Company

Ohne Leiche kein Verbrechen: Die fatale Schwäche des SIEM-Konzepts

Geschrieben von Mike Banic, VP of Marketing am 17.11.2017 07:05:59

Finden Sie mich auf:

fotolia_176487701 (1).jpgWährend eines Mittagessens Anfang November erzählte mir ein Kunde, der vor kurzem unsere Cognito-Plattform implementiert hatte, von einer Behauptung seines SIEM-Anbieters. Der sagte nämlich: „Was Vectra tut, können wir mit unserem Analytics-Paket genauso gut.“ Ich schaute mein Gegenüber einfach nur an und sagte: „Nein, das können sie nicht – wo keine Leiche ist, gibt’s kein Verbrechen.“

Er war verdutzt, und so begann ich, meine These zu erklären.

SIEMs sammeln Security-Event-Logs einer großen Anzahl unterschiedlicher Systeme ein – darunter PCs, Server, Authentifizierungssysteme, Firewalls und vieles mehr. Auch Vectra Cognito kann dazugehören.

Event-Logs halten fest, was an einzelnen Systemen und in Netzwerken geschieht. Wenn Sie die Events in den Log-Daten dann untersuchen, können Sie Aktivitäten nachspüren, auf Events reagieren und Ihre Systeme schützen. 

Weil die Zahl der Event-Logs pro Tag in einem Unternehmen leicht in die Millionen geht, sollen SIEM-Systeme all diese Security-Alarme der Anwendungen und der Netzwerk-Hardware speichern und zugleich in Echtzeit analysieren.

Ein kluger Angreifer weiß allerdings, dass Event-Logs typischerweise eher Stapel für Stapel als in Echtzeit auf den Weg gebracht werden. Man will den Einfluss reduzieren, den ein steter Strom großer Log-Mengen von allen nur denkbaren Geräten auf die Netzwerkverfügbarkeit haben kann.

Diese Praxis verschafft dem Angreifer ein Zeitfenster und damit eine Chance. Er kann sich auf der Betriebssystem-Ebene Zugang verschaffen und diesen auf das zugrundeliegende Logging-System ausdehnen. Schafft er es, die Log-Informationen über seinen administrativen Zugriff zu löschen, bevor diese gesendet werden, gibt es keine Leiche mehr – und damit kein Verbrechen.

Abgesehen davon: Wenn es dem Angreifer gelingt, seine Authentifizierung am Zielsystem durchzuführen, ohne dass dies als Netzwerk-Anomalie auffällt und ohne dass Malware ins Spiel kommt, generieren auch die Netzwerk-Monitoring-Systeme keinerlei Logs. Keine Leiche – kein Verbrechen.

Mein Gegenüber war verblüfft. Natürlich fragte er, worauf all das beruhe.

An dieser Stelle brach ich mit meiner Regel, bei Meetings mit Kunden niemals das iPhone zu zücken. Ich holte den NIST-Guide für Computer Security Log Management auf den Bildschirm, rief die Executive Summary auf und las zwei Sätze vor:

„Die Zahl, der Umfang und der Variantenreichtum von Computer-Security-Logs haben in erheblichem Maße zugenommen. Aus diesem Grund ist es notwendig geworden, Security Log Management zu betreiben.“

„Ein grundlegendes Problem des Log-Managements, das in vielen Organisationen zutage tritt, liegt darin, den Einsatz einer begrenzten Zahl von Log-Management-Ressourcen auf den ununterbrochenen Zustrom von Log-Daten abzustimmen.“  

„OK, das habe ich verstanden“, sagte mein Gesprächspartner. „Aber was ist mit den Logs von Cognito?“ Jetzt war er auf der richtigen Spur.

Ein Event-Log von Cognito ist nicht dasselbe wie ein Event-Log von einem beliebigen anderen System. Ein Event-Log von Cognito stellt nämlich eine Art Ermittlungsbericht dar – über die Verfolgung einer Bedrohung, die Analyse, die Bewertung, die Korrelation mit anderen Ereignissen und die Risikoeinstufung eines Geräts, an dem sich die Verhaltensweisen eines Angreifers gezeigt haben.

Ein Event-Log von einer Firewall oder einem Intrusion-Detection-System beruht demgegenüber auf einem Event, das lediglich eine einzelne Auffälligkeit im Netz dokumentiert, das Vorkommnis aber nicht im Gesamtbild eines Angriffs zeigt. Um solch einem isolierten Event auf den Grund zu gehen, muss ein Security-Analyst im SIEM viele weitere Events sichten und jedes anhand seiner denkbaren Auswirkungen auf die Organisation bewerten. Darüber hinaus muss er zusammenhängende Events auf einzelne Hosts im Zentrum einer Attacke hin korrelieren und schließlich diejenigen Hosts mitsamt den zugehörigen Events priorisieren, die unverzügliche Aufmerksamkeit und Aktionen erfordern.

Die Liste der Aktivitäten, die sich hieraus ergibt, nimmt leicht viele Stunden der Arbeitszeit eines Analysten in Anspruch – wobei er riskiert, während seiner Analyse historischer Anhaltspunkte, die vielleicht nicht einmal korrekt sein mögen, in Echtzeit auftretende neue und wichtige Events zu verpassen.

Ein Event-Log von Cognito lässt sich als Cybersecurity-Dossier verstehen. Cognito überwacht kontinuierlich den Netzwerk-Traffic und spürt Bedrohungen auf. Manuelle, arbeitsintensive Triage, das Scoring von Bedrohungen, die Korrelation auf einzelne Hosts hin und die Priorisierung der Bedrohungen und der betroffenen Hosts laufen automatisiert ab. Die Resultate all dieser Schritte werden als umfassend vervollständigtes Angriffs-Event-Log ans SIEM übergeben – mit präzisen Informationen darüber, worauf die Analysten ihre Bemühungen konzentrieren sollten. 

Vom Diebstahl der Admin-Credentials durch den Angreifer mag es keine Log-Informationen geben, und vielleicht fehlt auch jeder Hinweis auf Malware oder auf eine Anomalie.

Cognito aber erkennt sowohl die Aktivitäten des Remote-Access-Trojaners (RAT), der für den Zugriff auf Ihr Gerät benutzt wurde, als auch den Missbrauch der Protokolle für Anmeldung und Administration. Selbst dann, wenn der Angreifer auf Admin-Credentials von einem anderen System zurückgreift, erfasst die künstliche Intelligenz hinter dem Cognito-Angriffsreport die Zusammenhänge, denn sie korreliert die Vorgehensweisen von Angreifern über unterschiedlichste Geräte hinweg.    

„Haben dann all die anderen Logs in meinem SIEM überhaupt noch irgendeinen Nutzen für mich?“, fragte mein Gesprächspartner in der Hoffnung auf eine positive Antwort.

Normalerweise würde Ihr Security-Team in jenem Datenmeer ertrinken, das sich aus diesen Logs speist, weil es ohne Kontextinformationen einfach unmöglich ist, die richtigen Fragen zu stellen. Das „Security-Dossier“-Log von Cognito aber liefert einen akkuraten Startpunkt dafür, im SIEM und den übrigen dort gesammelten Informationen eine wirklich erfolgversprechende Untersuchung zu einer Bedrohung zu starten. 

Um mehr über Cognito zu erfahren, hören Sie doch das aufgezeichnete Bootcamp-Webinar an  oder besuchen Sie die Cognito-Produktseiten im Web.

 

 

Themen: SIEM, security analyst, Event-Log, SIEM-Systeme, Intrusion-Detection-System