IT-Sicherheit mit einem SIEM-System


Bachelorarbeit, 2016

71 Seiten, Note: 2,3


Leseprobe

Inhaltsverzeichnis

1 Einleitung
1.1 Zielsetzung
1.2 Gliederung der Arbeit

2 International Organization for Standardization

3 Plan-Do-Check-Act-Modell in der IT-Sicherheit

4 IT-Strukturanalyse
4.1 IT-Anwendungen und IT-Systeme
4.2 Schutzbedarfsfeststellung
4.3 Schwachstellenanalyse
4.3.1 Bedrohungsmatrix
4.3.2 Bedrohungsbaum

5 IT-Monitoring
5.1 Security Information and Event Management
5.2 Datenquellen für das SIEM-System

6 Splunk als Security Information and Event Management System
6.1 Splunk-Komponenten
6.2 Splunk-Topologien
6.3 Datenverarbeitung in Splunk
6.4 Splunk-Suche und -Berichte
6.5 Splunk-Alarmierung
6.6 Splunk-Apps und Add-Ons
6.7 Zugriffsrollen in Splunk

7 Vulnerability Management und Patch Management

8 Use Cases
8.1 Use Case – IT-Anwendungen
8.1.1 Mailserver
8.1.2 Antivirensoftware
8.1.3 Microsoft WSUS
8.1.4 Nessus
8.1.5 Datensicherung
8.1.6 Splunk Forwarder und Server
8.2 Use Case – IT-Systeme
8.2.1 Firewall-Systeme
8.2.2 Switches
8.2.3 E-Mail-Gateways
8.2.4 Active Directory
8.2.5 DNS-Server
8.2.6 Windows- und Linux-Server

9 Fazit

10 Literaturverzeichnis

Abbildungsverzeichnis

Abbildung 1: Zukünftige Bedeutung der IT-Sicherheit

Abbildung 2: Anzahl Schwachstellen 2015 nach BSI

Abbildung 3: Vorgehensmodell

Abbildung 4: Aufnahme ins SIEM-System

Abbildung 5: ISO-Standards

Abbildung 6: PDCA-Modell

Abbildung 7: Vorgehensmodell und das PDCA-Modell

Abbildung 8: Netztopologieplan

Abbildung 9: Bedrohungsbaum

Abbildung 10: IT-Monitoring

Abbildung 11: SIEM-System

Abbildung 12: SIEM-Prinzip

Abbildung 13: Splunk-Datenquellen

Abbildung 14: Auszug Logdateien

Abbildung 15: Identifikation in Logdateien

Abbildung 16: Benutzerrollen in Splunk

Abbildung 17: Splunk Deployment Clients

Abbildung 18: Splunk Deployment Server Apps

Abbildung 19: Splunk Server Class

Abbildung 20: Splunk-Departmental-Topologie

Abbildung 21: Splunk-Small-Enterprise-Topologie

Abbildung 22: Splunk-Medium-Enterprise-Topologie

Abbildung 23: Splunk-Large-Enterprise-Topologie

Abbildung 24: Datenimport in Splunk

Abbildung 25: Event Processing

Abbildung 26: Splunk-Netzwerk

Abbildung 27: Splunk-Suche

Abbildung 28: Search Pipeline

Abbildung 29: Suchmodi

Abbildung 30: Field Discovery deaktiviert

Abbildung 31: Field Discovery aktiviert

Abbildung 32: Suche speichern

Abbildung 33: Splunk-Apps

Abbildung 34: Schwachstellen-Scan mit Nessus

Abbildung 35: Analyseergebnis benötigter Windows Patches mit Nessus

Abbildung 36: Use Cases und das PDCA-Modell

Abbildung 37: Exemplarische Darstellung Bedrohungsbaum Antivirensoftware

Abbildung 38: Exemplarische Darstellung Bedrohungsbaum 1 Firewall

Abbildung 39: Exemplarische Darstellung Bedrohungsbaum 2 Firewall

Abbildung 40: Exemplarische Darstellung Bedrohungsbaum Spam-Mails

Abbildung 41: Exemplarische Darstellung Bedrohungsbaum Active Directory

Abbildung 42: DNS-Server Angriffe

Tabellenverzeichnis

Tabelle 1: IT-Systeme und IT-Anwendungen

Tabelle 2: Schutzbedarfsklassen

Tabelle 3: Schutzbedarfsfeststellung für IT-Anwendungen und IT-Systeme

Tabelle 4: Schematische Darstellung einer Bedrohungsmatrix

Tabelle 5: Splunk-Topologien im Überblick

Tabelle 6: Rollen für IT-Anwendung und IT-System in Splunk

Tabelle 7: Nessus-Funktionen

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

Nach einer Studie, die im Jahr 2011 durch das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) und dem Unternehmen secunet Security Networks AG durchgeführt wurde, gaben 60 % der befragten Manager und über 50 % der IT-Abteilungsleiter an, dass die Bedeutung der IT-Sicherheit in Zukunft steigen werde (siehe nächste Abbildung).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Zukünftige Bedeutung der IT-Sicherheit[1]

In einer weiteren Studie des BSI aus dem Jahr 2015 wird ersichtlich, dass sich die Schwachstellen im Jahr 2015 gegenüber dem Jahr 2014 stark erhöht haben (siehe Abbildung 2). Diese Sicherheitslücken werden von Hackern ausgenutzt, um in Unternehmensnetzwerke einzudringen. Diese Daten verdeutlichen, dass von Jahr zu Jahr die Gefahr für Unternehmen, Opfer eines Hackerangriffs zu werden, kontinuierlich steigt.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Anzahl Schwachstellen 2015 nach BSI[2]

Angriffe auf IT-Anwendung oder IT-System erfolgen über das Internet oder das Intranet. Um die IT-Infrastruktur besser zu schützen, muss ein Unternehmen in der Lage sein, alle relevanten IT-Systeme, die für eine Überwachung und Kontrolle in Frage kommen, zu bestimmen. Im zweiten Schritt müssen die Informationen, die durch diese Systeme erzeugt werden, gesammelt und analysiert werden. Welche IT-Anwendungen und IT-Systeme beachtet werden sollten, wird in dieser Ausarbeitung erläutert.

1.1 Zielsetzung

Das Ziel dieser Ausarbeitung ist es, eine Methodik für die Sicherheitsanalyse von IT-Infrastrukturen zu entwickeln. Die Analyse soll mittels Loginformationen aus IT-Anwendungen und IT-Systemen erfolgen. Für die Auswertung und Sammlung dieser Daten soll ein Security Information and Event Management (kurz SIEM) System genutzt werden.

Abbildung 3 verdeutlicht die Schritte, die für eine Aufnahme in ein SIEM-System notwendig sind. Der Abschluss einer Phase liefert ein Ergebnis, welches in der darauffolgenden Phase genutzt wird.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3: Vorgehensmodell

Als Erstes erfolgt die IT-Strukturanalyse, die als Ergebnis alle IT-Anwendungen und IT-Systeme eines Unternehmens dokumentiert. Diese Systeme werden für die Schutzbedarfsfeststellung benötigt. In dieser Phase werden den Systemen die Schutzbedarfsklassen zugewiesen. Diese Klassen bestehen aus vier Stufen; für die Erstellung der Use Cases werden nur die IT-Anwendungen und IT-Systeme mit den Klassen „hoch“ und „sehr hoch“ berücksichtigt. Am Schluss dieses Prozesses werden die Use Cases anhand der IT Security Policy aufgebaut. Des Weiteren werden die relevanten Systeme aus den Anwendungsfällen in der letzten Phase durch das Vulnerability- und Patch-Management in regelmäßigen Abständen auf Schwachstellen überprüft.

Abbildung 4 zeigt die Daten, die im SIEM-System aufgenommen und für die Analyse verwendet werden. Hierbei handelt es sich um die zu überwachenden Dienste, Loginformationen, RSS- und Twitter-Feeds. Zusätzlich werden die ermittelten Informationen aus dem Vulnerability- und Patch-Management im SIEM-System aufgenommen und analysiert.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 4: Aufnahme ins SIEM-System

Des Weiteren wird eine allgemeine Übersicht über das Thema IT-Sicherheit gegeben. Es soll eine Möglichkeit aufgezeigt werden, wie eine Grundabsicherung der IT-Infrastruktur erfolgen kann. Hierbei steht die automatische Verarbeitung mittels des SIEM-Systems im Mittelpunkt. Zu Darstellungszwecken wird als SIEM-System die Anwendung Splunk verwendet.

Mit den gesammelten Informationen werden Anwendungsfälle für bestimmte Angriffsszenarien erstellt und die zu überwachenden Komponenten näher erläutert.

1.2 Gliederung der Arbeit

Am Anfang dieser Ausarbeitung soll eine Übersicht der vorhandenen Standards in der Informationstechnologie aufgezeigt werden. Hierbei geht es um die Standards der 27000-Reihe der International Organization for Standardization (kurz ISO).

Damit ein ständiger Verbesserungsprozess mit in die weiteren Überlegungen einfließen kann, wird im nächsten Schritt das Plan-Do-Check-Act Modell besprochen. Für das weitere Vorgehen werden die Themen IT-Strukturanalyse, Schutzbedarfsfeststellung und die Schwachstellenanalyse näher erläutert. Die unterschiedlichen Überwachungs- und Kontrollmöglichkeiten mittels der Informationstechnologie werden in Kapitel 5 näher betrachtet und die Unterschiede dieser Systeme dargestellt.

Kapitel 6 beschäftigt sich mit dem eigentlichen Splunk-Konzept und den vorhandenen Möglichkeiten. Die meisten SIEM-Systeme sind in vielen Funktionalitäten miteinander vergleichbar. Diese Arbeit beschränkt sich auf Splunk, wobei die Konzepte aus allen anderen Kapiteln auch auf andere SIEM-Systeme angewendet werden können. Die gesammelten Informationen aus dem Kapitel IT-Strukturanalyse fließen in dieses Kapitel mit ein.

In meiner Ausarbeitung „Datenquellen für ein SIEM-System“ wurden die Datenquellen aufgezeigt, die für eine Analyse in Frage kommen können. Zusätzlich zu diesen Quellen werden einige Weitere in diesem Abschnitt näher betrachtet.

In Kapitel 7 werden die Möglichkeiten erläutert, mit deren Hilfe Sicherheitslücken in IT-Infrastrukturen lokalisiert werden können. Die Lokalisierung wird mittels weiterer IT-Anwendungen durchgeführt. Eine ausführlichere Beschreibung dieser Anwendungen ist nicht Teil dieser Arbeit.

Am Ende dieser Ausarbeitung werden Anwendungsfälle für IT-Sicherheitsvorfälle erstellt. Mittels Bedrohungsbäumen werden potenzielle Angriffsmöglichkeiten aufgezeigt und die hierdurch resultierenden Kontroll- und Überwachungsrichtlinien erstellt.

2 International Organization for Standardization

„Die International Organization for Standardization (ISO) ist ein Netz nationaler Standardisierungsinstitute. In ihr sind mehr als 160 Länder vertreten, jedes durch ein Mitglied. Das Zentralsekretariat der ISO hat seinen Sitz in Genf in der Schweiz und koordiniert das Gesamtsystem.“[3]

Im deutschsprachigen Raum ist der IT-Grundschutz des BSI weit verbreitet. Dieser Grundschutz ist nach der ISO 27000-Reihe ausgerichtet und soll Unternehmen bei der Frage „Wie kann ich, wo und mit welchen Mitteln, mehr Sicherheit erreichen?“ unterstützen. Die IT-Grundschutz-Webseiten stellen Hilfsmittel, wie z. B. Baustein- und Maßnahmenkataloge, für Unternehmen bereit, mit deren Hilfe sie den Anforderungen der ISO-Standards gerecht werden können.

„Ein weiteres Ziel des IT-Grundschutzes ist es, den Aufwand im Informationssicherheitsprozess zu reduzieren, indem bekannte Vorgehensweisen zur Verbesserung der Informationssicherheit gebündelt und zur Wiederverwendung angeboten werden.“[4]

Abbildung 5 stellt eine Übersicht der ISO 27000-Reihe dar.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 5: ISO-Standards[5]

- ISO 27000 ­– Begriffe

„Dieser Standard gibt einen allgemeinen Überblick über Managementsysteme für Informationssicherheit (ISMS) und über die Zusammenhänge der verschiedenen Standards der ISO-2700x-Familie. Hier finden sich außerdem die grundlegenden Prinzipien, Konzepte, Begriffe und Definitionen für ISMS.“[6]

ISMS steht für „Information Security Management System“. Die Voraussetzung für ein ISMS ist das PDCA-Prozessmodell, mit dessen Hilfe dieses System aufgebaut und gepflegt wird. Das PDCA-Modell wird in Kapitel 3 weiter erläutert.

- ISO 27001 – ISMS-Anforderungen „Der ISO-Standard 27001 Information technology - Security techniques - Information security management systems requirements specification ist der erste internationale Standard zum Management von Informationssicherheit, der auch eine Zertifizierung ermöglicht. ISO 27001 gibt allgemeine Empfehlungen unter anderem zur Einführung, dem Betrieb und der Verbesserung eines dokumentierten Informationssicherheitsmanagementsystems auch unter Berücksichtigung der Risiken.“[7]

Dieser Standard überlässt den Unternehmen die detaillierte Auswahl der Prozesse und Einzelmaßnahmen. Das BSI stellt mit seinem IT-Grundschutz für einzelne Anwendungsbereiche konkrete Vorgehensweisen und Einzelmaßnahmen zur Verfügung.

- ISO 27002 – Code of Practice „Das Ziel von ISO 27002 Information technology Code of practice for information security management ist es, ein Rahmenwerk für das Informationssicherheitsmanagement zu definieren. ISO 27002 befasst sich daher hauptsächlich mit den erforderlichen Schritten, um ein funktionierendes Sicherheitsmanagement aufzubauen und in der Organisation zu verankern. Die Empfehlungen sind in erster Linie für die Management-Ebene gedacht und enthalten daher kaum konkrete technische Hinweise.“[8]

- ISO 27003 – Implementation Leitfaden zur Umsetzung des Standards ISO 27001.

- ISO 27004 – Kennzahlen messen Leitfaden für die regelmäßige Überprüfung des ISMS.

- ISO 27005 – Risk Management „Dieser ISO-Standard Information security risk management enthält Rahmenempfehlungen zum Risikomanagement für Informationssicherheit. Unter anderem unterstützt er bei der Umsetzung der Anforderungen aus ISO/IEC 27001. Hierbei wird allerdings keine spezifische Methode für das Risikomanagement vorgegeben.“[9]

- ISO 27007 – Audits Hilfestellung zum Audit des ISMS.

- ISO TR 27008 – Technische Audits Leitfaden für Auditoren bei der Implementierung und dem Betrieb von Sicherheitsmaßnahmen.

3 Plan-Do-Check-Act-Modell in der IT-Sicherheit

„Sicherheit ist ein bewegliches Ziel, da sich Sicherheits- und Kontinuitäts- sowie risikospezifische Anforderungen, Bedrohungen und Schwachstellen kontinuierlich verändern. Um dem Rechnung zu tragen, sollten diese Prozesse einen Verbesserungsprozess enthalten. Hierzu lässt sich der Deming- bzw. PDCA-Zyklus nutzen.“[10]

Das Plan-Do-Check-Act-Modell, auch PDCA-Modell genannt, wird durch das Management initiiert. Dies geschieht durch das Finalisieren der Anforderungen durch das Management und das beginnt der PDCA-Zyklus. Alle Phasen werden nacheinander durchlaufen und am Ende des Zyklus beginnt der gesamte Prozess von vorne. In der Phase Act werden neben allen zuvor gesammelten Erkenntnissen weitere Anforderungen platziert. Hierdurch werden neue Sicherheitserkenntnisse oder Anwendungsbereiche mitberücksichtigt und im nächsten Durchgang des Modells aufgenommen.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 6: PDCA-Modell

„Im Rahmen dieses Modells werden Abläufe einmalig von der Unternehmensleitung initiiert. Hierüber erfolgt der Einstieg in die Planung und Konzeption (Plan). Diese beginnt immer mit der Festlegung der Ziele. Hierbei sollten als wesentliche Elemente die Sicherheitsziele und -strategien von der Unternehmensleitung definiert werden.“[11]

- Planen – Phase Plan

- Geschäftsprozesse prüfen und deren Kritikalität bestimmen

- Schutzbedarf für Daten, Informationen und Geschäftsprozesse bestimmen

- Sicherheitsmaßnahmen festlegen

- Durchführen – Phase Do

Umsetzung der Sicherheitsmaßnahmen aus der Phase Plan, beispielsweise:

- Präventivmaßnahmen

§ Datensicherung

§ Möglichst große Bandbreite von Sicherheitsvorfällen erkennen und behandeln

- Notfallmanagement

§ Geschäftsprozesse definieren

- Prüfen – Phase Check

Funktionalität und Eignung einer umgesetzten Schutzmaßnahme aus der Phase Do überprüfen

- Schutzmaßnahmen müssen dokumentiert sein

- Kriterien zur Prüfung müssen definiert sein

- Die Qualität wird anhand der umgesetzten Schutzmaßnahmen ermittelt

- Verbessern – Phase Act

- Erkannte Fehler korrigieren oder das bestehende Risiko dulden und melden

- Anpassung der Pläne und Konzepte

- Neue Anforderungen

Die folgende Abbildung verdeutlicht das Vorgehensmodell aus der Abbildung 3 mittels dem PDCA-Modell.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 7: Vorgehensmodell und das PDCA-Modell

4 IT-Strukturanalyse

„Die Strukturanalyse dient der Vorerhebung von Informationen, die für die weitere Vorgehensweise in der Erstellung eines Sicherheitskonzepts nach IT-Grundschutz benötigt werden. Dabei geht es um die Erfassung der Bestandteile (Informationen, IT-Anwendungen, IT-Systeme, Räume, Kommunikationsnetze), die zur Erfüllung der im Geltungsbereich festgelegten Geschäftsprozesse oder Fachaufgaben benötigt werden.“[12]

Die vorliegende Ausarbeitung konzentriert sich auf IT-Anwendungen und IT-Systeme. Diese Systeme generieren die meisten Loginformationen und sind dadurch für eine Korrelation mittels eines SIEM-Systems gut geeignet.

Die durch die IT-Strukturanalyse ermittelten Informationen werden in Kapitel 8 bei der Erstellung von „Use Cases“ weiterverwendet.

Die Ausgangsbasis für diese Analyse ist ein Netztopologieplan, mit dessen Hilfe die weiteren technischen Analysen durchgeführt werden. Abbildung 8 verdeutlicht exemplarisch, wie ein Netztopologie Plan aussehen könnte.

In dieser Ausarbeitung wird der Netztopologieplan aus Abbildung 8 als Referenz genommen. Alle IT-Anwendungen oder IT-Systeme beziehen sich auf diesen Netztopologieplan.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 8: Netztopologieplan

4.1 IT-Anwendungen und IT-Systeme

„IT-Anwendungen unterstützen die Organisation bei der Abwicklung von Geschäftsprozessen oder Verwaltungsverfahren, um Dienstleistungen für sich selbst oder seine Kunden zu erbringen.“[13]

„Der Schutzbedarf einer Anwendung resultiert in der Regel aus dem Schutzbedarf der damit verarbeiteten Informationen und wird mit dem Fachbereich zusammen festgelegt.“[14]

Als IT-System wird jedes technische System bezeichnet, das Daten und Datenträger verarbeitet. Der Schutzbedarf der IT-Anwendungen muss bei der Schutzbedarfsanalyse der IT-Systeme miteinbezogen werden. Dies bedeutet, dass alle relevanten Schäden von IT-Anwendungen in der Gesamtheit betrachtet werden müssen.

Folgende vier Punkte müssen bei der Analyse für IT-Systeme berücksichtigt werden.

- Maximumprinzip

„Im Wesentlichen bestimmt der Schaden bzw. die Summe der Schäden mit den schwerwiegendsten Auswirkungen den Schutzbedarf eines IT-Systems (Maximumprinzip).“[15]

- Beachtung von Abhängigkeiten „Eine, für sich betrachtet, weniger bedeutende Anwendung A kann wesentlich an Wert gewinnen, wenn eine andere, wichtige Anwendung B auf ihre Ergebnisse angewiesen ist. In diesem Fall muss der ermittelte Schutzbedarf der Anwendung B auch auf die Anwendung A übertragen werden.“[16]

- Kumulationseffekt IT-Systeme, auf denen mehrere kleinere Anwendungen laufen, sind durch kleinere Schäden dieser einzelnen Anwendungen gefährdet.

Jeder Schaden wird kumuliert und es entsteht ein höherer Schutzbedarf für das betroffene IT-System.

- Verteilungseffekt Es existieren IT-Anwendungen mit einem hohen Schutzbedarf. Die unwesentlichen Teilbereiche einer solchen Anwendung können auf andere IT-Systeme ausgelagert sein. Hierdurch muss das System mit dem unwesentlichen Teilbereich nicht unbedingt in derselben Schutzbedarfsklasse eingetragen werden wie das eigentliche Hauptsystem.

Eine IT-Infrastruktur besteht meist aus sehr vielen Einzelobjekten. Bei einer Einzelerfassung dieser Objekte wird die IT-Strukturanalyse aufgrund der Datenmenge und der Komplexität nicht mehr handhabbar. Daher sollten gleichartige IT-Systeme oder IT-Anwendungen zu Gruppen zusammengefasst werden, um einen besseren Überblick zu gewährleisten.

In Tabelle 1 sind die IT-Systeme aus Abbildung 8 und deren IT-Anwendungen dargestellt.

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 1: IT-Systeme und IT-Anwendungen

4.2 Schutzbedarfsfeststellung

„Ziel der Schutzbedarfsfeststellung ist es, für die erfassten Systeme zu entscheiden, welchen Schutzbedarf sie bezüglich Vertraulichkeit, Integrität und Verfügbarkeit besitzen. Dieser Schutzbedarf orientiert sich an den möglichen Schäden, die mit einer Beeinträchtigung der betroffenen Systeme verbunden sind.“[17]

- Vertraulichkeit

Bezeichnet die Eigenschaft, dass die Informationen nur für autorisierte Personen zugänglich sind.

- Integrität

Die zu schützenden Daten dürfen nur durch autorisierte Personen verändert werden.

- Verfügbarkeit

Die Verfügbarkeit von IT-Anwendungen oder IT-Systemen muss in einem vereinbarten Zeitrahmen zur Nutzung durch autorisierte Personen gewährleistet sein.

Die Vorgehensweise der Festlegung des Schutzbedarfs gliedert sich in zwei Schritte:

1. Fachliche Schutzbedarfsfeststellung und Dokumentation des Schutzbedarfs für die IT-Anwendung

2. Technische Schutzbedarfsfeststellung der IT-Systeme mit Berücksichtigung der IT-Anwendungen durch die IT-Abteilung

Die Schutzbedarfsfeststellung ist ein turnusmäßiger Prozess, der bei Veränderungen der Rahmenbedingungen durchgeführt werden muss. Zur Unterstützung dieses Prozesses kann das PDCA-Modell aus Kapitel 3 Hilfestellung bieten. Eine Aktualisierung der Schutzbedarfsfeststellung wird generell durchgeführt, wenn neue IT-Anwendungen/IT-Systeme eingeführt oder bestehende verändert werden.

Jeder Fachbereich legt seine eigenen Schutzbedarfsklassen fest. Die Aufgabe des IT-Sicherheitsbeauftragten beruht hier nur in der Kommunikation mit dem Fachbereich und der Dokumentation der gesammelten Ergebnisse.

Die Einstufung eines Schadens ist immer abhängig von dem Unternehmen, welches diese Klassenzuweisung durchführt. Daher muss jedes Unternehmen abwägen, welche Klasse welcher IT-Anwendung bzw. welchem IT-System zugeordnet werden sollte. Der Schutzbedarf wird nach dem BSI in drei Schutzbedarfskategorien eingeordnet. In dieser Arbeit wurden diese Kategorien um eine vierte Schutzbedarfskategorie ergänzt. Wie die Schutzbedarfsklassen aussehen könnten, wird in Tabelle 2 näher erläutert.

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 2: Schutzbedarfsklassen

An diesem Punkt greifen wir Tabelle 1 aus Kapitel 4.1 auf und ergänzen diese mit den dazugehörigen Schutzbedarfsklassen. Da der Schutzbedarf einer IT-Anwendung sich auf die IT-Systeme projiziert, wird in der nächsten Tabelle nur der Schutzbedarf der IT-Anwendungen berücksichtigt.

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 3: Schutzbedarfsfeststellung für IT-Anwendungen und IT-Systeme

4.3 Schwachstellenanalyse

Schwachstellen beziehen sich nicht nur auf technische Systeme, sondern auch auf organisatorische Maßnahmen. Jedes System und jede Maßnahme hat eine Schwachstelle. In dieser Ausarbeitung werden lediglich Schwachstellen an der IT-Infrastruktur betrachtet.

„Schwachstellen können in jeder Phase des Entwicklungsprozesses eines Systems aus Hard- und/oder Softwarekomponenten entstehen. Diese Schwachstellen können in folgende Kategorien eingeordnet werden:

Anforderungsfehler

- Die Anforderungen sind in Bezug auf die Sicherheit fehlerhaft oder unzureichend.
Designfehler
- Die Spezifikation der IT-Anwendung oder des IT-Systems genügt nicht den Anforderungen und enthält Schwachstellen.
Implementierungsfehler
- Die Implementierung einer Spezifikation weicht von der Spezifikation ab und kann daher von Angreifern ausgenutzt werden.
Installations- und Administrationsfehler
- Bei der Installation oder Administration der IT-Anwendung oder des IT-Systems wurde eine Schwachstelle geschaffen, beispielsweise eine Sicherheitsfunktion ausgeschaltet.“[18]

Der Mensch

- Die meisten Anwender sehen die von ihnen genutzten Computer, Anwendungen oder Computernetzwerke als Werkzeuge, die sie bei der Umsetzung ihrer Arbeit unterstützen. Deshalb werden z. B. schwache Kennwörter verwendet, Anwendungen aus nicht autorisierten Quellen auf den Computersystemen installiert oder infizierte Anhänge aus einer Spam-Mail geöffnet.

Die Erfassung aller Schwachstellen ist eine komplexe Aufgabe. Um dieses Vorgehen zu unterstützen, kann eine sogenannte Bedrohungsmatrix oder ein Bedrohungsbaum für die Analyse verwendet werden.

4.3.1 Bedrohungsmatrix

„Bei dieser Vorgehensweise klassifiziert man zunächst die Gefährdungsbereiche; sie bilden die Zeilen in der Matrix. Die Zeilen könnten z. B. folgende Punkte beinhalten:

- Bedrohungen durch externe Angriffe
- Bedrohungen der Datenintegrität und der Vertraulichkeit (interne Angriffe)
- Bedrohung der Verfügbarkeit und der Ressourcennutzung (Denial-of-Service-Angriffe)
- Abstreiten durchgeführter Aktionen
- Missbrauch erteilter Berechtigungen (Rechtemissbrauch)“[19]

Die Spalten dieser Matrix werden mit den Auslösern von Bedrohungen befüllt. Tabelle 4 verdeutlicht eine schematische Darstellung einer Bedrohungsmatrix:

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 4: Schematische Darstellung einer Bedrohungsmatrix

4.3.2 Bedrohungsbaum

Die Analyse der Bedrohungen kann auch mittels eines Bedrohungsbaums (engl. attack tree) durchgeführt werden. „Die Wurzel eines Bedrohungsbaumes definiert ein mögliches Angriffsziel und damit eine mögliche Bedrohung des Systems. Der Bedrohungsbaum für das gewählte Angriffsziel wird nun so aufgebaut, dass zunächst in der nächsten Ebene des Baumes Zwischenziele definiert werden, die zur Erreichung des Gesamtzieles beitragen.“[20] Die Blätter eines Bedrohungsbaums können mittels UND- bzw. ODER-Verknüpfungen miteinander verbunden werden, um komplexere Darstellungen von Bedrohungen darstellen zu können. Abbildung 9 stellt einen Angriff dar, der als Ziel den Zugriff auf sensible Daten hat. Der Bedrohungsbaum wird von unten nach oben gelesen. Das erste Ziel ist das Anmelden am System oder der Zugriff auf die Datensicherungen. Falls ein Angreifer sich am System anmelden kann, wird dieser in der Lage sein, auf sensible Daten zuzugreifen. Bei der Datensicherung können die Daten zurückgesichert werden.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 9: Bedrohungsbaum

All diese Schwachstellen bieten eine sehr große Angriffsfläche für Angreifer.

„Es existieren Informationsdienste, die Schwachstellen-Informationen, Risikoeinschätzungen und Vorschläge zur Behebung von Schwachstellen anbieten.“[21] Diese Informationsdienste bestehen aus IT-Sicherheitsfachleuten, die zu einem sogenannten Computer Emergency Response Team (kurz CERT) gehören. Dieses Team arbeitet an konkreten IT-Sicherheitsvorfällen mit dem Ziel, Warnungen vor Sicherheitslücken und deren Lösungsansätze anzubieten.

Zwei dieser Anbieter sind beispielsweise das CERT der Bundesverwaltung (kurz CERT-Bund) und das S-CERT der Sparkassen-Finanzgruppe (kurz S-CERT).

Die Bundesverwaltung stellt ein RSS-Feed bereit, mit dessen Hilfe in regelmäßigen Abständen neue Informationen direkt von der Webseite des Bundes abgeholt werden können. Das S-Cert bietet eine Benachrichtigung per E-Mail an.

5 IT-Monitoring

„Ziel des Monitoring unter Verfügbarkeitsfokus ist es, durch geeignete Überwachungsmethoden und -techniken in einem möglichst frühen Stadium potentielle Gefährdungen der Verfügbarkeit zu erkennen und deren Ursachen zu beseitigen. Die Erfassung und Auswertung von Daten aus der Überwachung ermöglichen die Ermittlung von Trends und Prognosen bezüglich des zukünftigen Systemverhaltens.“[22]

Fehlverhalten von Benutzern und Angriffe auf die IT-Infrastruktur zu protokollieren ist wichtig, da ohne eine solche Maßnahme Angriffsversuche oder erfolgreiche Angriffe nicht aufgedeckt werden können. Zusätzlich können diese Informationen für die Computerforensik verwendet werden, um die Schwachstellen ausfindig zu machen, die ausgenutzt worden sind. Eine Vorhersage über die zukünftige Nutzung von IT-Ressourcen (z. B. CPU-, RAM- oder Speicherplatz) wäre mit diesen Daten zusätzlich möglich. Durch diese Daten wären Unternehmen in der Lage, frühzeitig auf Engpässe oder Probleme zu reagieren.

„Die nächste Abbildung verdeutlicht, das die Überwachung, die (Früh-)Erkennung und die Ereignisreaktion jeweils als Teilprozesse in gesamten IT-Monitoring zu verstehen sind, in die nicht nur das reine Überwachen der Betriebsparameter, sondern auch deren Auswertung, die Generierung von Alarmen oder die Auslösung von Aktionen beinhalten.“[23]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 10: IT-Monitoring[24]

Ziele des IT-Monitoring sind:

- Vermeidung / Verringerung von Downtimes
- Bessere und schnellere Ursachenermittlung
- Kürzere Reaktionszeiten durch automatische Benachrichtigung
- Früherkennung zukünftiger Probleme und deren Vermeidung
- Planung der zukünftigen Nutzung von Ressourcen
- Überwachung der Verfügbarkeit der IT-Infrastruktur

5.1 Security Information and Event Management

Bevor das Security Information and Event Management näher betrachtet wird, werden zwei weitere Systeme kurz erläutert. Beim ersten System handelt es sich um das „Security Information Management“, kurz SIM. SIM steht für die zentrale Sammlung, Übertragung, Speicherung, Analyse und Weiterleitung von Logdaten. Das SIM-System analysiert automatisch Logmeldungen und prüft diese auf Grenzwertüberschreitungen. Falls Grenzwerte überschritten werden, sendet das System eine Alarmmeldung an einen zuvor definierten Benutzerkreis. SIM-Systeme können auch für das Reporting genutzt werden. Das Security Event Management, kurz SEM, stellt das zweite System dar. „Es besitzt ähnliche Funktionalitäten wie ein SIM-System. Zusätzlich zu den SIM-Funktionen korreliert das SEM-System Logdateien anhand definierter Richtlinien miteinander und wird oft für die Echtzeitüberwachung eingesetzt.“[25]

Aus diesen beiden IT-Anwendungen ist das „Security Information and Event Management System“ entstanden. Diese neue Anwendung wird auch als SIEM-System bezeichnet und vereint die Funktionen des SIM und des SEM zu einer Anwendung.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 11: SIEM-System

SIEM-Systeme sind in der Lage, Ereignisse zu erkennen und Gegenmaßnahmen einzuleiten. Die Auswertung dieser Ereignisse wird anhand von Logdateien, die von verschiedenen IT-Systemen oder IT-Anwendungen an das SIEM-System gesendet werden, durchgeführt. Diese Logdateien werden zusätzlich auf dem SIEM-Server archiviert, um eine lückenlose Dokumentation aller Ereignisse zu gewährleisten. Damit ist ein Unternehmen in der Lage, alle Vorfälle der letzten Tage, Monate oder auch Jahre revisionssicher abzulegen und bei Bedarf Reports über diese Ereignisse zu generieren. Das SIEM-System wertet hierfür Millionen von Meldungen aus und korreliert diese miteinander. Die Datenmengen werden nach bestimmen Kriterien gefiltert und soweit komprimiert, dass dem Benutzer nur noch die notwendigen Informationen präsentiert werden. Abbildung 12 verdeutlicht die Prozessschritte der Informationskomprimierung.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 12: SIEM-Prinzip

Anwender können sich diese Informationen in einem sogenannten Dashboard z. B. als Tortendiagramm, Tabelle oder als Text ansehen. Diese Oberflächen sind meist für jeden Benutzer individuell konfigurierbar.

Des Weiteren können SIEM-Systeme folgende Aufgaben durchführen:

- Überwachung, Abbildung und Dokumentation der IT-Infrastruktur
- Abbilden von Workflows
- Dokumentation von Konfigurationsänderungen
- Bereitstellung von Audit- und Reportfunktionen

Um die Datenmenge auf ein Minimum zu reduzieren, sollten nicht alle vorhandenen Informationen in das SIEM-System importiert oder weitergeleitet werden. Welche Daten von IT-Anwendungen oder IT-Systemen in ein SIEM-System weitergeleitet werden sollen, wird in der Schwachstellenanalyse ermittelt. In Kapitel 8 werden einige Use Cases näher erläutert.

5.2 Datenquellen für das SIEM-System

In meiner Projektarbeit „Datenquellen für die Datenintegration in ein SIEM-System“ wurden die Datenquellen von Client-, Server- und Netzwerksystemen, die für eine Analyse in Frage kommen könnten, weitestgehend erläutert. Für weitere Informationen bezüglich dieser Quellen sei hier auf diese Ausarbeitung verwiesen.

Zusätzlich zu diesen Quellen ist es zu empfehlen, die Datenquellen aus RSS-Feeds und Twitter-Meldungen einzubeziehen. Der Vorteil dieser Quellen ist die schnelle Verbreitung von Informationen über das Internet. Somit kann ein Unternehmen schnell auf Bedrohungen reagieren. Wichtig hierbei ist es, dass nur vertrauliche Quellen genutzt werden, um „false positive“-Meldung zu vermeiden.

Rich Site Summary Feeds (RSS -Feeds)

RSS-Feeds wurden früher generell für Webblogs und Wikis verwendet, um Inhalte für andere Webseiten oder Benutzer zur Verfügung zu stellen. RSS steht für „Rich Site Summary“ beziehungsweise für „Really Simple Syndication“.

Ein RSS-Feed ist eine auf XMLbasierende Datei, die für die Inhaltsverbreitung von Webseiten im Web genutzt wird. Diese Feeds werden genutzt, um Änderungen von Webseiten zu überwachen. Durch ein RSS-Dokument wird ein RSS-Kanal zu einer Webseite aufgebaut, der den Abonnenten mit kurzen Informationsblöcken versorgt.

Ein RSS-Dokument besteht aus:

- einem Titel
- einer Kurzbeschreibung
- dem Veröffentlichungsdatum
- dem Autor
- weiteren Verweisen.

Diese Feeds können mittels eines RSS-Parsers ausgelesen und für die Überwachung von verschiedenen Meldungen oder Vorfällen in ein SIEM-System eingebunden werden. In diesem Punkt geht es hauptsächlich um die Überwachung kürzlich aufgetretener Sicherheitsrisiken oder Sicherheitsvorfällen, wie z. B. einer Verbreitung von neuen Computerviren oder Sicherheitslücken in Anwendungen.

Twitter

Twitter ist eine Echtzeit-Anwendung für das sogenannte Mikroblogging. Mikroblogging sind kurze Textnachrichten, die von verschiedenen Benutzern veröffentlicht werden. Diese Nachrichten können eine Länge von 140 Zeichen enthalten. Die Twitter-Webseite wird heute als Kommunikationsplattform für viele Themen genutzt, da eine Verbreitung von Nachrichten sehr schnell durchgeführt wird. Diese Nachrichten werden Tweets genannt und können Unicode-Zeichen, Hashtags, Links zu Webseiten oder Bilder enthalten. Mit einem Hashtag werden in Texten bestimmte Wörter oder Zeichen hervorgehoben.

Wie bei RSS-Feeds können diese Tweets mit einem Parser ausgelesen und ausgewertet werden.

Bevor diese zusätzlichen Quellen in die Überwachung eingebunden werden, muss gewährleistet sein, dass nur Informationen von verifizierten Quellen in das Überwachungssystem eingebunden werden. Durch dieses Vorgehen sollen „false positive“-Meldungen soweit wie möglich minimiert werden.

6 Splunk als Security Information and Event Management System

Splunk wurde aus dem englischen Wort „spelunking“, was so viel bedeutet wie „Höhlen erforschen“, abgeleitet. Das Wort Splunk steht für „Maschinendaten erforschen“.

Splunk ist eine plattformunabhängige Software zur Speicherung, Verarbeitung und Visualisierung von Logdateien. Zusätzlich zu den Datenquellen aus Kapitel 5.1.1 können folgende Daten in Splunk importiert werden:

- Webserverdaten
- Benutzerklicks auf einer Webseite
- GPS-Daten
- Sensordaten
- Daten von Netzwerkgeräten
- Datenbanken-Logdateien
- Verzeichnisse
- Windows-Systeminformationen

Daten können in Splunk auf zwei Arten importieren werden. Entweder über „Splunk Forwarder“ oder „Agent-Less Data Input“.

Im „Splunk-Forwarder“-Verfahren wird auf den zu überwachenden Clients der Splunk Forwarder installiert. Dieser Agent kommuniziert mit dem Splunk-Server und sendet die Client-Informationen an den Splunk-Server. Im zweiten Verfahren (Agent-Less) werden z. B. Logdateien direkt auf einem Netzwerklaufwerk für die Indizierung verwendet. Zusätzlich kann beim Agent-Less-Verfahren die Syslog-Funktionalität genutzt werden. Abbildung 13 stellt beide Verfahren schematisch dar.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 13: Splunk-Datenquellen

Im Prinzip können alle Datenquellen in Splunk integriert werden, die in der Lage sind, strukturierte (Character-separated Values (CSV) Dateien) oder unstrukturierte Daten (Textdateien) zu erzeugen.

Der Splunk-Server erhält keine vorgefilterten Daten, sondern die gesamten Logdateien. Dadurch können auch vermeintlich unwichtige Informationen durchsucht werden. Auf den ersten Blick sind Logdateien unorganisiert und sehr unübersichtlich. In Abbildung 14 werden Logdateien von vier unterschiedlichen Systemen dargestellt.

[...]


[1] BSI, Studie zur IT-Sicherheit in KMU 2011, S. 29

[2] BSI, Die Lage der IT-Sicherheit in Deutschland 2015, S. 10

[3] Müller, IT-Sicherheit mit System 2014, S. 609

[4] Vgl. BSI, Leitfaden Informationssicherheit 2012, S. 65

[5] Vgl. Kersten, Reuter und Schröder, IT-Sicherheitsmanagement nach ISO 27001 und Grundschutz 2013, S. 14

[6] BSI, BSI-Standard 100-1 2008, S. 9

[7] Vgl. BSI, BSI-Standard 101-1 2008, S. 9

[8] Vgl. BSI, BSI-Standard 101-1 2008, S. 9

[9] Vgl. BSI, BSI-Standard 101-1 2008, S. 9

[10] Vgl. Müller, IT-Sicherheit mit System 2014, S. 553

[11] Vgl. BSI, Studie zur IT-Sicherheit in KMU 2011, S. 37

[12] Vgl. BSI, BSI-Standard 100-2 2008, S. 39

[13] Kersten und Klett, Der IT Security Manager 2015, S. 23

[14] Vgl. BSI, BSI-Standard 100-2 2008, S. 41softwareuchhaltungren.rzichtet. resultiert in der Regel aus dem Schutzbedarf der damit verarbeiteten Informationen.

[15] Vgl. BSI, BSI-Standard 100-2 2008, S. 54

[16] BSI, BSI-Standard 100-2 2008, S. 54

[17] Vgl. BSI, BSI-Standard 100-2 2008, S. 49

[18] Vgl. Kappes, Netzwerk- und Datensicherheit 2013, S. 6

[19] Vgl. Eckert, IT-Sicherheit Konzepte – Verfahren – Protokolle 2014, S. 197

[20] Eckert, IT-Sicherheit Konzepte – Verfahren – Protokolle 2014, S. 199

[21] Vgl. Kersten und Klett, Der IT Security Manager 2015, S. 87

[22] BSI, „Band B, Kapitel 10: Überwachung“, 2013, S. 5

[23] Vgl. BSI, „Band B, Kapitel 10: Überwachung“, 2013, S. 5

[24] BSI, „Band B, Kapitel 10: Überwachung“, 2013, S. 5

[25] Vgl. Maier, Was SIM und SEM von SIEM unterscheidet, 2013, S. 4

Ende der Leseprobe aus 71 Seiten

Details

Titel
IT-Sicherheit mit einem SIEM-System
Hochschule
Technische Hochschule Köln, ehem. Fachhochschule Köln
Note
2,3
Autor
Jahr
2016
Seiten
71
Katalognummer
V385414
ISBN (eBook)
9783668600799
ISBN (Buch)
9783668600805
Dateigröße
3537 KB
Sprache
Deutsch
Schlagworte
it-sicherheit, siem-system, Security information and event management, IT-Strukturanalyse
Arbeit zitieren
Mansur Arslan (Autor), 2016, IT-Sicherheit mit einem SIEM-System, München, GRIN Verlag, https://www.grin.com/document/385414

Kommentare

  • Noch keine Kommentare.
Im eBook lesen
Titel: IT-Sicherheit mit einem SIEM-System



Ihre Arbeit hochladen

Ihre Hausarbeit / Abschlussarbeit:

- Publikation als eBook und Buch
- Hohes Honorar auf die Verkäufe
- Für Sie komplett kostenlos – mit ISBN
- Es dauert nur 5 Minuten
- Jede Arbeit findet Leser

Kostenlos Autor werden