ISO 27001 Zertifizierung: SIEM als Unterstützung

Ihr Unternehmen plant eine Zertifizierung nach ISO 27001? In diesem Blog-Beitrag möchte ich erklären, wie sich durch das gleichzeitige Einführen eines SIEM-Systems die Umsetzung eines Teils dieser Anforderungen realisieren lässt, und weitere Mehrwerte aufzeigen.

Anforderungen der ISO 27001

Seitens der ISO sind gewisse Anforderungen an Ereignisprotokolle und Handhabung von Informationssicherheitsvorfällen gestellt:

  • 12.4.1 Ereignisprotokollierung
  • 12.4.2 Schutz von Protokollinformationen
  • 12.4.3 Administrator- und Betreiberprotokolle
  • 16.1.2 Meldung von Informationssicherheitsereignissen
  • 16.1.4 Bewertung und Einstufung von Informationssicherheitsereignissen
  • 16.1.6 Erkenntnisse aus Informationssicherheitsvorfällen
  • 16.1.7 Sammeln von Beweismaterial

Es gibt weitere Anforderungen der Protokollierung, z.B. in folgenden Bereichen:

  • Asset Management
  • Access Control

Obwohl für die Umsetzung dieser Anforderungen kein SIEM notwendig ist, lässt sich die Umsetzung durch Einsatz eines SIEM-Systems besser automatisieren. Der Personalaufwand und die Wahrscheinlichkeit menschlicher Fehler lässt sich verringern.

Anforderungen an Log Daten

Log Daten sollten recht detailliert sein. Es ist empfohlen, dass Daten wie

  • Zeitstempel
  • Nutzer-IDs
  • IDs und Bezeichner von Geräten, Netzwerkadressen, Hostnamen

enthalten sind, um Ereignisse im Netzwerk wirklich nachvollziehen zu können. Protokolliert werden immer positive und abgewiesene Ereignisse, aber auch das Verändern von Geräteeinstellungen oder die Nutzung privilegierter Rechte. Deshalb müssen Log Daten, so wie andere personenbezogene Daten, geschützt werden.[1] Weiterhin dürfen Log Daten nicht manipulierbar sein.

Log Management

Der Kern eines SIEM ist ein Log Management-System. Installiert wird es losgelöst von der operativen IT, z.B. in einem eigenem VLAN/DMZ, und mit eigenen Zugriffsberechtigungen für Analysten. Log Daten werden an dieses gesicherte System gesendet (also kopiert), und sind somit vor Manipulation durch Angreifer auf die zentrale Infrastruktur gesichert.

In einem SIEM lassen sich Log Daten intensiv durchsuchen. Auswertungen erfolgen kontinuierlich durch Dashboards und Reports. Durch Definition von Vorhaltezeiten lassen sich Daten gemäß der Aufbewahrungsfristen archivieren, ohne Konfigurationsänderungen oder Bereitstellung von zusätzlichem Speicherplatz in der operativen IT-Landschaft.

Ein Log Management-System ist auch geeignet, Logs als mögliches Beweismaterial zu sammeln. In einem SIEM-System liegt der Schwerpunkt aber meist auf echtzeitnaher Security Awareness. Wenn eine hohe Revisionssicherheit über einen Zeitraum von vielen Jahren gefordert ist, ist eventuell ein nachgeschaltetes elektronisches Archivsystem für Logs und Reports notwendig.

Security Alerting

Durch Korrelation der Log Daten lassen sich sicherheitskritische Ereignisse nahezu in Echtzeit erkennen, wie z.B. schadhaftes Verhalten von APT (Advanced Persistant Threats).

In nachgeschalteten Prozessen werden die Ereignisse bewertet und so zeitnah Schaden abgewendet. Informationssicherheitsereignisse können innerhalb der Fristen gemeldet werden.

Falls vorhanden, ist es mit SIEM weiterhin möglich, unternehmensinterne Sicherheitsrichtlinien zu überwachen, z.B. ob unternehmensinterne Dokumente auf Dropbox oder anderen Clouds gespeichert werden.

Auditierung/Protokollierung

ISO-Compliance erfordert das Management (und Protokollierung) von

  • Anmeldungen, Vergabe privilegierter Rechte
  • Zugriffe auf kritische Ressourcen
  • Access Control
  • Ressourcen Management
  • Konfigurationsänderungen an Routern, etc.

Ein SIEM erfasst die wirklich „technisch“ vorgenommenen Änderungen. Diese Ereignisse lassen sich aus der Menge der Log Daten gezielt herausfiltern und mittels eines Reports protokollieren. Im SIEM fällt auf, wenn z.B. ein Account als Domänenadministrator erstellt wird, für wenige nicht-autorisierte Änderungen an der Infrastruktur genutzt wird und anschließend gleich wieder gelöscht wird. Herkömmliche Verfahren, wie Abgleich von System-Berechtigungen durch Vorgesetzte, übersehen vermutlich solche Ereignisse.

Operative Unterstützung

Ein SIEM unterstützt beim Erkennen massiv auftretender Systemfehler aufgrund der Logs, sowohl auf einzelnen Systemen als auch korreliert über „Server-Farmen“. Dies ist möglich, da Fehler im Log protokolliert werden, auch wenn kein Systemausfall stattfindet. So lassen sich z.B. fehlerhaft konfigurierte IT-Geräte erkennen.

In vielen Unternehmen gibt es Batch-Prozesse, die einmal pro Tag, Woche oder Monat erfolgreich ausgeführt werden müssen. Als Beispiel zu nennen sind Backups, Kalkulations-Batches im ERP sowie Datensynchronisation zwischen verschiedenen Systemen. Oft wird die fehlerfreie Ausführung dieser Prozesse manuell per Checkliste überwacht. Mit Hilfe eines SIEM kann dies automatisiert werden, nur Abweichungen werden gemeldet.

Fazit

ISO 27001 und ISO 27002 legen die Messlatte für Ereignisprotokolle und Handhabung von Informationssicherheitsvorfällen recht hoch. Andererseits können mit einem SIEM-System diese Anforderungen sehr gut erfüllt werden. Als Mehrwerte über die Anforderungen hinaus ergeben sich:

  • Echtzeitnahe Alarme bei Abweichungen und Compliance-Verletzungen
  • Professionelles Reporting
  • Ein „Datawarehouse“ für die IT-Abteilung
  • Logs können zum Debugging und Monitoring durchsucht werden

[1] Gemeint sind Zugriffsbeschränkungen und Verschlüsselung

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA *