Security meets Krise
Wie Sie Ihr SIEM ohne Budget aufmöbeln
Maria Korolov berichtet seit über zwanzig Jahren über aufstrebende Märkte und Technologien. Sie schreibt für die US-amerikanische IDG-Publikation CSO.
Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Die Weltwirtschaft wurde von COVID-19 in eine ausgiebige Talfahrt gezwungen - mit weitreichenden Auswirkungen. Auch die IT-Abteilungen dieser Welt sind davon stark betroffen: Die Marktforscher von Gartner rechnen für das Jahr 2020 mit einem weltweiten Rückgang der IT-Investitionen von circa neun Prozent (im Vergleich zu 2019). Eine aktuelle Umfrage von Barracuda Networks kommt zum Ergebnis, dass 40 Prozent der befragten Unternehmen ihre IT-Sicherheits-Budgets gekürzt haben, um die Folgen der Krise stemmen zu können.
Für IT-Security-Teams bedeutet das in der Praxis oft, eingeplante Updates wichtiger Kernsysteme der IT-Sicherheit zu verschieben - etwa, wenn es um SIEM (SecuritySecurity Information and Event Management) -Systeme geht. Diese bilden das Herzstück vieler Security Operations Center (SOC) und aggregieren sicherheitsrelevante Daten aus allen Unternehmensbereichen, um mögliche Bedrohungen zu identifizieren. Alles zu Security auf CIO.de
IT-Security in der Krise?
Probleme treten dabei meistens dann auf, wenn ein SIEM in die Jahre kommt. Gerade bei älteren Plattformen kann die Einbindung neuer Datenquellen - etwa Hybrid- und Cloud-Architekturen oder SaaS-Applikationen - Hürden aufwerfen. Wenn die SIEM-Plattform zudem nicht über aktuelle Analyse-Tools verfügt, könnten verdächtige Aktivitäten unter den Tisch fallen - mit potenziell schwerwiegenden Folgen. Die Bedrohungslage entspannt sich hingegen keineswegs - kriminelle Hacker versuchen mit diversen Mitteln von COVID-19 zu profitieren. Das wollen inzwischen auch zahlreiche Studien und Untersuchungen belegen:
Die vorgenannte Umfrage von Barracuda Networks kommt außerdem zu dem Ergebnis, dass 51 Prozent der befragten Unternehmen seit dem Umstieg auf Remote Work einen Anstieg der Phishing-Angriffe verzeichneten. Ebenfalls 51 Prozent sind der Überzeugung, dass die Belegschaft ihres Unternehmens nicht richtig auf die Risiken des verteilten Arbeitens vorbereitet ist. Die Sicherheit der eigenen Web-Applikationen zweifeln 46 Prozent der Befragten an.
Arctic Security berichtete im April 2020, dass sich die Anzahl kompromittierter Unternehmen (in Finnland) seit Januar verdoppelt hat.
Eine Umfrage von Crowdstrike unter 4.000 IT-Entscheidern weltweit förderte zu Tage, dass 83 Prozent der Befragten remote arbeiten und 60 Prozent private Devices zu beruflichen Zwecken nutzen. Ein entsprechendes Security-Awareness-Programm wurde allerdings weniger als der Hälfte der Befragten zuteil.
Laut einer BitSight-Studie ist die Malware-Wahrscheinlichkeit bei Heimnetzwerken circa 3,5-mal so hoch wie im Unternehmensumfeld.
Was also können Unternehmen tun, um ihre IT-Sicherheit zu härten, wenn kein Geld für ein SIEM-Upgrade übrig ist? Wir haben mit einigen Sicherheitsexperten gesprochen und acht Tipps für Sie zusammengestellt, die Ihnen dabei helfen, Ihr bereits vorhandenes Security Information and Event Management System aufzumöbeln - auch ohne Budget.
1. Daten-Pipeline-Shift
Um mehr aus Ihrem bestehenden SIEM-System zu holen, sollten Sie als erstes in Augenschein nehmen, woher das System seine Daten bezieht. Speziell in längerfristigen Remote-Work-Szenarien fallen zum Beispiel durch Mitarbeiter im Homeoffice jede Menge Bedrohungsdaten an, wie Ken Jenkins, Gründer der Security-Beratung EmberSec weiß: "Bei Homeoffice-Tätigkeiten müssen völlig andere Daten gesammelt werden, denn die IT kann - speziell im Fall von BYOD Devices - nicht mehr alle Bedrohungen auf Endpoint-Ebene erkennen. Sie sollten sich deshalb auf Aspekte konzentrieren, die im Fall von Remote Work auch Sinn machen - etwa wie VPNs und Cloud Services genutzt werden."
Nach Empfehlung des Security-Beraters sollten Unternehmen ihre Daten-Feeds nach Wichtigkeit priorisieren und in den Bereichen aufstocken, wo nicht genug Daten anfallen. Auf überflüssige Daten-Pipelines die lediglich Insights erzeugen, die bereits anderweitig verfügbar sind, sollten Sie hingegen verzichten.
2. Feeds mit Kontext
Wenn der Sinn und Zweck Ihres SIEM-Systems darin besteht, Bedrohungen besser zu erkennen, sollten Ihre Daten möglichst aussagekräftig sein. "Ihr Ziel sollte eine datenbasierte, kontextbezogene Entscheidungsfindung sein", meint Jenkins.
Dabei können unter Umständen auch Tools von Drittanbietern nützlich sein, die in der Lage sind, Informationen aus externen Quellen zu liefern. Das erspart den Security-Spezialisten in der eigenen Abteilung mühsame, aber vor allem zeitraubende Arbeit, die diese dann anderweitig investieren können. Es gibt sogar einige quelloffene Threat-Intelligence-Werkzeuge, die sich per API in Ihr existierendes SIEM integrieren lassen - vorausgesetzt, das System unterstützt das.
Ein anderer Weg Ihre vorhandenen Datenströme zu optimieren, liegt darin, Informationen zu normalisieren oder konsolidieren - und zwar bevor diese in das SIEM-System einfließen. So wird nicht nur die Datenanalyse deutlich beschleunigt, sondern unter Umständen auch das Budget weiter entlastet, denn einige Legacy-SIEM-Systeme setzen auf eine Abrechnung nach Datenvolumen.
3. SIEM-Prozess-Review
Man sollte meinen, dass ein Security-Information-und-Event-Management-System zu den Tools gehört, die im Laufe der Zeit immer besser werden. Das ist allerdings nicht immer der Fall, wie Mounir Hahad, Chef des Threat Lab von Juniper Networks, aus Erfahrung weiß: "Diese Systeme funktionieren anfangs oft wunderbar und werden danach mit jedem zusätzlichen Feature immer langsamer, was es schwierig macht, zeitnah echte von falschen Bedrohungen zu unterscheiden."
Eine eingehende Prüfung Ihrer bestehenden SIEM-Prozesse könnte im Vergleich zu einem teuren Upgrade also die bessere Alternative sein, wie Hahad anhand eines praktischen Beispiels erklärt: "Auf den ersten Blick könnte es zum Beispiel so aussehen, als ob die User-Authentifizierung viel zu viel Zeit in Anspruch nimmt. Dabei kann es sich auch nur um einen Fehler im Authentifizierungsprozess handeln. Die Daten dieses Prozesses in den SIEM-Workflow einzubinden, reicht in diesem Fall, um das Problem zu beheben."
Die Überprüfung von Prozessen und einige kleine Änderungen im Anschluss können also die Lebensspanne Ihres SIEM-Systems nachhaltig verlängern.
4. Eine Frage der Grundlage
Wenn ein SIEM-System plötzlich damit aufhört, das zu tun, was es soll, muss das nicht heißen, dass ein Problem mit dem System selbst vorliegt: Vielleicht ist Ihr SIEM so konzipiert, dass es nur auf bestimmte Datenmuster anspringt.
Die Verhaltensmuster von Mitarbeitern und Kunden sahen vor der COVID-Pandemie sicher anders aus als danach, wie Karen Panetta von der Tufts University anmerkt: "Die Daten aus der Prä-Corona-Ära machen heute keinen Sinn mehr."
SIEM-Systeme, die auf der Basis von Analytics funktionieren, brauchen also eine neue Datenbasis.
5. Angriffsflächenminimierung
Plötzlich eine ganze Flut neuer Geräte, Verbindungen und Applikationen zu monitoren, kann in Überforderung münden. Statt sich an den Sicherheitsmaßnahmen rund um die Plattformen abzuarbeiten, bietet es sich an dieser Stelle an, sichere Umgebungen innerhalb dieser Plattformen zu schaffen. Beispielsweise mit Hilfe von virtuellen Desktops, MDM Tools oder Online-Portalen, die Zugang und Authentifizierung vereinfachen.
"Es kann die bessere Lösung sein, alle Verbindungen über eine, einzelne, sichere Seite abzuwickeln", meint auch Panetta. "Wenn Sie die Security - etwa von Mobilgeräten - nicht garantieren können, müssen Sie auf bewährte Technologien zurückgreifen."
6. Analyse-Addon-Evaluierung
Etablierte Anbieter von SIEM-Systemen verfügen im Regelfall über ein Applikations-Ökosystem. Deswegen entwickeln beispielsweise spezialisierte Security-Anbieter eher eine App, als ihr eigenes SIEM komplett neu aufzubauen.
Die Tauglichkeit solcher Addons variiert dabei jedoch relativ stark, wie Jenkins weiß: "Viel hilft nicht automatisch viel: Wenn der Daten-Input zu wünschen übriglässt, nutzt Ihrem SIEM auch die raffinierteste Applikation nichts."
7. Automatisierungsunterstützung
Je nachdem, welche SIEM-Plattform zum Einsatz kommt, können auch Automatisierungs-Tools eingebunden werden. Auf diesem Markt tummeln sich inzwischen einige Anbieter, deren Produkte dabei helfen können, Ressourcenengpässe zu überbrücken. Zumindest wenn es um grundlegende Basis-Tasks geht.
8. Abhilfe aus der Cloud
Im Zuge der Corona-Pandemie hat sich die Angriffsfläche dramatisch in Richtung Cloud verschoben - wo inzwischen das Gros der Geschäftsprozesse abläuft. Schlanke, cloudbasierte SIEM-Alternativen können hier nützlich sein, um gegenzusteuern und eventuelle On-Premises-Lücken zu füllen.
"Die Cloud kann Unternehmen nicht nur dabei unterstützen, mehr Daten zu sammeln, sondern auch dabei, diese zu analysieren und vorzuhalten", weiß Jon Oltsik, Senior Analyst bei ESG. "Cloud-Plattformen bieten beispielsweise eine Vielzahl von Daten-Pipelines und entsprechende Kapazitäten - oder lassen sich besser mit Managed Services verknüpfen."
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.