Use Case Management: Unentbehrlich für ein wirkungsvolles SIEM

Keyfacts:

• Das Use Case Management ist für die Leistungsfähigkeit des Security Information and Event Managements (SIEM) von zentraler Bedeutung.
• Über Logdaten ermöglicht es das schnelle Erkennen potenziell sicherheitsrelevanter Vorfälle.
• Im Interview erläutern wir, wie ein strukturiertes Vorgehen im Use Case Management die Effizienz und die IT-Sicherheit gleichermaßen erhöht.

Mit wachsenden Anforderungen an die IT-Sicherheit für kritische Infrastrukturen im Finanzbereich kommen dem Aus- und Aufbau eines Security Operations Centers (SOC) und einem effektiven Security Information and Event Managements (SIEM) eine wichtige Rolle zu. Kern der SIEM-Prozesse sind ein leistungsfähiges Log Source und Ruleset Management sowie ein zugrundeliegendes Use Case Management, um kritische Sicherheitsereignisse effizient erkennen und abarbeiten zu können. Julian Krautwald und Arkadi Popov erläutern die Herausforderungen und die Bedeutung des Use Case Managements sowie Ansätze zu seiner Implementierung in der Finanzbranche:

Für eine wirksame SIEM-Lösung spielt ein effektives Use Case Management eine zentrale Rolle – worum geht es dabei?

Julian Krautwald: Die regulatorischen Anforderungen an Logging, Monitoring, Echtzeit-Überwachung sowie die Aufdeckung und Analyse von sicherheitsrelevanten Ereignissen steigen – ebenso wie der Schutzbedarf und die konkreten Bedrohungsfälle in der IT-Umgebung. Um mit beschränkten personellen und budgetären Ressourcen genau die Bedrohungsfälle zu erkennen, die für die kritische Infrastruktur relevant sind, braucht es eine Fokussierung auf die wirklich relevanten Ereignisse. Die Aggregation sowie Korrelation der sicherheitsrelevanten Ereignisse bedarf daher präzise beschriebener sowie an das jeweilige Risiko und den Schutzbedarf des zu überwachenden Assets angepasster Use Cases. Bei Use Cases handelt es sich einfach gesagt um Detektionsszenarien. Sie beschreiben, wie ein SIEM erkennen kann, welche Ereignisse auf abnormales respektive auf einen Cyberangriff hindeutenden Verhalten schließen lassen. Außerdem sind sie die Basis für das operationelle Response Management und Grundlage für ein effektives und effizientes SIEM-System.

Wie sind Unternehmen aus der Finanzbranche bei diesem Thema aufgestellt?

Arkadi Popov: Aus Kundengesprächen und Projekten wissen wir, dass es bei der Aufstellung entsprechender Use Cases vor allem an Vollständigkeit, Qualität und Priorisierung fehlt. Bei zahlreichen Finanzdienstleistern basieren die Use Cases zum Beispiel nicht auf einer vorhergehenden Bedrohungsanalyse. Vielfach entsprechen die Use Cases – insbesondere in der Qualität der Ausarbeitung – nicht der tatsächlichen Bedrohung, dem Schutzbedarf des zu überwachenden Assets oder dem der Bedrohung zugeordneten Risiko. Daher deckt das SIEM von Finanzdienstleistern häufig nicht die potenzielle Bedrohungslage ab.

Wie kann man Abhilfe schaffen?

Arkadi Popov: Wir empfehlen eine Vorgehensweise in drei Schritten: Zunächst bedarf es der grundlegenden Schutzbedarfsbestimmung der Assets im Unternehmen, einer Bedrohungsanalyse und einer Risikoableitung. Gegebenenfalls entsteht hier bereits Handlungsbedarf, wenn der Reifegrad dieser Analysen nicht den regulatorischen Anforderungen beziehungsweise der Bedrohungssituation und den Schutzbedarfen im Unternehmen entspricht. Auf dieser Basis können in einem zweiten Schritt die bestehenden Use Cases auf Qualität und Vollständigkeit überprüft, ergänzt und weiter ausgearbeitet werden. Erst auf Basis vollständig abgebildeter und ausgearbeiteter Use Cases lässt sich zusammen mit dem Log Source Management und dem Ruleset Management dann eine ausreichend vollständige Überwachung durch das SIEM realisieren. Ein gut aufgestelltes Use Case Management erhöht die Erkennungsrate innerhalb des SIEM und ermöglicht eine effiziente Korrelation von Ereignissen.

Wie können Unternehmen selbst ermitteln, wo sie beim Thema Use Case Management stehen?

Julian Krautwald: Für einen ersten Reifegrad-Check können Unternehmen mit einem Self Assessment starten. Hier gibt es ein breites Set an Fragen, die man nach und nach durchgeht. Zum Beispiel: Wurden bereits Use Cases für das vorhandene SIEM definiert? Wurden die Use Cases anhand von Anforderungskatalogen kategorisiert? Basieren die Use Cases auf einer Risiko- und Schutzbedarfsanalyse? Wurden On-Premise und Cloud-Infrastruktur-Assets mit den Use Cases abgedeckt? Wir haben einen derartigen entwickelt:

Antwortet man auf diese Fragen offen und ehrlich, vermittelt dieses Self Assessment eine deutliche Indikation, ob Handlungsbedarf besteht oder nicht – und sie sind ein guter Einstieg, um mit externen Dienstleistern über das weitere Vorgehen in den Austausch zu treten.