Log Source Management: Leistungssteigerung & Effizienzgewinn für das SIEM

Keyfacts:

• Die Anforderungen an die IT-Sicherheit von Finanzdienstleistern und Versicherern sind durch immer häufigere Cyberangriffe sowie durch regulatorische Vorgaben deutlich gestiegen.
• Die größten Schwachstellen liegen in der Identifikation und regelbasierten Auswertung von sicherheitsrelevanten Informationen aus den an ein Security Information Event Management (SIEM) angeschlossenen Assets.
• Das Log Source Management leistet einen wesentlichen Beitrag bei der Erfassung von Log-Quellen sowie der Analyse von Daten zur Früherkennung von IT-Bedrohungen im Rahmen des SIEM.

Bereits heute steht ein breites Spektrum an Möglichkeiten zur Mitigation von IT-Security-Risiken zur Verfügung. Dazu gehören unter anderem das Identity und Access Management (IAM), High-Privileged User Management (HPU/PIM) und Consent Management sowie risikobasierte Zugriffskontrollen, Multifaktor-Authentifizierungen und vieles mehr. Allerdings entwickeln Cyber-Angreifer ihre Vorgehensweisen kontinuierlich weiter, so dass Finanzdienstleister und Versicherer ihre Systeme laufend an die sich verändernden Bedrohungslagen anpassen müssen. Um Gefahren darüber hinaus frühzeitig erkennen und richtig einschätzen zu können, sind sie auf die strukturierte Erhebung von Protokolldaten ihrer relevanten Assets angewiesen.

Regulatorik stellt umfassende Anforderungen an operative Informationssicherheit

Auch die BaFin hat diese Schwachstelle erkannt und auf unzureichende Investitionen in Systemen zur Früherkennung von Cyber-Angriffen hingewiesen. Aus diesem Grund wurden mit Blick auf die operative Informationssicherheit die BAIT (August 2021) und VAIT (Februar 2022) deutlich erweitert.

Gefordert ist seither ein zentrales Monitoring, das potenzielle Bedrohungslagen des Informationsverbunds frühzeitig identifiziert, indem sicherheitsrelevante Informationen zeitnah, regelbasiert und zentral ausgewertet sowie bereitgestellt werden. Darüber hinaus müssen die Informationen bei ihrem Transport innerhalb der IT-Infrastruktur sowie bei ihrer Speicherung für eine spätere Auswertung – beispielsweise im Rahmen der Forensik – besonders geschützt werden.

Umsetzung regulatorischer Anforderungen für Unternehmen herausfordernd

Finanzdienstleister und Versicherer stellen die formulierten regulatorischen Anforderungen jedoch teilweise vor immense Herausforderungen – sowohl hinsichtlich der systematischen Erfassung, Strukturierung und Analyse der Daten, als auch im Hinblick auf die Bereitstellung entsprechender Budget- und Personalressourcen. Dies liegt vor allem daran, dass die Erfassung der Protokollquellen im Rahmen des Security Information Event Management (SIEM) nicht zielgerichtet mit Blick auf relevante Use Cases und Risiken erfolgt.

Weitere Schwachstellen liegen unter anderem in nicht oder nur unzureichend normalisierten Protokollquellen, die eine Korrelation der Ereignisse im SIEM erschweren, in unzureichenden Datenhaltungsvorgaben an die Protokollquellen, in einer unzureichenden Absicherung der Protokollquellen hinsichtlich weiterer Schutzziele (u.a. Authentizität) oder schlichtweg in der unvollständigen und unzureichenden Dokumentation sicherheitsrelevanter Ereignisse auf den durch SIEM-Regeln abgedeckten Assets. Nicht zuletzt fehlt es ob der Fülle an vorhandenen Protokolldateien und vielfach händischen Prozessen an Personal- und Budget-Ressourcen, um das Log-Volumen verarbeiten zu können.

Selbst bei konkreten sicherheitsrelevanten Events können Protokollquellen daher nicht strukturiert untersucht werden – mit erheblichen Konsequenzen für die IT-Sicherheit.

Log Source Management – wesentlicher Baustein zur automatisierten Datenbereitstellung

Auf Basis eines strukturierten Log Source Managements können relevante Log-Dateien aus IT und OT gesammelt, die Daten korreliert und gezielt auf Anomalien analysiert sowie die Ergebnisse über das SIEM bereitgestellt werden. Bei Auffälligkeiten meldet sich das SIEM mit einer Warnung, der IT-Sicherheitsexperten gezielt nachgehen können. Innerhalb des SIEM kommt dem effektiven und effizienten Log Source Management daher eine zentrale Bedeutung zu, da die Normalisierung und Absicherung von Protokollquellen als Grundvoraussetzung für die Definition von Rulesets und Use Cases sowie für das Response Management dient.

Schritt für Schritt ein Log Source Management implementieren

Um ein leistungsstarkes Log Source Management aufzubauen, hat sich ein strukturiertes Vorgehen bewährt:

• Reifegradbewertung und Erweiterung der Prozesse zur Normalisierung und Absicherung der Protokollquellen
• Konformitätsbeurteilung der vorhandenen Protokollquellen hinsichtlich regulatorischer Datenhaltungsvorgaben
• Vollständigkeitsanalyse und Anpassung der von einer Protokollquelle erfassten Daten unter Betrachtung der umzusetzenden Regeln und Use Cases
• Einführung von sinnhaften KPIs zur Qualitätskontrolle der angebundenen Protokollquellen

Insbesondere der Vollständigkeitsanalyse kommt innerhalb der Implementierung des Log Source Managements eine wichtige Bedeutung zu, da hier das Log-Volumen bestimmt wird: Werden zu viele Protokollquellen angeschlossen, entsteht schnell ein Log-Volumen, das nur schwer zu kontrollieren und auszuwerten ist. Werden zu wenig Quellen angeschlossen, bleiben sicherheitsrelevante Events möglicherweise unentdeckt und die gesamte IT-Sicherheit gerät in Gefahr.

Performantes Log Source Management sichert Geschäftserfolg

Ein strukturiert aufgesetztes und auf relevante Protokollquellen ausgerichtetes Log Source Management trägt somit entscheidend zu einer hohen IT-Sicherheit bei. Aber mit ihm sind auch noch eine Reihe weiterer Vorteile verbunden: Denn es erleichtert auch, die regulatorischen Anforderungen zu erfüllen, Regeln und Use Cases für das SIEM abzuleiten und das SIEM selbst stets auf dem neuesten Stand der Technik zu halten. Darüber hinaus erleichtert ein Log Source Management auch die Automatisierung von Response-Prozessen, z.B. durch die Einführung einer SOAR-Lösung.