TÜV Rheinland
Security Intelligence als Mittel gegen Datensicherheits-Risiken
Fortsetzung des Artikels von Teil 1
Erst Ziele definieren, dann Tool bestimmen
Trotz der großen Chancen für ihre IT-Security sehen einige Unternehmen SIEM-Systeme mittlerweile kritisch. Sie haben unter Umständen viel Zeit und Geld in die Implementierung investiert, aber keine weiterführenden Erkenntnisse über die organisationsinternen Sicherheitslücken erlangt. Stattdessen sitzen sie auf einem Berg an Informationen und Daten und sind an deren Bewältigung letztendlich gescheitert. Ist das der Fall, liegt die Ursache oft im Unternehmen selbst, genauer: in einer unzureichend definierten Security-Intelligence-Strategie, Mängeln in der Implementierung und einem möglicherweise nicht zielgerichteten Einsatz der SIEM-Tools – Fehler, die sich vermeiden lassen. Vor der Entscheidung für ein bestimmtes SIEM-Tool gilt es, zu klären, was das Unternehmen genau erreichen will. Voraussetzung ist, die eigene IT-Landschaft zu kennen und zu beherrschen.
Geht es dem Unternehmen darum, im Nachgang reaktiv zu erkennen, was im Netzwerk geschehen ist, genügt reines Log-Management. Mit einer Log-Analyse lässt sich beispielsweise feststellen, welche Systemkomponenten einen Ausfall verursacht haben. Diese Informationen sind relevant – aber nicht ausreichend, wenn Angriffe in Echtzeit identifiziert werden sollen. Dann ist ein geeignetes SIEM-System nötig, das durch die vorangehende Definition von Regeln und automatisierten Trendanalysen proaktiv Anomalien erkennt, aber auch Verläufe und Vergangenheit auf den Prüfstand stellen kann. Nur so ist eine über die komplette IT-Infrastruktur implementierte Realtime Security Intelligence möglich, die Systeme und Netze überwacht und die gesammelten Informationen in Echtzeit analysiert. Das Unternehmen bekommt fundiertes Wissen über Sicherheitsereignisse und eine rationale Entscheidungsgrundlage für oder gegen bestimmte IT-Sicherheitsmaßnahmen.
Um möglichst zielorientiert vorgehen zu können, sollten Unternehmen stets einen risikobasierten Ansatz wählen. Die Definition möglicher Bedrohungsszenarien kann die Auswahl der erforderlichen SIEM-Bausteine erheblich beeinflussen, deshalb ist auch dieser Schritt unerlässlich. Zu den typischen Anwendungsfällen zählen Brute-Force-Angriffe, die Detektion von Kommunikation mit potentiell schädlichen Zielen, verdächtiger Netzwerkverkehr und unerwartete Ereignisse, aber auch Angriffe durch Innentäter. Empfehlenswert ist auch die Überwachung von Applikationen. Um eine Bewertung dieser IT-Sicherheitsvorfälle vornehmen zu können, muss Wissen über das normale Verhalten der entsprechenden Komponenten vorhanden sein. Erfahrungsgemäß muss hier schon manches Unternehmen passen. Spätestens hier empfiehlt sich der Rückgriff auf externes Know-how. Wichtig ist, alle Use Cases stetig an die Umgebung anzupassen. Nur wenn das SIEM gemäß den relevanten Bedrohungsszenarien konfiguriert ist, lassen sich aussagekräftige Informationen über die aktuelle IT-Sicherheitslage des Unternehmens gewinnen.
- Security Intelligence als Mittel gegen Datensicherheits-Risiken
- Erst Ziele definieren, dann Tool bestimmen
- Personal und Prozesse sind kritische Faktoren
- Das richtige Maß beim Loglevel finden
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
Prüfdienstleistung / Zertifizierung
TÜV Rheinland prüft und zertifiziert LPWAN
TÜV Rheinland
Wechsel an der Spitze der Mobilitätssparte
IT-Sicherheit
Die IT-Security leidet unter Fachkräftemangel
