All About Security

18.05.2012 Security-Management, NetIQ

IT-Sicherheitsvorfälle – Vorbereitung ist alles!

Jörn Dierks, Chief Security Strategist EMEA bei NetIQ

Nur wer richtig vorsorgt, kann auch richtig reagieren. Im Alltag eines IT-Security-Managers kommt es immer wieder zu Sicherheitsvorfällen. Mal sind es banale Dinge wie ein mehrfach falsch eingegebenes Passwort, das nur zurückgesetzt werden muss.

Manchmal ist es aber auch ein tatsächlicher Angriff auf die Systeme und Daten der eigenen Organisation. Wie so oft gilt auch hier das alte Sprichwort „Vorsicht ist besser als Nachsicht“. Das heißt: nur wer sich richtig vorbereitet und proaktiv Maßnahmen ergreift, kann im Falle des Falles richtig reagieren.

Wissen ist Macht

Der Security-Manager muss genau über die Sicherheitskonfiguration und die verschiedenen Sicherheitslösungen seines Unternehmens informiert sein. Hierfür bieten sich sogenannte Security Configuration Management Tools an. Mit ihnen lässt sich der aktuelle Ist-Zustand der Sicherheitskonfiguration im gesamten Netzwerk überprüfen. Sie zeigen auf, an welchen Stellen die geltenden Anforderungen richtig umgesetzt sind und an welchen nicht. Die so identifizierten Schwachstellen können beseitigt werden, bevor ein ernster Sicherheitsvorfall eintritt. Solche grundlegenden Konfigurationstests werden in der Regel nicht in Echtzeit, sondern nur in größeren Zeitabständen, beispielsweise einmal im Monat, durchgeführt werden. Stellt sich bei solch einem monatlichen Test ein sogenannter Configuration Drift, also die Abweichung von der definierten Konfiguration, ein, muss der Security-Manager herausfinden, wo diese Veränderung ihren Ursprung hat.

Um das zu können, benötigt der Security-Manager Informationen, die ihm Monitoring-Tools liefern. Das können einfache Logfiles sein, besser sind allerdings spezialisierte Security Information and Event Management (SIEM) Lösungen. Diese kumulieren die Daten verschiedener Quellen wie z.B. Firewalls oder Server-Logs. Im Idealfall gehen diese Tools noch weiter und verfügen über eigene Audit-Funktionen. Das bedeutet, dass die Tools eigene Daten erheben und zwar dort, wo keine nativen Monitoring-Funktionen existieren oder diese nur unzureichend implementiert sind. Somit hat der Security-Manager im Ernstfall genaue Daten darüber, wer was wann wo verändert hat und wie die Ausprägung der erfassten Werte vorher und nachher war. Der Mehrwert einer SIEM-Lösung gegenüber einem einfachen Log-Management liegt dabei in der intelligenten Auswertung und Reaktion in Form eines Alarms.

Diese Reaktionen basieren zumeist auf Korrelationen von Events. Ein Beispiel: wenn Vorfall A und Vorfall B zusammenkommen, dann folgt Reaktion C. Das Prinzip funktioniert zuverlässig, hat aber einen großen Nachteil: Korrelationsketten müssen im Vorfeld definiert werden. Schließlich können nur Vorfälle erfasst und erkannt werden, die vorher bekannt waren und entsprechend im System abgelegt sind. Treten neue, unbekannte Event-Kombinationen auf, die eine Gefahr für das eigene System darstellen, werden sie nicht erkannt.

Künstliche Intelligenz in der Überwachung

Moderne SIEM-Lösungen wie beispielsweise Sentinel 7 von NetIQ verfolgen deshalb mittlerweile einen neuen Ansatz – die Anomalie-Erkennung. Das grundlegende Prinzip ist dabei ein intelligenter Abgleich der historischen und aktuellen Eventsituation. Die Lösung erkennt auf Basis der historischen Daten ein charakteristisches Grundrauschen – eine Baseline – und gleicht diese in Echtzeit mit den aktuellen Daten ab. Ein Alarm wird ausgelöst, wenn eine Abweichung im Eventstrom festgestellt wird. Ein mögliches Beispiel dafür ist die geographische Nutzung der Netzwerkressourcen. Verzeichnet ein Unternehmen normalerweise überwiegend Zugriffe aus der DACH-Region auf sein Netzwerk und verzeichnet plötzlich große Mengen an Zugriffen aus anderen Regionen, erkennt die SIEM-Lösung diese Anomalie und schlägt Alarm. Ein anderes Beispiel sind Zugriffszahlen. Schießen diese plötzlich durch die Decke oder fallen ins Bodenlose, reagiert das System. Die Empfindlichkeit des Alarms kann dabei individuell nach den eigenen Sicherheitsanforderungen festgelegt werden. Bei Systemen mit sensitiven Daten, wie z.B. aus Forschung und Entwicklung oder Finanzanwendungen, kann der Alarm schon bei wenigen Prozent Abweichung anschlagen, bei weniger sensitiven Anwendungen kann die Toleranz auch deutlich höher liegen.

Was aber nun im Ernstfall?

Wenn SIEM-Lösungen nun einen Vorfall melden ist es extrem wichtig, dass der Security-Manager schnell erfährt, was passiert ist. Suchfunktionen, wie man sie auch von Google kennt, sind hier der Schlüssel zum Erfolg. Es müssen Filter- und Drill-down-Funktionen vorhanden sein, die eine schnelle Identifizierung der relevanten Events möglich machen. An dieser Stelle ist die Integration von Daten aus Identity und Access Management Lösungen sehr hilfreich. Mit Hilfe dieser Daten kann der Security-Manager schnell feststellen, welche weiteren Benutzerkonten einer Person, die den Sicherheitsvorfall ausgelöst hat, gehören, um diese ebenfalls in die Analysen mit einzubeziehen. Für den weiteren Prozess sind ebenfalls umfangreiche Reporting-Möglichkeiten, wie z.B. eine grafische Aufbereitung des Eventstroms, wichtig. Da jedes Unternehmen  verschiedene Reportinganforderungen hat, kann der Administrator seine Reports über den Sicherheitsvorfall optimalerweise mit wenigen Klicks nach individuellen Kriterien zusammenstellen, ohne zwangsweise auf vorgefertigte Templates zurückgreifen zu müssen.

Ausgestattet mit den Informationen und dem Reporting seines SIEM-Tools kann der Security-Manager nun gemäß den firmeninternen Sicherheitsrichtlinien vorgehen. Hierbei gibt es keine allgemeingültigen Regeln. Jedes Unternehmen muss sich seine eigene vernünftige Security-Policy formulieren. In dieser Policy muss festgehalten werden, welche Vorfälle wem gemeldet werden. So kann ein mehrfach falsch eingegebenes Passwort oftmals ohne Eskalationsstufen auskommen, während bei einem veritablen Hackerangriff auf das Unternehmen schnellstmöglich Vorstand und Abteilungen wie die Rechtsabteilung oder Unternehmenskommunikation informiert sein müssen. Unter Umständen gilt sogar eine gesetzliche Meldepflicht an bestimmte Behörden. Ein Security Manager sollte in jedem Fall sicherstellen, dass eine solche Security-Policy festgelegt ist. Überflüssige Zeitverluste aufgrund von Zuständigkeits- oder Kompetenzstreitigkeiten sind so von vornherein ausgeschlossen.

Fazit

Zusammenfassend lässt sich sagen, dass die Vorbereitung auf einen Sicherheitsvorfall das Wichtigste ist. Regelmäßige Konfigurationskontrollen lassen den Security-Manager Lücken finden, bevor diese ausgenutzt werden und reduzieren die Gefahr eines dramatischen Sicherheitsvorfalls. Ein fortlaufendes Monitoring und Auditing mit intelligenten SIEM-Lösungen erkennt Vorfälle, schlägt Alarm, hilft die Problemursache zu finden sowie das Problem gemäß der firmeneigenen Security-Policy zu lösen. Im Nachgang eines Sicherheitsvorfalls kann die Konfigurationskontrolle oder das Monitoring angepasst werden, um Vorfälle gleicher Art in Zukunft zu vermeiden und die Sicherheit der IT kontinuierlich zu verbessern.

 

Diesen Artikel empfehlen

Autor: Jörn Dierks