IT-Compliance und Cyber Security

Use Case Management: Unentbehrlich für ein wirkungsvolles SIEM

Mit Hilfe von spezifischen Anwendungsfällen Cyber-Sicherheitsvorfälle aufdecken

Keyfacts:

  • Das Use Case Management ist für die Leistungsfähigkeit des Security Information and Event Managements (SIEM) von zentraler Bedeutung.
  • Über Logdaten ermöglicht es das schnelle Erkennen potenziell sicherheitsrelevanter Vorfälle.
  • Im Interview erläutern wir, wie ein strukturiertes Vorgehen im Use Case Management die Effizienz und die IT-Sicherheit gleichermaßen erhöht.

Mit wachsenden Anforderungen an die IT-Sicherheit für kritische Infrastrukturen im Finanzbereich kommen dem Aus- und Aufbau eines Security Operations Centers (SOC) und einem effektiven Security Information and Event Managements (SIEM) eine wichtige Rolle zu. Kern der SIEM-Prozesse sind ein leistungsfähiges Log Source und Ruleset Management sowie ein zugrundeliegendes Use Case Management, um kritische Sicherheitsereignisse effizient erkennen und abarbeiten zu können. Julian Krautwald und Arkadi Popov erläutern die Herausforderungen und die Bedeutung des Use Case Managements sowie Ansätze zu seiner Implementierung in der Finanzbranche:

Für eine wirksame SIEM-Lösung spielt ein effektives Use Case Management eine zentrale Rolle – worum geht es dabei?

Julian Krautwald: Die regulatorischen Anforderungen an Logging, Monitoring, Echtzeit-Überwachung sowie die Aufdeckung und Analyse von sicherheitsrelevanten Ereignissen steigen – ebenso wie der Schutzbedarf und die konkreten Bedrohungsfälle in der IT-Umgebung. Um mit beschränkten personellen und budgetären Ressourcen genau die Bedrohungsfälle zu erkennen, die für die kritische Infrastruktur relevant sind, braucht es eine Fokussierung auf die wirklich relevanten Ereignisse. Die Aggregation sowie Korrelation der sicherheitsrelevanten Ereignisse bedarf daher präzise beschriebener sowie an das jeweilige Risiko und den Schutzbedarf des zu überwachenden Assets angepasster Use Cases. Bei Use Cases handelt es sich einfach gesagt um Detektionsszenarien. Sie beschreiben, wie ein SIEM erkennen kann, welche Ereignisse auf abnormales respektive auf einen Cyberangriff hindeutenden Verhalten schließen lassen. Außerdem sind sie die Basis für das operationelle Response Management und Grundlage für ein effektives und effizientes SIEM-System.

Wie sind Unternehmen aus der Finanzbranche bei diesem Thema aufgestellt?

Arkadi Popov: Aus Kundengesprächen und Projekten wissen wir, dass es bei der Aufstellung entsprechender Use Cases vor allem an Vollständigkeit, Qualität und Priorisierung fehlt. Bei zahlreichen Finanzdienstleistern basieren die Use Cases zum Beispiel nicht auf einer vorhergehenden Bedrohungsanalyse. Vielfach entsprechen die Use Cases – insbesondere in der Qualität der Ausarbeitung – nicht der tatsächlichen Bedrohung, dem Schutzbedarf des zu überwachenden Assets oder dem der Bedrohung zugeordneten Risiko. Daher deckt das SIEM von Finanzdienstleistern häufig nicht die potenzielle Bedrohungslage ab.

Wie kann man Abhilfe schaffen?

Arkadi Popov: Wir empfehlen eine Vorgehensweise in drei Schritten: Zunächst bedarf es der grundlegenden Schutzbedarfsbestimmung der Assets im Unternehmen, einer Bedrohungsanalyse und einer Risikoableitung. Gegebenenfalls entsteht hier bereits Handlungsbedarf, wenn der Reifegrad dieser Analysen nicht den regulatorischen Anforderungen beziehungsweise der Bedrohungssituation und den Schutzbedarfen im Unternehmen entspricht. Auf dieser Basis können in einem zweiten Schritt die bestehenden Use Cases auf Qualität und Vollständigkeit überprüft, ergänzt und weiter ausgearbeitet werden. Erst auf Basis vollständig abgebildeter und ausgearbeiteter Use Cases lässt sich zusammen mit dem Log Source Management und dem Ruleset Management dann eine ausreichend vollständige Überwachung durch das SIEM realisieren. Ein gut aufgestelltes Use Case Management erhöht die Erkennungsrate innerhalb des SIEM und ermöglicht eine effiziente Korrelation von Ereignissen.

Wie können Unternehmen selbst ermitteln, wo sie beim Thema Use Case Management stehen?

Julian Krautwald: Für einen ersten Reifegrad-Check können Unternehmen mit einem Self Assessment starten. Hier gibt es ein breites Set an Fragen, die man nach und nach durchgeht. Zum Beispiel: Wurden bereits Use Cases für das vorhandene SIEM definiert? Wurden die Use Cases anhand von Anforderungskatalogen kategorisiert? Basieren die Use Cases auf einer Risiko- und Schutzbedarfsanalyse? Wurden On-Premise und Cloud-Infrastruktur-Assets mit den Use Cases abgedeckt? Wir haben einen derartigen entwickelt:

Antwortet man auf diese Fragen offen und ehrlich, vermittelt dieses Self Assessment eine deutliche Indikation, ob Handlungsbedarf besteht oder nicht – und sie sind ein guter Einstieg, um mit externen Dienstleistern über das weitere Vorgehen in den Austausch zu treten.

 

Cyber-Sicherheitslücken aufdecken

Wie gut sind die Daten Ihres Unternehmens geschützt?

Nutzen Sie diese Business Analytics, um eine fähigkeitsgradbezogene Bewertung Ihrer Sicherungsmaßnahmen durchzuführen.

Jetzt Bewertung durchführen
Weiterlesen

IT-Compliance und Cyber Security

Thema vertiefen

IT-Compliance und Cyber Security

Die Digitalisierung, der zunehmende Einsatz von Cloud-basierten Geschäftslösungen und die Vernetzung von Daten, Objekten und Systemen durch komplexe IT-Infrastrukturen und Geschäftsprozesse eröffnen für die Finanzbranche enorme Chancen. Informationswerte werden immer stärker zur Grundlage der Wertschöpfung. Sie sind ein wesentlicher Bestandteil zur Erreichung der Unternehmensziele.

Zugleich birgt dieser technische Wandel aber auch unvorhersehbare Risiken und bietet Cyberkriminellen neue Angriffsflächen. Denn mit dem wachsenden Potenzial für die Finanzbranche nehmen auch die Möglichkeiten für Hacker zu: Sie professionalisieren ihre Angriffe, indem sie Werkzeuge und eine zunehmende Zahl potenzieller Angriffsvektoren weiterentwickeln. Deswegen führen gezielte Attacken mit Phishing zu höheren Erfolgsquoten für Angreifer und größeren Schadenssummen bei den Opfern.

Doch die Risiken nehmen nicht nur durch äußere Faktoren zu. Unternehmen sehen sich durch den erhöhten Wettbewerb gezwungen, neue Technologien und Dienstleistungen einzuführen. Und das, bevor die damit verbundenen Cyber-Risiken vollständig erfasst und entsprechende Sicherheitsvorkehrungen implementiert werden können.

Thema vertiefen