Aufgabe eines SIEM ist es, Informationen und Ereignisse aus einem Netzwerk aufzuzeichnen, sie in Bezug zu setzen, und so sicherheitsrelevante Vorgänge sichtbar zu machen. Zahlreiche Unternehmen nutzen solche Lösungen bereits, um damit ihre Büronetzwerke zu überwachen. Das neue IT-Sicherheitsgesetz rückt SIEM nun aber auch in den Fokus von Energiedienstleistern. Mit ihm können sie Cyber-Attacken auf ihre Prozessnetzwerke erkennen und der Pflicht nachkommen, schwerwiegende Sicherheitsvorfälle an das BSI zu melden. Beim Aufbau einer SIEM-Lösung sollten sie die Unternehmen deshalb einige Grundregeln beachten.
Sicherheitsketten überwachen
Ein nach dem "Defence in depth"-Prinzip aufgebautes Prozessnetzwerk sollte eine durchgängige Sicherheitskette beinhalten. Als Vorbild kann hier eine mittelalterliche Burganlage dienen, die mit mehreren, nacheinander angeordneten Hindernissen wie Wassergraben, Toranlage und mehreren Mauerringen die innere Burg absichert. Analog dazu sollten Energieversorger beispielsweise den Weg von einem im freien Feld stehenden Anlagenschrank über die Infrastruktur der Anlage, das WAN und die zentrale Infrastruktur bis zur Leistelle durchgehend mit Sicherheitsgliedern schützen. Hat ein Angreifer ein Sicherheitsglied überwunden, erhält er dadurch nicht automatisch Zugang zur Leitstelle, sondern hat noch weitere Hindernisse vor sich.
Jeder Durchbruchsversuch bei einem Sicherheitsglied muss aber eine Meldung an das SIEM erzeugen. Nur so ist sichergestellt, dass eine eventuelle Attacke rechtzeitig erkannt wird und man reagieren kann, bevor der Angreifer weitere Sicherheitsglieder durchbricht.
Sprechende Komponenten verwenden
Die Voraussetzung dafür, dass ein SIEM seine Aufgabe erfüllen kann, sind "sprechende" Systeme. Deshalb sollten Energieversorger in ihren Kritischen Infrastrukturen bevorzugt Aktivkomponenten einsetzen, die möglichst viele Informationen strukturiert liefern können. Hilfreich sind vor allem Meldungen, die sich zu einem logischen Bild zusammensetzen. Ideal wäre es, Security-kritische Meldungen dabei separat zu kennzeichnen. Schaltet sich beispielsweise jemand auf die Management-Oberfläche eines Gateways auf, muss es mitteilen können, wer sich dort angemeldet hat. Werden bei einem Anmeldeversuch falsche Passwörter eingegeben, muss das Gateway auch darüber informieren. Bei einer Verletzung von Firewall-Regeln genügt es nicht, wenn es lediglich diese Verletzung meldet.
- IP-Filter
Die SIEM-Lösung zeigt unter anderem an, von welcher IP-Adresse aus zu bestimmten Zeiten auf bestimmte Daten (in diesem Fall aus einer IRC-Verbindung) zugreifen. - Gefahrenquellen
Es werden Daten über laufende Programme und Web-Services erhoben. - Art des Traffics
Über welche Protokolle und Web-Services welcher Datenverkehr fließt, lässt sich ebenfalls nachvollziehen.
Das System sollte darüber hinaus beispielsweise auch in der Lage sein, mitzuteilen, von welcher IP-Adresse die Regelverletzung ausgeht. Nur dann lässt sich etwa feststellen, ob die Verletzung von einem unbekannten Device aus begangen wurde.
Baseline auswerten
Neben den Informationen der einzelnen Aktivkomponenten des Netzwerks kann auch die Überwachung der sogenannten Baseline wertvolle Hinweise liefern. Sie beschreibt das in einem Netzwerk vorhandene Logging-Aufkommen, also gewissermaßen sein Grundrauschen. Büronetzwerke mit ihren zahlreichen PCs, Druckern und sonstigen Geräten, die ständig ein- und ausgesteckt, ausgetauscht oder erneuert werden, erzeugen ein unüberschaubares Logging-Aufkommen.
Prozessnetzwerke sind im Vergleich dazu aber sehr "starre" Systeme mit einer weitgehend konstanten Anzahl an Meldungen von Routern oder Firewalls und idealerweise auch von SPS-Steuerungen. Diese Eigenschaft lässt sich nutzen, indem man jeweils eine 24-Stunden-Baseline auswertet und sie mit den Baselines der vergangenen Tage vergleicht. Kommt es zu ungewöhnlichem Logging-Aufkommen, wird das sofort offensichtlich. Auftretende Anomalitäten können dann vom SIEM mit Meldungen in Verbindung gebracht werden, die die Aktivkomponenten des Netzwerks zum selben Zeitpunkt versendet haben. Darüber hinaus lässt sich das SIEM auch so einstellen, dass es automatisch Alarm schlägt, wenn die Baseline definierte Schwellenwerte überschreitet.
Informationen intelligent verknüpfen
Der Knackpunkt für ein leistungsfähiges SIEM ist die Verbindung der Meldungen. Ein ungewöhnliches Netzwerk-Ereignis ist für sich allein meist noch kein Hinweis auf einen Sicherheitsvorfall. Treten aber mehrere solcher ungewöhnlicher Ereignisse auf, steigt die Wahrscheinlichkeit, dass etwas nicht mit rechten Dingen zugeht. Meldet beispielsweise der Router eines im freien Feld stehenden Anlagenschranks einen "Port Up" beziehungsweise "Port Down", muss das noch nichts bedeuten - schließlich könnte eine Störung oder eine Wartung dahinterstecken. Meldet der Port aber dann zusätzlich eine fremde MAC-Adresse und werden darüber hinaus innerhalb kürzester Zeit mehrere falsche Passwörter eingegeben, besteht durchaus die Möglichkeit eines Einbruchs.
Je nach Anzahl und Korrelation der Meldungen sollte das SIEM die Ergebnisse seiner Verknüpfungen in verschiedene Sicherheitsstufen einteilen. Liegen mehrere Verletzungen vor, die einen zeitlichen und räumlichen Zusammenhang aufweisen und deshalb auf einen möglichen Sicherheitsvorfall hindeuten, sollte das System die höchste Sicherheitsstufe auslösen.