Alle verfügbaren SIEM Use Cases zu implementieren macht keinen Sinn, da diese einfach nicht wirtschaftlich wäre. Man würde auch gar nicht die notwendigen Ressourcen bekommen, um diese Aufwände handhaben zu können. Wenn man also nicht alle SIEM Use Cases einführen kann, muss man einen Weg finden, die wichtigsten SIEM Use Cases für das Unternehmen zu finden. Hierfür gibt es mehrere Möglichkeiten. Eine Möglichkeit ist risikobasiert vorzugehen. Das IT-Risikomanagement analysiert die Angriffsvektoren, denen das Unternehmen ausgesetzt ist. Aus dieser Analyse ergeben sich Gefahren und das Schadenspotenzial, welches beim Eintreten der Gefahren entsteht. Daraus leitet sich das zu erwartende Risiko für das jeweils identifizierte Angriffsszenario ab.
Auf Basis der identifizierten Risiken können nun die SIEM Use Cases ausgewählt werden. Die SIEM Use Cases orientieren sich dabei an den größten Risiken. Also den Risiken, welche den größten Schaden verursachen und gleichzeitig auch die größte Wahrscheinlichkeit haben, dass sie eintreten.
Mit dieser Vorgehensweise wählt man die SIEM Use Cases, die am meisten zur Reduktion der Risiken beitragen. Durch dieses Vorgehen fällt es auch leichter die Aufwände für die Umsetzung von SIEM Use Cases zu rechtfertigen, denn man kann zeigen, dass die Maßnahmen direkt zur Reduktion von Risiken beitragen.
Nun hat nicht jedes Unternehmen ein IT-Risikomanagement, welches so eindeutige Informationen liefern kann, dass diese zur Auswahl von SIEM Use Cases beitragen. Manchmal ist vielleicht nicht einmal ein IT-Risikomanagement vorhanden. In diesem Fall ist man auf die Verwendung von Best-Practices und Meinungen von Experten angewiesen.
Zunächst einmal ist es wichtig die IT-Umgebung des Unternehmens zu kennen. Welche Schnittstellen gibt es zu Dienstleistern? Welche Cloud-Dienste werden verwendet? Wie sind die Netzwerkzonen organisiert? Was befindet sich in der DMZ? All diese Fragen sollten beantwortet werden, um herausfinden zu können, welche SIEM Use Cases für das Unternehmen einen guten Schutz bieten.
Auf diese zwei Arten lassen sich also aus der großen Menge an SIEM Use Cases die Use Cases wählen, die den größten Nutzen bieten und damit auch wirtschaftlich vertretbar sind.
Wie geht es jetzt weiter? Nachdem wir wissen, welche SIEM Use Cases Sinn machen und diese Implementiert haben, müssen die Use Cases getunt werden. Das bedeutet, dass Fehlalarme, soweit es geht, reduziert werden. Fehlalarme treten auf, wenn Use Cases Alarme produzieren, es aber gar kein Sicherheitskritisches Ereignis vorliegt. Diese Fehlalarme sind teuer. Warum? Ganz einfach, die Security Analysten wissen vor der Analyse eines Alarms nicht, ob es sich um einen echten Sicherheitsvorfall oder nur um einen Fehlalarm handelt. Daher steigt durch Fehlalarme die Menge an Alarmen, die durch Security Analysten zu bearbeiten sind. Die Bearbeitung und Analyse kostet Zeit und bindet somit wertvolle Ressource, die eh schon zu knapp vorhanden sind. Außerdem erhöhen Fehlalarme auch das Sicherheitsrisiko. Durch ein großes Volumen an Fehlalarmen steigt die Wahrscheinlichkeit, dass echte Sicherheitsvorfälle nicht oder erst verspätet bearbeitet werden.
Daher ist es wichtig die SIEM Use Cases ausreichend zu testen und kontinuierlich zu verbessern und die Quote der Fehlalarme zu reduzieren. Hierfür gibt es keine allgemeine Formel. Jeder SIEM Use Case muss an die IT-Umgebung des Unternehmens angepasst werden, damit die Security Analysten sich im Idealfall fast ausschließlich mit echten Sicherheitsvorfällen beschäftigen können.
Wie reagiert man nun auf Alarme? Hier kommt das Security Incident Management und Incident Response ins Spiel. Wie das funktioniert, dazu verlinke ich hier ein anderes Video. Incident Response was ist das? (Incident Response Management leicht erklärt)
Das Security Incident Management regelt, wie mit Sicherheitsvorfällen umgegangen werden muss. Es beschriebt die Abläufe, die von der Erkennung eines Sicherheitsvorfalls bis zu dessen vollständiger Beseitigung. Es regelt außerdem, welche Rollen und Personen die entsprechenden Tätigkeiten durchführen müssen und welche Personen mit welchen Informationen versorgt werden müssen.
Fassen wir das ganze nochmal zusammen. SIEM Use Cases sind wichtig, um Cyber-Angriffe frühzeitig zu erkennen und angemessen darauf reagieren zu können. Die Auswahl der passenden SIEM Use Cases ist wichtig, um das Security Monitoring wirtschaftlich zu betreiben. Was Security Monitoring ist, dazu verlinke ich hier ein anderes Video.
Die Erkennung von Cyber-Angriffen ist ein wichtiger Teil der IT-Security im Unternehmen. Nachdem ein Sicherheitsvorfall erkannt wurde, muss er durch das Security Incident Management behandelt werden, damit der Geschäftsbetrieb ohne Unterbrechung fortgesetzt werden kann.
Jetzt gebe ich noch einen Bonus-Tipp, auf den man bei der Umsetzung von SIEM Use Cases auf jeden Fall achten muss. SIEM Use Cases können einen starken Einfluss auf die Sichtbarkeit im Unternehmen haben. Das dient zur Erkennung von Cyber-Angriffen, aber könnte auch für die Überwachung von Mitarbeitern eingesetzt werden.
Daher ist es wichtig den Betriebsrat und den Datenschutz bei der Planung und der Umsetzung der SIEM Use Cases frühzeitig mit einzubinden. Wenn der Betriebsrat das Gefühl hat, dass die geplanten Maßnahmen zur Überwachung von Mitarbeitern eingesetzt werden können, dann wird er ganz schnell dafür sorgen, dass es kein Security Monitoring gibt. Um das zu vermeiden, muss deutlich gemacht werden, was überwacht werden soll. Es muss klar sein, wann eine Überwachung durchgeführt wird und wer unter welchen Voraussetzungen dazu berechtigt ist.