39. BremSec-Forum tagte zum Thema Monitoring und SIEM
Das BremSec-Forum führte das Thema Cyber-Security weiter fort. Nachdem man beim letzten Mal die Methoden von Cyberangreifern kennengelernt hat, stand am 02. November als Fortführung das Thema „Erkennen von Cyberangriffen durch Monitoring“ im Fokus des letzten Erfahrungsaustausches. Dazu wurden die Referenten Prof. Dr. Kai-Oliver Detken (Geschäftsführer der DECOIT® GmbH) sowie Dieter Meyer (Stadtwerke Delmenhorst) und Ingo Hermes (HERMES Systeme GmbH) eingeladen, um einen Überblick über die Möglichkeiten von Monitoring- und SIEM-Systemen in der Office-IT- und Produktionsinfrastruktur erhalten zu können. Die Anmeldungen übertrafen dieses Mal fast die Raumkapazitäten, wodurch die Aktualität dieses Themas ersichtlich wurde.
Die Veranstaltung fand im „Haus des Reichs“, dem Verwaltungssitz der Senatorin für Finanzen statt, und startete mit einem Einblick in die Realisierung von SIEM-Projekten zur Angriffserkennung. Prof. Dr. Kai-Oliver Detken führte in die Thematik an sich ein und gab Beispiele aus aktuellen Forschungsprojekten, die von der DECOIT® GmbH durchgeführt wurden. So wurde im iMonitor-Projekt (www.imonitor-project.de) beispielsweise an intelligenten Analysemethoden gearbeitet, um die IT-Sicherheit eines Unternehmens beurteilen zu können. Anhand von intelligenten Analysemethoden konnten dann Handlungsempfehlungen erstellt werden, die nicht nur von IT-Experten verstanden wurden. Das SIMU-Projekt (www.simu-project.de), welches ebenfalls von der DECOIT® GmbH koordiniert wurde, hatte hingegen als Hauptziel die verschiedenen Sensordaten zu korrelieren, um übergreifende Angriffe erkennen zu können. Dafür wurde das TCG-Protokoll IF-MAP eingesetzt und diverse Open-Source-Tools um diese Schnittstelle erweitert. Beide Projekte zeigten, wie man SIEM-Systeme als Risikoabschätzung für Unternehmen verwenden kann, um einen objektiven Eindruck über die vorhandene IT-Sicherheit zu gewinnen.
Zusätzlich wurden noch Herstellerbeispiele von LogRhythm und RadarServices genannt sowie vorgestellt, da die DECOIT® GmbH fünf verschiedene SIEM-Systeme in den letzten Jahren getestet hat. Während LogRhythm das leichte Erstellen von neuen Regeln und auch ein individuelles Dashboard ermöglicht, geht RadarServices den Weg eines Managed Services. Das heißt, man bietet quasi eine Cloud-basierte SIEM-Lösung an, die dem IT-Administrator in KMUs die Analyse weitestgehend abnimmt. Beide Lösungen können auf ihren Schwerpunkt bezogen empfohlen werden, sind aber aufgrund der Kosten nur bedingt für KMUs geeignet. Ebenfalls sind noch zu wenig intelligente Analyseverfahren bei den Herstellern im Einsatz, wodurch immer noch Expertenwissen vonnöten ist. Dieses kann aber im KMU-Umfeld kaum ausreichend vorgehalten werden.
Aus Sicht von Produktionsanlagen berichteten dann die Stadtwerke Delmenhorst und HERMES Systeme GmbH, wie ein Monitoring hier implementiert werden kann. Aktuell wurde seit Mitte des Jahres gerade ein Monitoring-Testbed aufgebaut, welches dem IT-Sicherheitsgesetz genügen soll. Dabei wurde die IRMA-Appliance von Achtwerk ausprobiert, die über einen Mirroring-Port eines Switches in das Produktionsnetz lauscht und alle Anomalien mitschreibt. Über eine garfische Oberfläche können Events dann angezeigt und bearbeitet werden. IRMA (Industrie Risiko Management Automatisierung) überwacht die Produktionsanlagen somit kontinuierlich und ist auch in der Lage, Verteidigungsaktionen umzusetzen. Allerdings geht man hier sachter vor als in normalen Office-IT-Umgebungen, da Produktionsanlagen bei Scanvorgängen nicht ausfallen oder Abläufe beeinflusst werden dürfen. Sie kann daher eher als Monitoring-System, denn als SIEM-System beschrieben werden.
Die Vorträge wurden nach der Veranstaltung noch länger diskutiert. Dabei kann als Fazit festgehalten werden, dass es zwar noch deutliche Verbesserungspotenziale bei der Umsetzung von SIEM-Systemen gibt, aber dass das Thema inzwischen einen wesentlich höheren Bekanntheitsgrad erhalten hat als noch vor zwei Jahren. So lassen sich, wie die Projekte iMonitor und SIMU gezeigt haben, inzwischen Open-Source-basierte Lösungen gut einsetzen. Allerdings nicht als fertiges Produkt, sondern eher als Baukastenprinzip, während die Herstellerlösungen sich durch mehr Komfort und deutlich höheren Preis auszeichnen. Aus diesem Grund hat die DECOIT® GmbH mit dem CLEARER-Projekt (www.clearer-project.de) das nächste Forschungsprojekt gestartet, um die guten Ansätze weiterverfolgen und in der Praxis demnächst einsetzen zu können.
Die Folien unseres Vortrags von der Veranstaltung finden Sie wie gewohnt in unserem Download-Bereich. Das 40. BremSec-Forum ist für Anfang Februar 2017 angesetzt worden.
¹https://de.wikipedia.org/wiki/Haus_des_Reichs