, dass Reports und Reviews zugänglich werden. Diese können bei Bedarf an das Management bzw. an die Geschäftsführung weitergeleitet werden. Sollte das Unternehmen meldepflichtig sein (z. B. ein KRITIS), können diese Reports und Reviews nach reiflicher interner Prüfung auch an das BSI weitergeleitet werden.
