Aus dem aktuellen 2011 Data Breach Investigations Report geht hervor, dass 41 Prozent aller überprüften Sicherheitsvorfälle zwar in den Logdaten der angegriffen Organisationen protokolliert, dennoch unentdeckt blieben. Als Ursache hierfür sieht Q1 Labs, Spezialist für Security-Intelligence-Lösungen, den Einsatz falscher SIEM-Lösungen oder den möglicherweise vollständigen Verzicht darauf an.
Q1 Labs zufolge entsprechen Security-Information- und Event-Management- (SIEM) Lösungen der ersten Generation nicht länger aktuellen Anforderungen. Zu ihren Schwächen zählt nach Ansicht des weltweit tätigen Anbieters integrierter Security-Intelligence-Lösungen vor allem, dass Administratoren bei potenziellen Sicherheitsproblemen keine Warnmeldungen erhalten. Grundlage für diese Einschätzung bilden im aktuellen "2011 Data Breach Investigations Report" (DBIR) veröffentlichte Daten. Hierbei handelt es sich um eine von dem RISK-Team des US-amerikanischen Unternehmens Verizon Business in Zusammenarbeit mit dem United States Secret Service und der niederländischen National High Tech Crime Unit erstellte Studie, die 1.700 Datendiebstahlsfälle untersucht.
"41 Prozent aller im Rahmen des Berichts überprüften Sicherheitsvorfälle sind zwar in den Logdaten der angegriffen Organisationen dokumentiert. Dass sie dennoch unbemerkt blieben ist erschütternd," äußert sich Chris Poulin, Chief Security Officer von Q1 Labs zu dem Studienergebnis. "In den meisten Fällen hätten sich die Verstöße mit dem Einsatz einer intelligenten SIEM-Lösung frühzeitig aufdecken lassen und angemessen reagiert werden können. Leider erachten die Organisationen das Log-Management jedoch nach wie vor lediglich als Mittel, um Compliance-Anforderungen zu erfüllen, anstelle dieses aktiv zur Ermittlung von Cyber-Angriffen zu nutzen."
Cyberangriffen mit den richtigen Lösungen initiativ begegnen
Gemäß des Data Breach Investigations Report spürten nur in sechs Prozent aller Fälle die im Rahmen der repräsentativen Stichproben erhobenen Organisationen mit den von ihnen eingesetzten IT-Security-Lösungen Sicherheitsverletzungen auf. Die Autoren der Studie führen dies darauf zurück, dass viele der von ihnen betriebenen technischen Kontrollsysteme mangelhaft konfiguriert sind, an falscher Stelle eingesetzt oder aber gar nicht genutzt werden. "Beispielsweise hatte ein Unternehmen, das einem Angriff zum Opfer fiel, kürzlich ein SIEM-System installiert. Jedoch um Kosten zu sparen, den Administrator entlassen", erläutert einer der Verfasser.
Chris Poulin, der unter anderem acht Jahre die Betreuung des Global-Intelligence-Netzwerks der US-amerikanischen Luftwaffe sowie die Softwareentwicklung der Streitkraft leitete, ist der Ansicht, dass Organisationen keinerlei Unterschiede bei den einzelnen SIEM-Lösungen sehen. Sondern vielmehr annehmen, dass sie sich vom Funktionsumfang grundsätzlich gleichen. Gemäß Poulin ein Irrtum: "Ein SIEM-System einzusetzen, das dem Administrator überwiegend Falschmeldungen liefert, ist fast genauso schlimm, wie gar keine SIEM-Lösung zu betreiben."
"Die Realität ist, dass viele Organisationen SIEM- oder Log-Management-Lösungen lediglich betreiben, um in unterschiedlichen Standards wie PCI, FISMA, GLBA, SOX und GPG 13 festgelegte Richtlinien zu erfüllen und damit den vorgegebenen Compliance-Anforderungen zu entsprechen. Allerdings verfügen sie oftmals weder über die notwendigen Ressourcen noch die technische Expertise, um Warnmeldungen zu überprüfen oder angemessen auf diese zu reagieren," erklärt Poulin. "Wir haben einen Kunden, der Cisco MARS einsetzte. Das System erzeugte jeden Tag 500 Warnmeldungen. Nach einer Weile ignorierte der Administrator die Sicherheitshinweise einfach, weil er wusste, dass es sich bei den meisten davon um Falschmeldungen handelte. Nach dem Wechsel des Unternehmens auf unsere Security-Intelligence-Plattform QRadar sank die Zahl auf rund ein Dutzend wirklicher Vorfälle. Dies räumte ihm die Zeit ein, sich auf wirkliche Bedrohungen zu konzentrieren und diese genau zu überprüfen. Die einzige mit der Umstellung auf unser System einhergehende Änderung bestand darin, dass nun ergänzend intelligente Funktionen zur automatischen Kategorisierung der Ereignisse bereitstehen."
Das Missverhältnis zwischen 41 Prozent in Logdateien protokollierter Sicherheitsverstöße von denen sich beim Einsatz eines SIEM-Systems nur ein Prozent als wirklich bedrohlich herausstellen, sollten Organisationen laut Poulin zum Anlass nehmen, ihre Sicherheitsstrategie zu überdenken. Er ist der festen Überzeugung, dass der Einsatz einer Security-Information- und Event-Management-Lösung ihnen die Möglichkeit eröffnet, den fortgesetzten und permanent ansteigenden Cybercrime-Angriffen initiativ zu begegnen. Ganz gleich, ob sie intern oder extern initiiert werden. "Wenn Sie bedenken, wie viele große Organisationen bereits einen Teil ihres Budget dediziert für das Log-Management einsetzen, ist ein Abrücken vom "dummen Logging" hin zu Security-Intelligence ohne weiteres gerechtfertigt. Denn auf diese Weise lässt sich eine die IT-Sicherheit stärkende Abwehrmaßnahme aufbauen, anstelle einfach nur darauf zu achten, Compliance-Anforderungen zu erfüllen," kommentiert er. "Der 2011 Data Breach Investigations Report sollte ein Weckruf für IT-Administratoren sein, die angeblich falsche Alarme des Logging-Systems schlichtweg ignorieren. Vielmehr sind sie gut beraten, über effizientere Tools nachzudenken, die dank intelligenterer Funktionen ihren Blick direkt auf wirkliche Sicherheitsvorfälle lenken," schließt Poulin ab.
Weitere Informationen
- Informieren Sie sich über Q1 Labs auf der Webseite des Unternehmens: www.q1labs.com
- Folgen Sie Q1Labs auch auf Twitter: http://twitter.com/Q1Labs
Q1 Labs
Markus Auer
Feringastrasse 6
85774 München
+49 (0)89 99216-458
www.q1labs.com
markus.auer@q1labs.com
Pressekontakt:
billo pr GmbH
Marie-Christine Billo
Taunusstraße 43
65183 Wiesbaden
tina@billo-pr.com
0611.58023
http://www.billo-pr.com
X