Eines der Hauptprobleme bei der Betrachtung einer ganzheitlichen IT-Security-Strategie sind die so genannten false positives, welche die IDS Devices erzeugen, da ihnen oftmals ein Gesamtüberblick fehlt. Neben dem Verlust der Sensibilisierung für präventive IT-Security hat dies jedoch vor allem dann signifikante Auswirkungen, wenn ein IDS als inline IPS oder als Dynamic Intrusion Response-System betrieben wird. Eine mögliche Lösung für dieses Problem wäre eine perfekte Konfiguration, die jedes Mal, wenn eine Änderung der Umgebung stattfindet (neue Signatur, neue Sicherheitslücken, neue Devices, neue Applikationen, Ändern der Applikationen oder der Betriebssysteme usw.), angepasst wird. Das ist in der Realität aber nicht durchführbar.
Security Information und Event Management
Um aber eine Lösung für das genannte und andere Probleme präsentieren zu können, braucht man alle im Netzwerk und in der Infrastruktur verfügbaren Daten und muss diese zur Lösungsfindung korrelieren. Während ein IDS im Alleinbetrieb einen schwerwiegenden Angriff auf einen Apache Server meldet, obwohl dieser gar nicht anfällig ist für die auszunutzende Sicherheitslücke, ist ein SIEM in der Lage, zu erkennen, dass keine Gefahr besteht. Es vergleicht dazu beispielsweise CVE-Nummern des Events, welche das IDS liefert, und der XML-Datei, die der Sicherheitslücken-Scanner angibt. Bei einem Denial of Service-Angriff ist das SIEM in der Lage, eine bestimmte Zeit lang die Flows, die das angegriffene System erzeugt, zu analysieren und kann somit abschätzen, ob ein Dienst im Netzwerk noch verfügbar ist oder nicht. Präsentiert wird dabei nur das \’verifizierte\‘ Ergebnis, nicht der \’Lösungsweg\‘. Die Datenmenge wird somit reduziert, die Qualität der Aussage gesteigert.
Der virtuelle CIO
Man kann ein Security Information Management-System als virtuellen CIO bezeichnen, der seine Mitarbeiter (die reporting devices) an einen Tisch (die Datenbank) holt, sich alle Meinungen (Events) anhört (aufnimmt), seine eigene Meinung bildet (Korrelation) und daraus eine Art executive summary (Offens-ekorrelierter Superevent) erstellt. Mithilfe dieser Information, die auf Basis unterschiedlicher Gewichtung (Magnitude Berechnung) der einkommenden Meinungen (Events) erstellt wurde, kann der CIO (beispielsweise die Dragon Security Command Console von Enterasys) eine Aktion im Netzwerk anstoßen, die auf einer verifizierten Datenquelle beruht. Dabei bleiben alle Original-Events (die Stimmen der Mitarbeiter am runden Tisch) erhalten und können – wie bei einer Zwiebel-Schale für Schale eingesehen werden. Der Administrator hangelt sich sozusagen in der Korrelationskette zurück bis zum Original-Event – wenn er dies wünscht.
Geschlossener Kreis
Dadurch, dass ein SIEM in der Lage ist, Informationen aller IT-Abteilungen aufzunehmen, zu korrelieren und zu verstehen, kann ein holistisches Sicherheitsmodell betrieben werden. So können Angriffe, die aus mehreren Teilangriffen oder Teilevents bestehen, zusammengefasst und der Übeltäter oder das Opfer direkt am Switchport identifiziert werden (siehe Abbildung 1).
