Hohe Anforderungen an MSSPs

SIEM als Basis für Managed Security

16. Juli 2008, 22:56 Uhr | Christian Kaltenhofer/wg Christian Kaltenhofer ist IT-Architekt bei Lufthansa Systems.

Der Leistungsumfang und die Effizienz eines MSSPs (Managed-Security-Service-Provider) hängen in hohem Maße von der eingesetzten SIEM-Lösung ab (Security-Information- and Event-Management). Entsprechend hoch sind die Anforderungen an solch eine Lösung. Dieser Beitrag beschreibt, auf welche Aspekte Security-Dienstleister und deren Kunden achten sollten.

Managed-Security-Services sind die Summe der Sicherheitsleistungen für einen
Applikationsbetrieb. Sie umfassen eine Vielzahl an Maßnahmen, darunter
Application-Security-Services (inklusive Firewall, Virenschutz und Spam-Filter),
Network-Security-Services (wie Intrusion Detection/Prevention, VPN) sowie Vulnerability- Services
(Scans, Threat and Vulnerability Information, Computer Emergency Response Team, kurz CERT).

Betriebsseitig umfasst der MSSP-Ansatz die Basisleistungen Incident-, Problem-, Change- und
Service-Management. Managed-Security-Services sind somit eine Gesamtlösung in der IT-Security, die
umfassende Einzelleistungen bündelt und sich an den Geschäftsprozessen orientiert. Heute sind die
genutzten Techniken soweit ausgereift, dass eine solche Gesamtlösung einfach umsetzbar ist.

Im Rahmen einer Aufklärung von Sicherheitsvorfällen oder einer Zertifizierung müssen Unternehmen
einen sicheren IT-Betrieb nachweisen. Diese Forderung wird durch Sicherheitsstandards
beispielsweise von Kreditkartenherausgebern mit dem Payment Card Industry Data Security Standard
(PCI DSS) adressiert. Eine Kernforderung im Rahmen einer Zertifizierung nach PCI DSS an den
IT-Betrieb ist die Nachvollziehbarkeit der implementierten Sicherheitsmaßnahmen. Dies wird durch
aktive und reaktive Maßnahmen erreicht. Die aktiven Maßnahmen sehen ein Echtzeit-Monitoring der
Logfiles der beteiligten IT-Systeme und monatliche Compliance-Berichte vor. Bei einem
Sicherheitsvorfall leitet ein CERT die reaktiven Maßnahmen im Rahmen eines
Incident-Managementprozesses ein.

Technisch betrachtet handelt es sich bei den betroffenen Daten um verschiedene Logdatenformate
von IT-Systemen wie Router, Firewalls, Server, Clients, IDS/IPS-Geräten (Intrusion
Detection/Prevention System) und Virenscannern. All diese Systeme produzieren im Sekundentakt
Logfiles, die es automatisch zu sammeln zu vergleichen, auszuwerten und revisionssicher zu
speichern gilt. Heute ist es möglich, aus den weltweit verteilten Logdaten die
Compliance-relevanten Daten (Compliance: Einhaltung von Vorschriften) zu extrahieren und zu
verwalten. Für diesen automatisierten Prozess setzt ein Unternehmen sinnvoller Weise ein
SIEM-System ein.

Hohe Messlatte für SIEM-Systeme

Die Anforderungen an ein SIEM-System sind so vielfältig, dass sich in den letzten drei Jahren
ein sehr aktiver Markt eröffnet hat, in dem viele große Softwarehersteller vertreten sind. Die
Lösungen haben nun die Reife, um die aktuellen Herausforderungen im Bereich
Managed-Security-Services zu erfüllen. Wer sich für ein SIEM-System entscheidet, sollte aber
unbedingt bestimmte Kriterien beachten. Wesentlich für die ideale Lösung sind die Architektur und
das Reporting sowie betriebliche Aspekte des Anbieters.

Die erste Entscheidung sollte zwischen hardware- oder softwarebasierter Lösung fallen. Vorteil
der hardwarebasierten Variante ist die höhere Verarbeitungsgeschwindigkeit und schnelle
Integration. Die softwarebasierte Lösung dagegen bietet durch die offene Architektur mehr
Möglichkeiten zur Integration von Fremdsystemen und einen standardisierbaren IT-Betrieb.

Die Leistungsfähigkeit von SIEM-Systemen wird in Events pro Stunde gemessen, die die Datenbanken
im Hintergrund verarbeiten. Je nach Bedarf und Komplexität der zu schützenden Infrastruktur muss
ein SIEM-System eine bestimmte Anzahl Events pro Stunde verarbeiten. Lufthansa Systems zum Beispiel
setzt eine SIEM- Lösung ein, die für rund zwei Millionen Events pro Stunde ausgelegt ist, die in
Echtzeit abgerufen und verarbeitet werden.

Gleichzeitig sollte kein statisches System angeschafft werden, da sich Geschäftsprozesse ändern
und neuen Märkten und Geschäftsfeldern anpassen. Das SIEM-System sollte daher erweiterbar und
anpassungsfähig sein und gleichzeitig die Möglichkeit bieten, mandantenfähig neue Systeme oder
Kunden hinzuzufügen. Ein weiteres wichtiges Kriterium ergibt sich aus der Anzahl der IT-Systeme,
die an eine SIEM-Lösung angeschlossen werden. In der Regel hat jede große Produktfamilie ihr
eigenes Logdatenformat. Dieses Format muss das SIEM-System verarbeiten und auswerten können. Falls
das System ein Logdatenformat nicht unterstützt, sollte ein gut dokumentiertes Software Development
Kit (SDK) vorhanden sein, mit dem ein Unternehmen eigene Anschlüsse an das SIEM-System
programmieren kann.

Relevante Daten sollten zentral vorgehalten werden, da dies eine optimale Backup- und
Recovery-Strategie zulässt und eine Korrelation von Daten in Echtzeit über Systemgrenzen
ermöglicht. Dies ist vor allem für verteilte Angriffe über die gesamte IT-Infrastruktur wichtig, da
sich alle Daten auf einem zentralen Bildschirm (dem "Dashboard") – zusammenführen und
interpretieren lassen. Der Datentransfer von den Satellitensystemen zum Zentralsystem muss
verschlüsselt und authentifiziert erfolgen, damit Angreifer die übertragenen Daten nicht verändern
können.

Treffen Events ein, nimmt das SIEM-System nach der Korrelation der Daten intern eine
Priorisierung nach definierten Kriterien vor. Sie wirkt sich auf den durchzuführenden Prozess aus
und kann von einer "Watch List" bis zum Senden einer Alarmierungs-SMS an den Systemverantwortlichen
und das Starten des entsprechenden ITIL-Prozesses reichen. Bei nicht direkt erkennbaren Angriffen
oder solchen, die sich über einen langen Zeitraum erstrecken, muss die Option bestehen, historische
Daten zur Angriffserkennung heranzuziehen. Ein Beispiel dafür ist eine Malware, die auf einem
Client erst nach einer gewissen Zeit aktiv wird.

Das Reporting einer SIEM-Lösung muss Berichte online und offline anbieten und automatisiert in
einem bestimmten Zeitfenster erstellen. Der Inhalt der Reports sollte auf den Verwendungszweck
abgestimmt sein. Für einen Wirtschaftsprüfer, der zum Ende des Bilanzierungsjahres die IT-Risiken
bewertet, müssen die Daten im SIEM-System ebenso aufbereitet werden können wie für einen Auditor,
der das IT-System gegenüber seinen Anforderungen prüft.

Betriebliche Aspekte

Besonderes Augenmerk ist auf die Betriebs- und Datensicherheit sowie die Mandantenfähigkeit der
eingesetzten Lösung zu legen. Schließlich ist das SIEM-System in kritische Prozesse wie den
Incident-Managementprozess eingebunden, und bei Nutzung und Betrieb sind die Rollen verteilt.
Zentrale Komponenten wie Datenbank und Applikationsserver müssen in die unternehmenseigenen
Hochverfügbarkeitsszenarien passen. Ein weiterer wichtiger betrieblicher Aspekt ist die
Nicht-Veränderbarkeit und Sicherheit der im SIEM gespeicherten Daten. Falls Daten aus dem System
gerichtlich Verwendung finden sollen, muss nachweisbar sein, dass die Original-Logdaten unverändert
in das SIEM-System übertragen wurden. Dafür setzen viele Hersteller digitale Signaturen ein, um den
exakten Zeitpunkt der Datenerhebung festzuhalten. Auch eine intuitive Benutzeroberfläche ist
wichtig. Schließlich arbeiten unterschiedliche Benutzergruppen wie CERT, SIEM-Administrator oder
Security Operation Center (SOC) mit dem System.

SIEM-Lösung als Klammer

Eine SIEM-Lösung bildet die Klammer um die Managed-Security-Services und beantwortet die Frage: "
Wie sicher waren die IT-Systeme im vergangenen Monat?" Wenn die prüfungsrelevanten Daten der
IT-Systeme einem Wirtschaftsprüfer in einem Report aufbereitet zur Verfügung stehen, verringert
dies den Aufwand der Prüfung. Zudem macht dies dem Prüfer wie auch dem Geprüften die Leistungen der
IT-Security anschaulich. Gleichzeitig spart der Einsatz eines solchen Systems Zeit und Kosten.


Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Lampertz GmbH & Co. KG

Matchmaker+