Warum das SIEM im SOC eine grosse Rolle spielt

Mehr als deutlich haben die schlagzeilenträchtigen Hackerangriffe auf die beiden IT-Dienstleister SolarWinds und Kaseya wieder gezeigt, wie entscheidend die Cyber Security heute ist. Bei beiden Attacken haben die Angreifer Schwachstellen im hauseigenen IT-Management ausgenutzt, wodurch über Software-Updates Schadsoftware an Endkunden von SolarWinds und Kaseya verteilt wurde – weltweit waren Tausende betroffen.

Um solche und andere Angreifer im eigenen Netzwerk möglichst früh zu erkennen und die Auswirkungen grösstmöglich einzudämmen, vertrauen immer mehr Organisationen auf ein SOC (Security Operations Center), in dem Cyber-Security-Experten, Prozesse und spezielle Tools ineinandergreifen.

Das Ziel: IT- und OT-Systeme (operative Technologien in industriellen Netzwerken) mitsamt ihren Daten schützen und dadurch die Cyber-Resilienz erhöhen. Damit dabei auch die Erkennung unbekannter, mehrstufiger und immer komplexerer Angriffsmuster sichergestellt ist, braucht es Transparenz im Unternehmensnetzwerk. Hier kommt das Tool «SIEM» (Security Information and Event Management) ins Spiel, das Maschinendaten aus einer Vielzahl von Quellen auswertet, um Sicherheitsrisiken zu erkennen.

Das SIEM ist eine Art Cyber-Security-bezogenes Radarsystem, das nach ungewöhnlichem Verhalten, Systemanomalien und anderen Anzeichen für einen Hackerangriff sucht. Dazu sammelt, korreliert und analysiert es Daten verschiedenster Geräte (z. B. Netzkomponenten, Applikationen) in Echtzeit. Die gewonnenen Informationen ermöglichen es, Bedrohungen schnell zu erkennen und gezielt zu reagieren. Zudem erleichtert das SIEM es, gesetzliche Vorgaben, Richtlinien und Compliance-Regularien der Cyber Security einzuhalten.

Während das SOC im Gesamten aus Personen, Prozessen und Technologien besteht, handelt es sich beim SIEM um eine grundlegende Teiltechnologie. Dabei bietet das zentrale Sammeln der Informationen den SOC-Analysten die Möglichkeit, Daten über die jüngsten Cyberangriffe zu identifizieren, zu analysieren und auf Basis vorgegebener Prozesse (z. B. ISO 27001 Annex A.16: Information Security Incident Management) unmittelbar auf Risiken zu reagieren. So unterstützt ein SIEM das SOC dabei, die vier wichtigsten Fragen nach der Erkennung eines Sicherheitsvorfalls zu beantworten: Was ist wie, wann und wo passiert?

Da Hacker ihre Fähigkeiten auch immer weiterentwickeln, müssen es das SOC und SIEM ebenso tun, denn aktuelle, komplexe und mehrstufige Bedrohungen müssen erkannt werden. Daher ergänzen die Spezialisten des SOCs das Wissen des SIEM mit bekannten Taktiken, Techniken und Prozeduren (TTPs), um Täterprofile zu erstellen und zu verstehen, welche Gegner sie angreifen könnten.

Ist ein Unternehmen von einer Attacke be­troffen, greift das SOC ein und versucht, die Situation unter Kontrolle zu bringen. Damit der Angriff nicht eskaliert, ist schnelles Handeln gefragt:

Ein wesentlicher Baustein eines effektiven SIEM ist die Threat Intelligence, die bekannte Kontextinformationen über schädliche IP-Adressen, URLs, Domänen oder Hash-Werte bereitstellt. Ganz einfach, weil mehr Datenquellen eine grössere Basis für das rechtzeitige Aufspüren von Bedrohungen schaffen. Ohne Threat Intelligence fehlt der Kontext: Das SIEM hätte wesentlich weniger Alarme und Berichte, die die SOC-Analysten auswerten können. Die optimale Kombination aus Unternehmensinternen Daten und externen Informationen der Threat Intelligence ist bei der SIEM-Analyse entscheidend. Grundsätzlich gilt: Je mehr neue Indikatoren entdeckt, gesammelt, weitergegeben, analysiert und implementiert werden, desto schwieriger haben es die Angreifer, unentdeckt zu bleiben.

Arbeiten Menschen, Prozesse und Tools wie das SIEM erfolgreich im SOC zusammen, sinkt das Bedrohungsrisiko deutlich. Allerdings sind gerade SIEM-Projekte in Unter­nehmen noch zu häufig zum Scheitern verurteilt. Klar: Für effektive Lösungen braucht es die entsprechende Fachkenntnis und Manpower – der Administrator muss das SIEM betreiben, der Engineer weiterentwickeln und SOC-Analysten müssen die Alarme rund um die Uhr auswerten. In Zeiten des Fachkräftemangels und bei begrenzten Budgets sind das keine leichten Aufgaben.

Hinzu kommen die technischen Herausforderungen, die das Sammeln mit sich bringt: Durch sicherheitsrelevante Informationen können pro Tag Gigabyte-grosse Mengen an Daten zusammenkommen, die noch in unzähligen Formaten und zum Teil recht kryptisch vorliegen. Ein SIEM benötigt sehr gute Algorithmen, um die Datenberge zu verarbeiten und verständlich zu visualisieren. Zudem muss es die im Unternehmen eingesetzten Anwendungen und Geräte unterstützen.

Oft stellen sich die Erfolge auch nicht so rasch wie gewünscht ein und das SIEM entfaltet anfangs nicht sein volles Potenzial. Der Grund liegt oft darin, dass die Lösung nicht optimal auf die speziellen Anforderungen, Reife und Ressourcen des eigenen Unternehmens abgestimmt ist – ein SIEM ist zwar ein hocheffektives Tool, aber nun mal kein Produkt von der Stange.

Sie sehen: Die besten Mitarbeiter und ausgefeiltesten Prozesse nützen wenig, wenn sich Bedrohungslagen nicht rechtzeitig erkennen und bewerten lassen. So braucht es für ein effektives SOC entsprechende Tools wie das SIEM, das alle Informationen sammelt, diese mit Threat Intelligence Feeds abgleicht und in Echtzeit potenzielle Angriffe untersucht.

Und obwohl das SIEM eine der wichtigsten Komponente im SOC darstellt, bilden Prozesse immer noch das Rückgrat und die Cyber-Security-Analysten das Gehirn. Trotz aller technischen Fortschritte im Bereich der künstlichen Intelligenz sind vor allem Letztere bis auf Weiteres unersetzlich. Wer nicht über genügend qualifiziertes Personal oder Ressourcen für ein SOC oder SIEM verfügt, kann dann immer noch auf einen externen Dienstleister zurückgreifen, der diese Aufgaben als «Managed» oder «as a Service» übernimmt. Wichtig ist nur, jemanden zu finden, der die nötige Erfahrung, Kompetenz und Reputation dafür mitbringt.