Wenn es um Security Monitoring geht, fallen oft die Begriffe SIEM, SOAR, SOC, CSIRT und viele mehr… Doch was bedeuten diese eigentlich? In diesem Beitrag möchten wir diese Fragen beantworten und näher auf diese Begriffe eingehen.
SIEM vs SOAR
SOAR (Security Orchestration, Automation and Response) und SIEM (Security Information and Event Management) – zwei Begriffe, die sich in der Cybersicherheit etabliert haben und viele Gemeinsamkeiten aufweisen. Beide Lösungen sammeln Sicherheitsinformationen aus verschiedenen Quellen. Dennoch grenzen sie sich hinsichtlich ihrer Funktion deutlich voneinander ab.
Sowohl SIEM- als auch SOAR-Tools zielen darauf ab, dasselbe Problem zu lösen: Im Allgemeinen geht es hier um den Umgang mit der Fülle an sicherheitsrelevanten Informationen und Ereignissen, die moderne Unternehmen generieren.
Die SIEM-Technologie selbst ist nicht neu und reicht über ein Jahrzehnt zurück. SIEM-Anwendungen sammeln und aggregieren Daten aus verschiedenen internen und externen Quellen, um anomales Verhalten zu identifizieren, das auf einen Cyberangriff hinweisen kann. Ohne ein SIEM müssten IT-Abteilungen tausende Zeilen Logfiles manuell auswerten und interpretieren.
Die Hauptfunktionen einer SIEM-Anwendung besteht darin, Anomalien in einer Vielzahl von Datenquellen zu erfassen, zu normalisieren, zu korrelieren, zu aggregieren und zu erkennen. Anschließend werden die entsprechenden Parteien benachrichtigt, wenn verdächtiges Verhalten erkannt oder konfigurierbare Alarme ausgelöst werden.
Wie praktisch wäre es jedoch, wenn ein Großteil der Analysen und Reaktionen automatisiert würden? Und genau hier kommt Security Orchestration, Automation and Response (SOAR) ins Spiel.
SOAR ist eine Kombination aus Programmen, welche aus unterschiedlichsten Quellen ergänzende Daten über Sicherheitsbedrohungen sammeln und ohne menschliche Eingriffe automatisch Aktionen auf bestimmte Sicherheitsereignisse einleiten.
Vergleicht man nun SIEM und SOAR, liefert das SIEM mehr oder minder nur den eigentlichen Alarm. Danach liegt es am IT-Team die weiteren Schritte einzuleiten. Mithilfe von SOAR werden auch die jeweils notwendigen Arbeitsabläufe als Reaktion auf bestimmte Sicherheitsvorfälle automatisiert und damit die Effizienz deutlich gesteigert.
Security Monitoring / SOC / CSIRT
Im Bereich IT-Sicherheit findet seit einigen Jahren ein Paradigmenwechsel statt: Der Aufbau hoher Mauern schützt die IT nicht mehr wirksam. Es stehen zu viele Einfallstore für Angreifer zur Verfügung.
Der heutige Ansatz stellt die zeitnahe Erkennung von IT-Sicherheitsrisiken in den Vordergrund. Sie ist der Ausgangspunkt für die richtigen Reaktionsmaßnahmen, das Vorhersagen und das Verhindern von potenziellen Schäden. Die Lösung für dieses Problem ist ein laufendes…
Security Monitoring
Security Monitoring bezeichnet zunächst einmal die kontinuierliche Überwachung der Sicherheit von IT-Systemen. Ziel ist die Erkennung von Anomalien und verdächtigen Vorgängen, die Hinweis auf eine Cyberattacke sein können. Diese Hinweise werden geprüft und bewertet, um dann ggf. zeitnah die angemessenen Gegenmaßnahmen einleiten zu können. Oftmals werden die Begriffe „Security Monitoring“ und „SIEM“ (Security Information and Event Management) synonym verwendet. Dabei gibt es Unterschiede im Leistungsumfang.
Das SIEM ist das zugrundeliegende System. Dabei werden im ersten Schritt, softwaregestützt Daten aus verschiedensten Log-Quellen (z.B. Firewall, Active Directory) gesammelt und ein einheitliches, verständliches Format gebracht und bei verdächtigen Aktivitäten im Netzwerk Alarm schlagen.
Das Security Monitoring geht noch einen Schritt weiter als SIEM. Hier kommt wesentlich mehr menschliche Analysearbeit hinzu. Dabei rückt die konkrete Interpretation der gesammelten Informationen in den Fokus. Ob und welche Aktivitäten im Netzwerk verdächtig sind und welche nicht, kann von der zu überwachenden Systemstruktur und dem Nutzerverhalten abhängig sein. Klare Regeln kristallisieren sich erst während des laufenden Betriebs des Security Monitoring heraus. Das Monitoring wird angelernt, kontinuierlich weiterentwickelt und dadurch immer effizienter.
Zusammenfassend lässt sich also sagen, dass Security Monitoring zur Erkennung, Analyse und Abwehr von potenziellen Sicherheitsvorfällen dient. Durch ein SIEM werden die gesammelten Daten korreliert und zentral ausgewertet. Die Korrelation der Daten ermöglicht es, Muster und Trends zu identifizieren, die vom gewohnten Schema abweichen. Diese Analysen erfolgen nahezu in Echtzeit, wodurch die besonders schnelle Reaktion auf Sicherheitsvorfälle ermöglicht wird.
SOC
Ein Security Operations Center (SOC), teils auch unter der Bezeichnung Cyber Defense Center bekannt, geht noch einen Schritt weiter als Security Monitoring. Kurz gesagt dient ein SOC der zeitnahen Erkennung von Sicherheitsvorfällen und ist 24/7 im Einsatz. Die Besonderheit eines SOC, im Vergleich zu anderen Security-Lösungen, ist dessen Kombination aus Experten, Werkzeugen und Prozessen. Mit dem Ziel, IT-Sicherheitsrisiken zu verhindern, entdecken, analysieren, bewerten, deren Behebung zu beschreiben und zu kontrollieren sowie im Bedarfsfall bei der Umsetzung von Maßnahmen zu unterstützen und Beweissicherung einzuleiten.
In der Regel ist ein SOC dreistufig aufgebaut:
- Tier 1
- Tier 2
- Tier 3
Tier-1-Analysten sind mit der Echtzeit-Überwachung betraut. Sie erhalten im SIEM Alarmmeldungen, die nach standardisierten Regeln zu untersuchen sind: „Wenn X passiert, untersuche Y.“ Auf diese Weise können sie Tickets meist in wenigen Minuten bearbeiten. (Security Monitoring)
Tier-2-Analysten sind erfahrenere und höher qualifizierte Security Experten. Sie untersuchen die Vorfälle, die Tier-1-Analysten nicht lösen können. Wenn Bedrohungen zu schwerwiegend oder zeitintensiv sind, führen sie tiefere Analysen durch. Sie kümmern sich um Vorfälle, bei denen weitere Datenquellen angefragt oder IT-Verantwortliche konsultiert werden müssen.
Darüber hinaus gibt es Tier-3-Analysten, die oft auch als „Threat Hunters“ bezeichnet werden. Ihre Rolle ist in erster Linie proaktiv. Sie sollen durch Penetrationstests oder auf der Basis neuer Bedrohungen und Schwachstellen vorbeugend Lücken in der Sicherheitsarchitektur finden. Sie beobachten zum Beispiel die Warnmeldung der Security-Hersteller. Zudem kommen Sie bei Advanced Persistent Threats (APTs) zum Einsatz, dämmen komplexe Attacken ein und betreiben IT-Forensik.
CSIRT
Jedes Unternehmen muss trotz allen Sicherheitsvorkehrungen damit rechnen, früher oder später Opfer einer Cyberattacke zu werden. Die Frage ist also nicht ob, sondern wann es einen selbst trifft. Das Ausmaß der Schäden hängt wesentlich davon ab, wie schnell und wie effektiv reagiert wird, sobald der Fall der Fälle eintritt. Die Herausforderung ist also, sich der Gefahr bewusst zu sein, die notwendigen Vorbereitungen auf das Unplanbare zu treffen und zu wissen, was im Ernstfall zu tun ist. Die Lösung: Computer Security Incident Response.
Ein CSIRT (Computer Security Incident Response Team) kümmert sich um die effektive und effiziente Behandlung von schweren Sicherheitsvorfällen. Bestehend aus qualifizierten Spezialisten aus verschiedenen Fachgebieten hat ein CSIRT folgende Aufgaben: Sicherheitsvorfälle identifizieren, eindämmen und den Normalbetrieb wiederherstellen. Dazu braucht es, neben den entsprechenden Fähigkeiten, Methoden und Werkzeugen, auch viel Training. Das ist mit erheblichem Aufwand verbunden.
In Unternehmen, die sich mit der Einrichtung bzw. Beauftragung eines Security Monitorings bzw. SOC beschäftigen, sollte bereits ein grundlegendes IT-Sicherheitskonzept vorhanden sein. Aufbauend darauf sollten entsprechende Sicherheitslösungen wie SIEM, IDS, Anti-Malware und Log Management implementiert werden. Diese bilden die Grundlage für ein optimal funktionierendes Security Monitoring.
Weitere Beiträge zu diesem Thema
CSIRT – Die Meisterklasse der Cybersicherheit, aus Anovis-Blog, veröffentlicht am 16.08.2021
Wir stellen vor: Das Anovis Security Monitoring, aus Anovis-Blog, veröffentlicht am 02.08.2021