Alles SIEM, oder was? – Netzwerk-Monitoring zur Sicherheitsüberwachung

Während Firewalls, Virtual Private Networks (VPN) und Anti-Viren-/Anti-Spam-Systeme sowie ein grundlegendes Verfügbarkeits-Monitoring des Netzwerks mittlerweile zur Standardausstattung gehören, sucht man Lösungen, die stetig den Stand der IT-Sicherheit (auch gegenüber internen Gefahren) überprüfen, oft noch vergeblich – besonders bei kleinen und mittleren Unternehmen (KMU), wo häufig das entsprechende Fachpersonal fehlt und der administrative Aufwand zu groß erscheint. Auch die bisweilen verwirrende Vielfalt und (teils vom Marketing getriebene) Bezeichnung technischer Angebote im Markt ist an dieser Stelle nicht hilfreich. Auf der anderen Seite ist die Bedrohungslage klar: Längst nicht alle Angriffe kommen von „außen“, sondern viele werden – absichtlich, unwillentlich oder versehentlich – von innen betrieben oder begünstigt (siehe etwa [1]), sodass klassische Perimeterschutzmechanismen hier nicht greifen.

Verwirrende Vielfalt

Um auch interne Zugriffe auf Netzwerk und Server wirksam überwachen und die eigenen Ressourcen schützen zu können, wurde daher mittlerweile eine ganze Reihe von Sicherheitssystemen entwickelt. Den Anfang haben Intrusion-Detection-/-Prevention-Systems (IDS/IPS) gemacht, die internes Verhalten (host- oder netzbasiert) analysieren und versuchen, Angriffe durch Muster zu erkennen und gegebenenfalls automatisierte Gegenmaßnahmen einzuleiten. Mitte 2003 fragte die in einem Beitrag „Intrusion Detection – Notwendigkeit oder Hype?“, wobei die Autoren bereits äußerten, dass „erheblicher Aufwand bei Einführung und Betrieb des IDS sowie der Integration in interne Organisationsprozesse entsteht, der oft unterschätzt wird“ [2]. Durch immens gewachsene Vernetzung, System- und Datenmengen sind IT-Administratoren heute häufig überfordert – eine lückenlose Überwachung lässt sich so kaum garantieren.

Mit steigender Mobilität und Vernetzung kamen etwas später Lösungen zur Network-Access-Control (NAC) auf den Markt, die als Grundlage für den Zugang zu internen Ressourcen während des Anmeldungsprozesses Endgeräte auf Richtlinienkonformität prüfen (etwa hinsichtlich Patchlevel oder Aktualität der Sicherheitssoftware). Allerdings stellen NAC-Systeme kein Allheilmittel gegen beliebige Sicherheitsprobleme dar – falsches Nutzerverhalten und Angriffe auf Applikationsebene lassen sich etwa nicht erkennen. Zudem sind sie nicht per se für IT- und OT-Umgebungen gleichermaßen geeignet und liefern keine umfassenden Erkenntnisse zum aktuellen IT-Sicherheitsgrad rein interner Systeme.

Nach verschiedentlichen Versuchen, diverse Securitymechanismen in organisationsweite „Dashboards“ zu integrieren, kamen letztlich Lösungen zum Security-Information- und -Event-Management (SIEM) auf, welche die vormals unterschiedlichen Produktkategorien des Security-Information- (SIM) und -Event-Managements (SEM) miteinander verbinden. SIEM-Lösungen sammeln relevante Protokoll-, Log- und Ereignisdaten aus verschiedensten Quellen und Bereichen – beispielsweise Security, Netzwerk, Server oder auch Anwendungen (siehe Abb. 1). Typische Beispiele für Quellen sind Firewalls, IDS-/IPS-Systeme, Anti-Malware-Software oder auch Web-Content-Gateways. Die aggregierten und korrelierten Daten werden dann in Echtzeit analysiert, um etwaige Sicherheitsprobleme zu erkennen und Ereignisse beziehungsweise Analyse-Ergebnisse hinsichtlich ihrer Bedeutung einzuordnen. Eine Kombination mit NAC-Systemen ist dabei durchaus erwünscht, da sich beide Mechanismen gegenseitig ergänzen können (vgl. [3]).

Next-Generation-Buzzwords

Security-Orchestration, Automation, and Response (SOAR) korreliert, ähnlich wie SIEM, ebenfalls Sicherheitsdaten aus verschiedenen Quellen – Herkunft und Menge der bezogenen Informationen unterscheiden sich jedoch: Während SIEM-Lösungen in erster Linie Protokoll- und Ereignisdaten aus traditionellen Infrastrukturquellen einsammeln, berücksichtigt SOAR beispielsweise auch externe Informationen wie Threat-Intelligence-Feeds von Sicherheits-Softwareanbietern oder -Dienstleistern. Diese Informationen werden mit einbezogen, um ein besseres Gesamtbild der Sicherheitslandschaft innerhalb und außerhalb des Unternehmensnetzwerks zu erhalten. SOAR hebt die Analyse damit auf eine andere Ebene, indem es zusätzliche Daten anreichert, die dann die Grundlage für die Weiterverfolgung von Alarmmeldungen bilden können. Beim Vergleich von SIEM und SOAR, liefert SIEM mehr oder minder nur den eigentlichen Alarm – danach liegt es am Administrator die weiteren Schritte einzuleiten. Mithilfe von SOAR lassen sich hingegen auch die jeweils notwendigen Arbeitsabläufe als Reaktion auf bestimmte Sicherheitsvorfälle automatisieren – SOAR kann auch aktiv auf Situationen reagieren und daher, vernünftig implementiert, die Effizienz eines IT-Teams deutlich steigern.

Zusätzlich zu mehr Server- und Netzwerksicherheit versuchen Hersteller (wieder einmal) die Kommunikationsendpunkte besser abzusichern. Gegen gezielte Attacken auf bestimmte Rechnersysteme empfehlen sich Lösungen zur Endpoint-(Threat)-Detection and -Response (EDR/ETDR). Diese Systeme versprechen präventiven Bedrohungsschutz, intelligente Analysen durch maschinelles Lernen und koordinierte Abwehrprozesse. Dabei werden nicht nur das Rechner-Betriebssystem, sondern auch seine Schnittstellen (z. B. USB) geschützt – so sollen sich Schwachstellen und Vorfälle auf Endgeräten erkennen und beseitigen lassen.

Als Weiterentwicklung von EDR wird Extended Detection and Response (XDR) gehandelt, das lokale Bedrohungsdaten mit externen Datenquellen (z. B. aus der Cloud) kombiniert. Dadurch bringt XDR unterschiedliche Sicherheitsaspekte zusammen und kann ein vollständigeres Bild von Angriffen liefern, die sich durch die integrierten Analysefunktionen schneller erkennen und besser abblocken lassen sollen. Zudem ist das System in der Lage, bösartigen Datenverkehr zurückzuverfolgen und einen Angriff nachträglich zu rekonstruieren. Zentralisierte Konfigurations- und Härtungsfunktionen sind ebenfalls in XDR-Lösungen enthalten und werden mit entsprechender Priorität als empfohlene Gegenmaßnahmen eingeleitet.

SIEM-Varianten

Konzentriert man sich auf das Monitoring und den Schutz von Server- und Netzwerksystemen, landet man unweigerlich bei SIEM-Systemen, die sich inzwischen auch als „Next-Generation SIEM“ oder „SIEM der 2. Generation“ bezeichnen und mit dem Attribut „künstliche Intelligenz“ (KI) beworben werden. Dabei kommen bei den Lösungen einschlägiger Hersteller (Übersicht siehe Tab. 1 auf S. 8) verschiedene Methoden zum Einsatz:

• Statistische Zeitreihenanalyse einzelner Metriken (z. B. Nutzerzahlen, Netzwerkbandbreite), um die Entwicklung über die Zeit als „Normalzustand“ zu ermitteln, diesen dynamisch fortzuschreiben und dann signifikante Abweichungen zu detektieren: Diese Fähigkeit ist in vielen kommerziellen Produkten und auch Open-Source-Bibliotheken und -Lösungen zu finden. Die Technik ist ressourcenschonend, aber nur als Ergänzung zu statischen Regelwerken verwendbar. Weiterhin arbeitet sie nur auf vorab definierten Metriken und numerischen Werten.
• Von Anbietern gepflegte statische Regelwerke, die gegen dynamische Listen für verdächtige Objekte (z. B. IP-Adressen, URLs, Hashes von Binärcode) vergleichen, wie IBM QRadar SIEM (www.ibm.com/de-de/security/security-intelligence), Tenable LCE (https://docs.tenable.com/lce/Content/Introduction.htm) oder McAfee Enterprise Security SIEM (www.mcafee.com/enterprise/dede/products/siem-products.html): Die Regelwerke werden dann im Zuge von Updates, beispielsweise monatlich, erneuert – die dynamischen Listen deutlich häufi ger. Die zugehörige Threat-Intelligence gewinnen die Anbieter durch unterschiedlichste Methoden wie manuelle Recherchen, Honeypots, statistische Analysen über mehrere Kunden hinweg oder die Analyse unstrukturierter Texte (z. B. Postings im Darknet). In allen Fällen ist eine dauerhafte Anbindung an die Systeme der Hersteller notwendig – oft auch die Übermittlung von eigenen Logdaten zur Korrelation mit anderen Kunden.
• User- and Entity-Behaviour Analysis (UEBA): Hierbei werden für einzelne Nutzeraktivitäten oder Entitäten (z. B. IP-Adressen, Serversysteme, Applikationen) Modelle des Normalverhaltens mittels statistischer Analysen oder Lernverfahren erstellt, um dann Abweichungen (Anomalien) erkennen zu können. Entsprechend einer Gartner-Analyse [4] werden hier, neben regelbasierten und statistischen Ansätzen, zunehmend auch Machine-Learning-Verfahren eingesetzt (Supervised/Unsupervised ML). Diese Lernverfahren nutzen ausgewählte Metriken zu einzelnen Datenfeldern der Events (z. B. Authentifizierungsvorgänge und Aktivitäten in Applikationen), deren zeitliche Entwicklung und Korrelation betrachtet werden. Solche Verfahren werden in vielen kommerziellen Produkten genutzt (z. B. IBM QRadar UBA App – www.ibm.com/de-de/products/qradar-user-behavior-analytics, LogRhythm UEBA – https://logrhythm.com/solutions/security/user-and-entity-behavior-analytics/, DarkTrace Enterprise – www.darktrace.com/de/ oder HPE ArcSight UBA – vgl. www.hp.com/au/en/hp-news/press-release.html?id=1964106).

Das Hauptproblem der fortgeschrittenen Lernverfahren besteht darin, dass sie eine sehr hohe Rechenleistung benötigen. Einzelne Anbieter verwenden sie deshalb punktuell zur Unterstützung anderer Techniken: DarkTrace nutzt etwa Deep-Learning-Techniken, um bessere Modelle für das Normalverhalten ausgewählter Objekte, etwa Smartphones, zu erzeugen, um so Endpunkte in einem komplexen Netzwerk automatisch klassifizieren zu können. Andere Lösungen wie der ArcSight ThreatDetector (www.microfocus.com/media/data-sheet/arcsight_threatdetector_ds.pdf) bilden erlerntes Wissen in statischen Regeln ab, die dann effizient ausgewertet werden können. Diese Regeln dienen aber nur dazu, bereits mehrfach in der Vergangenheit aufgetretene Muster effizient wiederzuerkennen.

Rechenintensive Lernverfahren finden nicht nur bei Clouddiensten zur Bereitstellung von Threat-Intelligence Anwendung, sondern auch bei Managed-SecurityServices (MSS), die SIEM-Systeme in der Cloud betreiben (z. B. Verizon Autonomous Threat Hunting – https://enterprise.verizon.com/service_guide/reg/autonomous-threathunting.pdf, LogRythm CloudAI – https://logrhythm.com/products/ logrhythm-cloudai/ oder DarkTrace Enterprise, Oracle Security Monitoring and Analytics Cloud Service – https://docs.oracle.com/en/cloud/ paas/management-cloud/omsma/). Derartige Cloud-Services werden in der Bedeutung noch zunehmen, da sie sowohl eine bessere technische Skalierung und Ressourcenauslastung bieten als auch dabei helfen, das Problem der Personalknappheit zu lösen.

Ein wesentlicher Nachteil der aktuell am Markt verfügbaren Lösungen ist, dass sie fast ausschließlich von nordamerikanischen Firmen angeboten werden und nur schwer mit europäischen Datenschutzanforderungen in Einklang zu bringen sind. Die angebotenen SIEM-Systeme sind in der Regel zudem sehr personalintensiv und mit hohen Kosten für Lizenzen und Hardware verbunden (siehe auch [5]). Lernverfahren übernehmen zwar einen Teil der Arbeit, es gibt aber – mit Ausnahme des ArcSight ThreatDetectors – keine Möglichkeit, die zur Erkennung von Anomalien verwendeten Regeln auszugeben und somit einer Überprüfung zugänglich zu machen. Hinzu kommt, dass sich kommerzielle Systeme auf klassische Enterprise-IT-Umgebungen spezialisiert haben und somit die abweichenden Anforderungen und Eigenschaften von Produktionsumgebungen nicht berücksichtigen (z. B. das Vermeiden aktiver Scans).

Forschungsansätze

Neben dem kommerziellen Markt sind auch Forschungsprojekte in den letzten 10 Jahren bestrebt gewesen, eine neue Form des Sicherheitsmonitorings einzuführen. Dabei wollten sie verschiedene Probleme lösen, die bei den bisherigen Anbietern zu kurz gekommen waren:

• Kosten: Die bisherigen SIEM-Herstellerlösungen sind relativ kostenintensiv und daher für viele Organisationen – vor allem KMU – nicht finanzierbar. Neben den Lizenzkosten ergeben sich auch hohe Kosten für Einrichtung, Wartung und Betrieb.
• Bedienbarkeit: Das häufig fehlende Expertenwissen im IT-Sicherheitsumfeld soll in SIEM-Systemen durch eine leichtere Handhabung der Bedienoberfläche (GUI) ausgeglichen werden, erfordert aber immer noch das Spezialwissen eines Datenanalysten (vgl. Abb. 1).
• Datenflut: Das Protokollieren von Daten und die Konsolidierung der Datensätze führen zu einem Big-Data-Problem, das ebenfalls kostspielige Storage-Lösungen nach sich zieht.
• Intelligente Anomalie-Erkennung: Die meisten SIEM-Lösungen setzen noch zu sehr auf statische Regelwerke und Statistikanalyse zur Erkennung von Anomalien – daher werden noch zu viele False-Positive-Meldungen angezeigt.

Tabelle 2 zeigt eine Auswahl relevanter Forschungsprojekte in diesem Umfeld, ohne einen Anspruch auf Vollständigkeit zu erheben. Alle besitzen dabei einen anderen Schwerpunkt: So arbeitete beispielsweise AMSEL an einer automatisierten Schadsoftware-Erkennung, da täglich rund 100.000 neue Malware-Probes auflaufen, welche klassische Signatur-Prüfungen schnell an ihre Grenzen führen – hier lag der Schwerpunkt daher speziell auf unbekannten Sicherheitslücken. CLEARER arbeitete hingegen eng mit einem NAC-System zusammen, um eine IT-Compliance-Steuerung und einheitliche Bearbeitung von Sicherheitsvorfällen zu ermöglichen. ScanBox wiederum möchte ein vollautomatisiertes Sicherheitssystem zur Erhebung, Darstellung und Verbesserung der Netzwerk- und Informationssicherheit liefern: Die aufgenommenen Daten werden monatlich gesammelt, in einem Report ausgewertet und dann wieder gelöscht – so vermeidet man eine Datenflut, liefert aber der IT-Abteilung dennoch eine aussagekräftige Auswertung für den jeweiligen Monat. In GLACIER will man die Angriffserkennung durch die Entwicklung einer intelligenten Analyse-Engine mit eigenem Algorithmus verbessern – auch hier geht es um die Erkennung noch unbekannter Anomalien. VisITMeta hatte sich hingegen der Visualisierung verschrieben, um Datenflüsse und -prozesse sichtbar und damit begreifbar zu machen. Überdies gibt es noch Projekte wie SEC-I4.0, die sich mit den Anforderungen von Industrienetzen (Industrie 4.0) beschäftigen, die durch SIEM-Hersteller bisher vernachlässigt wurden.

Open-Source zur Kostensenkung

Die Kosten will man in vielen der genannten Projekte durch den Einsatz von Open-SourceSoftware (OSS, vgl. Abb. 2) niedrig halten – und erhält so zusätzlich den Vorteil, in keine Herstellerabhängigkeit zu geraten oder Hintertüren im Source-Code befürchten zu müssen. Gefundene Fehler werden bei OSS häufig offen und zeitnah kommuniziert, sodass eine Behebung schnell erfolgen kann; Weiterentwicklungen oder Anpassungen auf Drittsysteme sind ebenfalls leichter umsetzbar. Allerdings ist bei Forschungsprojekten auch zu bedenken, dass sie in den meisten Fällen keine konkreten Produkte, sondern eher nur neue Ansätze hervorbringen. Diese findet man dann oft erst später in etablierten Herstellerlösungen wieder.

Fazit

Unternehmen haben heute mehrheitlich begriffen, dass IT-Sicherheit ein elementarer Bestandteil ihrer Geschäftsprozesse sein muss, um sich gegenüber Angreifern abzusichern. Allerdings wird dabei ein recht unterschiedlicher Aufwand betrieben: Während das Monitoring der Verfügbarkeit auch bei KMU zum Stand der Technik gehört, fehlt es zumindest dort noch häufig an vergleichbaren Systemen zum Monitoring der IT-Sicherheit. Diese Lücke können im Prinzip intelligente SIEM-Systeme füllen, was aber oft an den Kosten oder der Infrastruktur scheitert.

Weiterentwicklungen wie SOAR und XDR ermöglichen die Integration von externen Wissensdatenbanken oder Sicherheitsexperten, automatisierte Gegenmaßnahmen und Einbeziehung von Cloud-Systemen. Allerdings sind solche Funktionen längst nicht in allen deutschen Unternehmen erwünscht – hier sollte man das Für und Wider sorgsam und vorurteilsfrei abwägen.

Prof. Dr.-Ing. Kai-Oliver Detken studierte Informationstechnik an der Universität Bremen und promovierte im Fachbereich Informatik. Heute ist er Geschäftsführer der DECOIT GmbH (www.decoit.de), doziert an der Hochschule Bremen und arbeitet als freier Autor im IT-Umfeld.

Literatur

[1] Arne Dreißigacker, Bennet von Skarczinski, Gina Rosa Wollinger, Cyberangriffe gegen Unternehmen in
Deutschland, Ergebnisse einer repräsentativen Unternehmensbefragung 2018/2019, KfN Forschungsbericht Nr. 152, Februar 2020, https://kfn.de/wp-content/uploads/Forschungsberichte/FB_152.pdf
[2] Dr. Alfred Scheerhorn, Jens Nedon und Norbert Book, Intrusion Detection – Notwendigkeit oder Hype?, 2003#3, S. 35, online abrufbar via http://previous.kes.info/archiv/heft/abonnent/03-3/03-3-035.htm
[3] Kai-Oliver Detken, Carsten Kleiner, Marius Rohde, Marion Steiner, IT-Sicherheitsanalyse durch NAC-Systeme mit SIEM-Funktionalität, in: Peter Schartner, Andrea Baumann (Hrsg.), DACH Security 2017, syssec, ISBN 978-3-00-057290-6, online verfügbar via www.clearerproject.de/files/clearer/download/CLEARER_DACHSecurity2017.pdf
[4] Kelly Kavanagh, Toby Bussa, Gorka Sadowski, Gartner Magic Quadrant for Security Information and Event Management, Februar 2020, www.gartner.com/en/documents/3981040/magic-quadrant-for-security information-and-event-manage (kostenpflichtig)
[5] Bettina Weßelmann, Johannes Wiele, KI braucht Zuwendung, Über die Arbeit mit regelbasierter und anomaliegestützter Bedrohungserkennung, 2019#3, S. 70