SIEM & SOC auf der it-sa 2018 – Eindrücke von der Messe

„Warum tust du dir das an?“ war eine spontane Reaktion eines Kollegen auf meine Ankündigung, zur it-sa zu fahren. Ich tu' mir so etwas nicht an, ich gebe es mir. Learning by Listening gefällt mir. Ich empfehle auch, zu zweit durch die Gassen zu gehen.

Das macht mehr Spaß, und wenn sich einer zutexten lässt, kann ihn der andere losreißen.

Ergänzung der Firewall

Firewalls werden in Unternehmen standardmäßig eingesetzt, um die IT-Infrastruktur zu schützen. Sie reichen heute aber sicherheitstechnisch nicht mehr aus, weil Angriffe zunehmend von Datenpaketen ausgehen, die nicht von Firewalls geblockt werden.

An diesem Punkt setzen Werkzeuge an, die z.B. den gesamten Netzwerkstrom eines Unternehmens analysieren und nach Schwachstellen absuchen (NIDS) oder Logfiles verschiedenster Quellen sammeln und korrelieren (SIEM), und damit Angriffsszenarien erkennen sollen.

Produkte für diesen Zweck wurden auf der it-sa von einigen Herstellern und ihren Partnern vorgestellt. Thinking Objects war als Partner von RadarServices mit dabei. RadarServices, mit Hauptsitz in Wien, hat eine eigene Forschungs- und Entwicklungsabteilung für IT-Sicherheit und hatte bisher ein IT-Security-Monitoring-Portfolio für eher große Unternehmen. Bei der diesjährigen it-sa hat Radar sein neues Produkt „Plug&Detect“ vorgestellt, das auch für kleine und mittlere Unternehmen gedacht ist.

„Plug“ steht für das einfache Anschließen einer Hardware, der „Smart Box“, die sich mit dem Unternehmensnetzwerk verbindet. „Detect“ steht für das Sammeln und Verarbeiten sicherheitsrelevanter Daten. Der entscheidende Teil für die Brauchbarkeit dieser Lösung ist aber wohl eher das „Smart Cockpit“, die Software, die die Ergebnisse optisch aufbereitet, und zwar mit priorisierten Hinweisen, was zu tun ist. Das ist vor allem für Unternehmen gut, die keine Kapazität im Bereich IT-Sicherheit haben und konkrete nächste Schritte präsentiert haben wollen.

Optional kann ein IT-Partner hinzugezogen werden, wenn z.B. Unterstützung bei der Behebung von Sicherheitsrisiken oder eine tiefergehende Analyse der Daten benötigt wird.

SIEM/SOC-Lösung im Einsatz bei Red Bull

Red Bull ist einer der ersten Kunden, die von RadarServices eine SIEM/SOC-Lösung bekommen hat. Diese hat Jimmy Heschl, Chef der IT-Security bei Red Bull, am Stand von RadarServices unter dem Tiel „SOC as a Service aus Kundensicht“ kurz vorgestellt. Ich dachte erst, ich könnte dabei technisch etwas dazulernen. Das war naiv, aber dafür weiß ich jetzt, warum Jimmy Heschl erfolgreich ist: Er meinte erstens, er hinterfrage sich und was er tue, zweitens sei sein Motto „geht nicht, gibt’s nicht“ und drittens gehen er und seine Mitarbeiter erst heim, wenn die Arbeit getan ist.
Drei Jahre nach der Implementierung der SIEM/SOC-Lösung besteht das SOC-Team bei Red Bull aus ca. 100 Leuten. Im Vergleich dazu die Anzahl der Mitarbeiter: ca. 12.000, also sind weniger als 1% der Beschäftigten bei Red Bull in diese Security-Lösung involviert.

Die nächsten interessanten Zahlen aus seiner Präsentation: Wieviel Events generiert diese SIEM-Lösung pro Monat, und wieviel davon muss das SOC-Team verarbeiten? Aus 6 Mrd. Events im System generiert die Lösung von Radar 60 Mio. sicherheitsrelevante Events. Davon bleiben nach Verarbeitung durch SIEM nur noch 20 Events, die dem SOC-Team zur manuellen Prüfung vorgelegt werden.

Zur Vollständigkeit muss noch erwähnt werden, dass SIEM nur eines der angebotenen Module darstellt. Weitere Module sind vor allem die Netzwerkstromanalyse und die interne und externe Schwachstellenanalyse. Die Module sind einzeln buchbar, gestaffelt nach Anzahl IPs bzw. Zahl der Logfilequellen.

Andere Lösungen anderer Hersteller, die ich auf der it-sa gesehen habe, unterscheiden sich nicht wesentlich im technischen Ansatz. Modularität besteht bei allen. Der große Unterschied ist, dass Radar sein SIEM nur als Service anbietet, d.h. da ist ein SOC immer mit dabei. Die anderen verkaufen eher nur die Plattform, und um das Befüllen mit Daten und um das Auswerten muß der Kunde sich selbst kümmern. Dann bestehen noch Unterschiede darin, auf welches Modul sich die jeweilige Software fokussiert und wie lizensiert wird. Bei Radar Services wird nach Anzahl der Geräte lizensiert.

So auch bei LogPoint aus Dänemark. Sowohl am Stand von LogPoint als auch im LogPoint-Vortrag im Technikforum der it-sa wurde betont, dass LogPoint ihren Kunden hilft, die Datenschutzgrundverordnung (DSGVO) nicht nur einzuhalten, sondern das auch als Wettbewerbsvorteil im europäischen Wettbewerb zu nutzen. Angemerkt werden muss, dass die Software Verstöße erkennen kann, aber nicht verhindern.

Am Stand von Securonix wurde mir eine Anomaliedetektion vorgeführt.
Die SIEM-Plattform von Securonix ist auf UEBA (user and entity behaviour analytics) fokussiert. Lizensiert wird hier nach Zahl der User.

Am Beispiel eines Users, der zwei Wochen bevor er das Unternehmen verlässt, sich auf Rechnern einloggt, auf denen er sich sonst nie eingeloggt hat, ist die erste Stufe des  Verdachts auf Datenklau erreicht. Die zweite Stufe der Anomalie ist erreicht, als der User mehrere „permission denied“-Events erzeugt, beim Versuch des Zugriffs auf Dateien, auf die er keine Berechtigung hat. Ab welcher Stufe ein Sicherheitsadministrator alarmiert wird, ist konfigurierbar. Ob Maßnahmen ergriffen werden, obliegt menschlichem Ermessen. Ohne menschliches Zutun ist auch dieses Werkzeug nutzlos. Außerdem ist es nie ganz fertig. Es muss stetig an sich verändernde Bedingungen angepasst werden (Infrastruktur ändert sich, Gesetzlage ändert sich, Angriffsmethoden ändern sich, das eigene Wissen ändert sich).

Fazit der diesjährigen it-sa

Die Implementierung einer SIEM-Lösung ist nur eine der technischen Maßnahmen, IT-Sicherheit zu erhöhen. Wer alle wahrscheinlichen Angriffsszenarien berücksichtigen will, kommt um den Faktor Mensch nicht herum. Das ist das Fazit aus diversen Vorträgen, die ich im Technikforum angehört hatte. IT-Sicherheit muss im Alltag gelebt werden, Stichwort „Awareness“. Security muss als zusätzliche Ebene in Entscheidungsprozessen eingebaut werden. Ein Ist-Stand und eine Gefährdungsanalyse ist obligatorisch. Für den Notfall muss ein fertiges Handlungskonzept in der Schublade liegen.

Christian Weber vom TÜV Süd betonte in seinem Vortrag, „es ist absolut notwendig, Daten vor der Ablage in der Cloud zu verschlüsseln“ und nannte die Größenordnung, zu welchen Preisen Daten im „Darknet“ gehandelt werden: ca. 2 € für persönliche Daten auf einer Kreditkarte, ca. 20 € für einen Datensatz aus einer medizinischen Untersuchung. Alles hat seinen Preis, auch die IT-Sicherheit. Hört sich vielleicht nicht nach viel an, aber wenn Datenleaks publik werden und das Image der Firma sinkt oder gar die Wettbewerbsfähigkeit leidet, kann man den Wert der IT-Sicherheit gar nicht hoch genug einschätzen.

1 Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA *