Das Ziel dieser Arbeit ist es, eine Methodik für die Sicherheitsanalyse von IT-Infrastrukturen zu entwickeln. Hierbei werden die Themen IT-Strukturanalyse und die Schutzbedarfsfeststellung von IT-Anwendungen und IT-Systemen behandelt. Die Analyse wird anhand von Loginformationen aus IT-Anwendungen und IT-Systemen durchgeführt.
Für die Auswertung und Sammlung dieser Daten wird ein Security Information and Event Management (kurz SIEM) System verwendet. Des Weiteren wird eine allgemeine Übersicht über das Thema IT-Sicherheit gegeben. Es soll eine Möglichkeit aufgezeigt werden, wie eine Grundabsicherung der IT-Infrastruktur erfolgen kann. Hierbei steht die automatische Verarbeitung mittels des SIEM-Systems im Mittelpunkt. Zu Darstellungszwecken wird als SIEM-System die Anwendung Splunk verwendet. Mit den gesammelten Informationen werden Anwendungsfälle für bestimmte Angriffsszenarien erstellt und die zu überwachenden Komponenten näher erläutert.
Inhaltsverzeichnis
1 Einleitung
1.1 Zielsetzung
1.2 Gliederung der Arbeit
2 International Organization for Standardization
3 Plan-Do-Check-Act-Modell in der IT-Sicherheit
4 IT-Strukturanalyse
4.1 IT-Anwendungen und IT-Systeme
4.2 Schutzbedarfsfeststellung
4.3 Schwachstellenanalyse
4.3.1 Bedrohungsmatrix
4.3.2 Bedrohungsbaum
5 IT-Monitoring
5.1 Security Information and Event Management
5.2 Datenquellen für das SIEM-System
6 Splunk als Security Information and Event Management System
6.1 Splunk-Komponenten
6.2 Splunk-Topologien
6.3 Datenverarbeitung in Splunk
6.4 Splunk-Suche und -Berichte
6.5 Splunk-Alarmierung
6.6 Splunk-Apps und Add-Ons
6.7 Zugriffsrollen in Splunk
7 Vulnerability Management und Patch Management
8 Use Cases
8.1 Use Case – IT-Anwendungen
8.1.1 Mailserver
8.1.2 Antivirensoftware
8.1.3 Microsoft WSUS
8.1.4 Nessus
8.1.5 Datensicherung
8.1.6 Splunk Forwarder und Server
8.2 Use Case – IT-Systeme
8.2.1 Firewall-Systeme
8.2.2 Switches
8.2.3 E-Mail-Gateways
8.2.4 Active Directory
8.2.5 DNS-Server
8.2.6 Windows- und Linux-Server
9 Fazit
Zielsetzung & Themen
Die vorliegende Arbeit zielt darauf ab, eine Methodik für die systematische Sicherheitsanalyse von IT-Infrastrukturen zu entwickeln, wobei der Fokus auf der automatisierten Auswertung von Loginformationen mittels eines SIEM-Systems (Splunk) liegt.
- Entwicklung eines Vorgehensmodells für die SIEM-Integration basierend auf dem PDCA-Zyklus.
- Durchführung einer IT-Strukturanalyse zur Identifikation schutzbedürftiger Anwendungen und Systeme.
- Erstellung von Use Cases zur Überwachung spezifischer Bedrohungsszenarien.
- Integration von Vulnerability Management zur proaktiven Schwachstellenerkennung.
- Analyse von Zugriffsrollen und Berechtigungskonzepten innerhalb einer Splunk-Umgebung.
Auszug aus dem Buch
6.2 Splunk-Topologien
Die Komplexität einer Abfrage und die Anzahl gleichzeitiger aktiver Benutzer auf einem Splunk-Server kann sehr performance-intensiv werden. In einer Splunk-Infrastruktur können unterschiedlich Topologien aufgebaut werden, die sich in der Verarbeitungsgeschwindigkeit der Informationen unterscheiden. Um eine optimale Performance der Splunk-Infrastruktur zu gewährleisten, wird in diesem Kapitel auf die vier Grundtopologien einer Splunk-Umgebung eingegangen.
Die Topologien können an die Anforderungen des Unternehmens angepasst werden, bauen allerdings immer auf diesen vier Topologien auf.
- Departmental
Die Departmental-Topologie besteht meistens aus einem Splunk-Server, der als Indexer und als Splunk Search Head fungiert. Alle Splunk-Clients senden die Informationen direkt an diesen Server.
Zusammenfassung der Kapitel
1 Einleitung: Diese Einleitung beleuchtet die steigende Bedeutung der IT-Sicherheit und die Zunahme von Schwachstellen in Unternehmensnetzwerken.
2 International Organization for Standardization: Ein Überblick über die ISO 27000-Reihe sowie die Bedeutung des IT-Grundschutzes für die Informationssicherheit.
3 Plan-Do-Check-Act-Modell in der IT-Sicherheit: Erläuterung des PDCA-Zyklus als kontinuierlicher Verbesserungsprozess innerhalb der IT-Sicherheitsstrategie.
4 IT-Strukturanalyse: Detaillierte Erfassung und Kategorisierung von IT-Systemen und Anwendungen sowie deren Schutzbedarf, unter Verwendung von Bedrohungsanalysen.
5 IT-Monitoring: Beschreibung der Ziele des Monitorings und Einführung in Security Information and Event Management (SIEM) sowie die Nutzung von RSS-Feeds und Twitter als Datenquellen.
6 Splunk als Security Information and Event Management System: Umfassende Darstellung des Splunk-Konzepts, inklusive Komponenten, Suchsprache (SPL), Alarmierung und Konfigurationsmöglichkeiten.
7 Vulnerability Management und Patch Management: Erläuterung der Bedeutung von Schwachstellen-Scans mittels Nessus und der Dokumentation fehlender Sicherheits-Updates.
8 Use Cases: Konkrete Anwendungsfälle zur Überwachung verschiedener IT-Komponenten, wie Mailserver, Firewall-Systeme oder Active Directory.
9 Fazit: Zusammenfassende Bewertung der vorgestellten Methodik und Ausblick auf die Notwendigkeit automatisierter SIEM-Analysen.
Schlüsselwörter
IT-Sicherheit, SIEM, Splunk, IT-Monitoring, Schwachstellenanalyse, Vulnerability Management, Patch Management, PDCA-Modell, Bedrohungsbaum, IT-Strukturanalyse, Log-Analyse, Informationssicherheit, ISO 27000, Netzwerkanalyse, Use Cases
Häufig gestellte Fragen
Worum geht es in dieser Bachelorarbeit grundsätzlich?
Die Arbeit beschäftigt sich mit dem Aufbau und der Implementierung einer Methodik zur Sicherheitsanalyse von IT-Infrastrukturen unter Nutzung eines SIEM-Systems.
Welches SIEM-System wird als Beispiel verwendet?
Als praktisches Beispiel für die Umsetzung der SIEM-Methodik wird die Software Splunk verwendet.
Was ist das Ziel des vorgestellten Vorgehensmodells?
Das Ziel ist es, eine Struktur zu schaffen, mit der IT-Systeme kontinuierlich überwacht, Schwachstellen erkannt und Sicherheitsvorfälle durch gezielte Use Cases identifiziert werden können.
Welche wissenschaftliche Methode wird zur Analyse herangezogen?
Die Autorin nutzt das PDCA-Modell (Plan-Do-Check-Act) als Basis, um einen kontinuierlichen Verbesserungsprozess für die IT-Sicherheit zu etablieren.
Welche Rolle spielen Bedrohungsbäume?
Bedrohungsbäume dienen der Modellierung potenzieller Angriffsvektoren, um daraus die notwendigen Überwachungsmaßnahmen für spezifische IT-Systeme abzuleiten.
Warum ist die IT-Strukturanalyse notwendig?
Sie bildet die Basis, um alle relevanten Systeme zu erfassen und deren Schutzbedarf festzulegen, was für die spätere Priorisierung im SIEM-System entscheidend ist.
Wie werden externe Informationen in die Sicherheitsüberwachung eingebunden?
Durch die Einbindung von RSS-Feeds (z. B. von Herstellern oder CERT-Stellen) und Twitter-Meldungen kann das System aktuelle Sicherheitswarnungen proaktiv verarbeiten.
Wie regelt Splunk den Zugriff auf die gesammelten Daten?
Der Zugriff wird über verschiedene Benutzerrollen (z. B. Admin, Power, User) gesteuert, um sicherzustellen, dass nur autorisierte Personen Zugriff auf sensible Informationen haben.
Wie unterstützt Nessus den Sicherheitsstatus?
Nessus wird als Vulnerability-Scanner eingesetzt, um regelmäßig Schwachstellen und fehlende Patches auf den IT-Systemen zu identifizieren und an das SIEM-System zu melden.
Was bedeutet das "Maximumprinzip" im Kontext der Schutzbedarfsfeststellung?
Das Maximumprinzip besagt, dass sich der Schutzbedarf eines IT-Systems nach demjenigen Schaden richtet, der die schwerwiegendsten Auswirkungen bei einer Beeinträchtigung hätte.
- Arbeit zitieren
- Mansur Arslan (Autor:in), 2016, IT-Sicherheit mit einem SIEM-System, München, GRIN Verlag, https://www.grin.com/document/385414
