SIMsalabim Der Zauber des Security Information Management

Ordnungsmerkmale

erschienen in: <kes> 2004^#5, Seite 72

Zusammenfassung: Security Information Management (SIM) hätten Unternehmen eigentlich schon lange betreiben sollen. Jetzt, wo unterstützende Technik verfügbar wird, beginnen etliche IT-Abteilungen mit entsprechenden Aktivitäten. Dabei besteht jedoch eine große Gefahr, den falschen Ansatz zu wählen.

Autor: Von Carsten Casper, Straßburg (FR)

Zur Motivation von Security Information Management (SIM) verweist man gerne auf rechtliche Anforderungen, bei näherem Hinsehen bleibt jedoch eher unklar, in welcher Weise ausgerechnet das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) oder Basel II den SIM-Einsatz verlangen. Sicher: Die Transparenz der Informationsverarbeitung im Unternehmen soll erhöht, die Kontrollmöglichkeiten dadurch verbessert und die operativen Risiken reduziert werden. Aber die Menge hierfür einsetzbarer Techniken reicht vom Excel-Sheet über den Open-Source-Port-Scanner und das kommerzielle Intrusion Detection System bis hin zum modernen, alle Sicherheitsinformationen an sich reißenden SIM-Werkzeug.

Im Hinblick auf die Forderung nach mehr Transparenz im Unternehmen ist es daher vor allem die Effizienz der Verarbeitung, die im Vordergrund stehen sollte – schon gar angesichts begrenzter personeller Ressourcen und im Gedenken an die schmerzliche Erfahrung mit der Flut von Ereignissen und Alarmen, welche womöglich die jüngst installierten Intrusion-Detection/Prevention-Systeme (IDS/IPS), aber auch Firewalls und Virenschutz-Konsolen sowie traditionelle Netzwerk- und System-Management-Systeme bereithalten.

Mehr kostet mehr

Auch Effizienz hat allerdings verschiedene Dimensionen. Geht es vordringlich darum, aus der Flut eingehender Informationen so schnell wie möglich die wirklich relevanten herauszufiltern und damit das aktuelle operative Risiko zu vermindern? Steht im Vordergrund, mit überschaubarem Aufwand über alle Kommunikationsvorgänge im Unternehmen Buch zu führen und sich damit gegenüber externen Prüfern abzusichern? Soll dies auch die strafrechtliche Verfolgung von Missetätern ermöglichen? Oder geht es vornehmlich darum nachzuweisen, dass man um höhere Sicherheit bemüht ist, tatsächlich aber die etablierten Kommunikationsprozesse so wenig wie möglich zu beeinflussen?

"Alle genannten Aspekte", antworten viele Unternehmen und übersehen dabei leicht, dass diese Ziele teilweise im Konflikt zueinander stehen, zumindest wenn als zusätzlicher Faktor das begrenzte Budget hinzugerechnet wird. Es gab schon Unternehmen, die bereits 200.000 € für ein SIM-Produkt im Budget des nächsten Jahres hatten, um dann festzustellen, dass die Zielsetzung hierfür in keiner Weise geklärt worden war – ein Segen für andere Projekte, denen dieses Geld plötzlich zur Verfügung stand.

Marktsegmente

Die Mahnung nach einem ausbalancierten Ansatz für Policies, Prozesse, Personal und Produkte verhallt noch immer bei vielen IT-Verantwortlichen ungehört. Und so stellt sich oft viel zu schnell die Frage, welcher Hersteller denn nun am besten in der Lage ist, die nicht ganz unerheblichen Kosten zu rechtfertigen. Glücklicherweise ist das Angebot (noch) nicht so unüberschaubar wie zum Beispiel bei Intrusion Prevention Systems. Generell gibt es drei Arten von Herstellern, die den Markt für das Management von Informationssicherheit bedienen:

• Hersteller, die schon seit Jahren IT-Management-Lösungen anbieten, entweder für Netzwerk-Komponenten oder für Systeme (z. B. IBM Tivoli, Computer Associates, Micromuse): Mit der zunehmenden Bedeutung von Informationssicherheit sehen diese sich motiviert, ihre etablierten Konsolen um die Funktion des Sicherheitsmanagements zu erweitern. Diese Produkte sind eine Option, wenn sich derartige Management-Werkzeuge bereits im Einsatz befinden. Sie aber vor dem Hintergrund eines SIM-Projekts neu einzuführen, ist schwer zu rechtfertigen, da sie funktional nicht mit den reinen SIM-Konsolen vergleichbar sind.
• Hersteller, die bereits Sicherheitsprodukte wie Firewalls, Audit- und Antivirus-Lösungen oder Intrusion-Detection-Systeme anbieten, diese mit zusätzlichen zentralen Management-Funktionen versehen und ihnen zum Teil den Stempel des Security Managment aufdrücken (z. B. Symantec, Consul, ISS): Solche Anbieter versprechen ein hohes Maß an Integration, können sie doch direkt die Entwicklung der verschiedenen informationsstiftenden Produkte koordinieren. Naturgemäß gestaltet sich die Anbindung von Drittproduken und vielfältigen Plattformen aber schwierig – besonders vor dem Hintergrund, dass praktisch keine relevanten Standards zum Austausch von Sicherheitsinformationen bestehen. Auch glänzen Suite-Anbieter in der Regel nicht in der gesamten Bandbreite ihres Portfolios; ob aber in jeder Produktkategorie (FW, AV, IDS) "Best-of-Breed" gekauft werden soll, ist eine strategische Entscheidung des Unternehmens.
• Hersteller, die sich unvoreingenommen auf die Entwicklung von Sicherheitsinformationsmanagement spezialisiert haben (z. B. e-Security, Intellitactics, ArcSight, GuardedNet, netForensics, Network Intelligence, Open Service): Diese Firmen konnten – mit durchaus unterschiedlichen Konzepten – Lösungen entwickeln, ohne auf eine bestehende Produktlandschaft Rücksicht nehmen zu müssen. Die Anbindung möglichst vieler unterschiedlicher Informationsquellen liegt gleichermaßen im Interesse ihrer Kunden wie in ihrem eigenen und wird nicht etwa durch unternehmenspolitische Gesichtspunkte beeinflusst. Ihre Namen haben den Klang des Neuen, aber damit auch den Klang des Unerfahrenen, obwohl sie schon seit einigen Jahren am Markt sind und unter SIM-Kennern geschätzt werden. Das in dieses Thema (noch) nicht einbezogene IT-Management wird jedoch ihre langfristige Lebensfähigkeit hinterfragen.

Architekturmodelle

Die Wahl der richtigen Architektur entwickelt sich oft fälschlicherweise zur Glaubensfrage. Dabei gibt es eine Handvoll konkreter Kriterien, die Entscheidungen in die eine oder andere Richtung nahelegen: Ob man besser einen Agenten auf jedem zu überwachenden System installiert, Ereignisse zunächst auf einigen Zwischensystemen sammelt oder direkt an eine entsprechend ausgebaute zentrale Stelle leitet, hängt von diversen Faktoren ab.

Ein Agent auf jeder Informationsquelle hat den Vorteil, systemspezifisch Ereignisse auswerten und bereits zusammenfassen zu können. Damit lässt sich zwar die Netzbelastung in Grenzen halten und auch der zentralen Sammelstelle kann man schon Arbeit abnehmen, es ist aber die Kooperation mit dem Eigentümer der Maschine notwendig. Da IT-Betrieb und -Sicherheit im Regelfall getrennte Rollen sind, kann es hier zu Konflikten kommen. Auch ist möglicherweise nicht für jedes System ein spezieller Agent verfügbar.

Eine Installation ohne Agenten erscheint auf den ersten Blick akzeptabler, besonders wenn die zu überwachende Systemlandschaft heterogen, schnellen Wechseln unterworfen oder schlichtweg unklar ist. Viele Systembetreiber schrecken auch davor zurück, einen zusätzlichen Agenten zu installieren ("Noch einen?") – aus Angst, die Stabilität oder Leistungsfähigkeit des Systems könnte beeinträchtigt werden. Diese Frage hat weniger eine technische, als vielmehr eine politische Dimension: Der IT-Betrieb muss ein Stück seiner Kontrollmöglichkeit abgeben, hat aber immer noch die Maschine zu verantworten.

Ohne Agent fehlt aber die Möglichkeit, die Ereignisse möglichst nah an der Quelle zusammenzufassen – es müssen alle Events weitergeleitet werden, unabhängig von ihrer Relevanz. Das hat nicht nur erhöhten Netzverkehr zu Folge, was vor allem dann ein Problem ist, wenn die Daten über WAN-Strecken müssen. Auch die Korrelation verschiedener Ereignisse wird damit ungleich schwieriger: Eine zentrale Aggregation und Korrelation ist in großen Installationen faktisch nicht machbar, wenn man die auftretenden Millionen von Ereignissen nicht in irgendeiner Form vorfiltert.

In der Praxis sind die Hersteller durchaus kompromissbereit: Agentenlose Architekturen sehen einen Agenten-Server vor, der die Daten aus entfernten Standorten, aber auch aus einer besonders abgeschirmten DMZ bündelt, komprimiert und verschlüsselt. Kritische Informationen werden sofort weitergeleitet, während Informationen, die man vor allem zur langfristigen Aufbewahrung benötigt, gesammelt und in Batches übermittelt werden. Agentenbasierte Systeme hingegen geben sich oft offen und akzeptieren auch direkte Datenströme. Zum Teil bezeichnet "Agent" auch nicht unbedingt ein Stück Software auf dem Quellsystem, sondern ein spezialisiertes Modul in seiner Nähe.

Gefangen in Babylon

Eines der Hauptprobleme von Informationssicherheit ist der Mangel an Kommunikationsstandards. Um dieses Problem zu lösen, sind unter anderem SIM-Systeme angetreten und offerieren die Anbindung von SNMP, ODBC, Opsec, syslog und proprietären APIs. Damit arbeiten sie aber überwiegend auf der Ebene technischer Infrastruktur. Was wirklich notwendig ist – und letztendlich erst den Namen Security Information Management rechtfertigt – ist eine Verständigung über Bedrohungen und Risiken, über Schwachstellen und laufende Angriffe. Hier ist aber der große Durchbruch noch nicht in Sicht.

Zwar konnte man sich mit der Datenbasis Common Vulnerabilities and Exposures (CVE, http://cve.mitre.org) auf einen Standard zur Benennung einigen, aber damit ist das Maß der Kommunikation zwischen verschiedenen Herstellern praktisch auch schon erschöpft. Neuere Ansätze wie die Application Vulnerability Description Language (AVDL, www.avdl.org) oder Security Device Event Exchange (SDEE, www.icsalabs.com/html/communities/ids/scee/) haben bislang kaum Beachtung gefunden. Viele Anbieter scheuen sich, ihre Schnittstellen zu öffnen, in der Hoffnung im dynamischen Markt von Sicherheitsprodukten die Nase vorn zu haben und anderen die eigenen Schnittstellen aufzwingen zu können, anstatt fortwährend auf die Kooperation mit der Konkurrenz zu achten. Das würde dem Benutzer jedoch nicht nur ein einheitliches Bild der Informationssicherheit vermitteln, sondern auch die Produkte verschiedener Hersteller leichter austauschbar machen.

Wollen die SIM-Hersteller die aktuellen oder aufgezeichneten Angriffe mit der tatsächlichen Verwundbarkeit der betroffenen Systeme abgleichen, so sehen sie sich außerdem einer bedrohlichen Dynamik ausgesetzt. Denn die Menge der bekannten Sicherheitslücken und damit möglichen Angriffe nimmt beständig zu. Diese miteinander zu korrelieren ist komplex genug. Hinzu kommt die Bandbreite zu unterstützender Informationsquellen verschiedenster Kategorien und Hersteller: Eine einzige Schwachstelle wird möglicherweise von mehreren Exploits und Wurmvarianten ausgenutzt, was bei einer Handvoll unterstützten Schwachstellen-Scannern und einem Dutzend Intrusion Detection Systems bereits über Hundert mögliche Kombinationen ausmachen kann. Diese müssen dem SIM-System beigebracht werden, um den Benutzer von möglichen Fehlalarmen (False Positives) zu entlasten, wenn etwa ein IDS einen Angriff auf ein System meldet, das per Sicherheits-Update (Patch) eigentlich längst von der Schwachstelle (Vulnerability) befreit wurde. Dieses in einem angemessenen Zeitrahmen nach Veröffentlichung der Sicherheitslücke zu realisieren, kann praktisch kein Hersteller leisten.

Manche Anbieter behelfen sich damit, dass sie die Schwachstellen und Angriffe in Gruppen einordnen (z. B. Buffer Overflow, PortScan, Cross-Site Scripting) und lediglich diese korrelieren, um die Komplexität zu reduzieren. Diese Gruppierung, auch Taxonomie oder Risikobasis genannt, ist aber wiederum herstellerspezifisch, was eine Zusammenarbeit innerhalb der Security Community erschwert. Andere Hersteller konzentrieren sich darauf, Quell- und Zieladressen zu korrelieren, den Ereignis-Strom mit geschäftsrelevanten Attributen (z. B. Geschäftsprozess oder Standort) anzureichern und mit Data-Mining-Ansätzen relevante Informationsmuster zu identifizieren.

Brillieren oder Kooperieren?

Manch einer nimmt zur Korrelation von Angriffen und Verwundbarkeiten auch externe Dienstleister in Anspruch. Vulnerability Research ist längst eine eigene (Service)-Disziplin und hat die eher schwerfälligen, halb-öffentlichen CERT-Teams ergänzt beziehungsweise abgelöst. Diese Dienste können ihren Wert allerdings erst dann so richtig entfalten, wenn sie in der Lage sind, die systemspezifischen, aber unternehmensunabhängigen Schwachstellen mit den tatsächlichen Ressourcen eines Unternehmens in Beziehung zu setzen. Vor diese Aufgabe sehen sich auch SIM-Anbieter gestellt, die Angaben über die überwachten Ressourcen (Standort, Eigentümer, Betriebssystem, aber auch unterstützter Geschäftsprozess, Risikoklasse usw.) als Input in ihre Systeme aufnehmen müssen. Einige Informationen lassen sich aus Asset-Management-Systemen beziehen, wozu manche SIM-Hersteller Schnittstellen anbieten.

Das setzt natürlich voraus, dass ein solches System auch im Einsatz ist. Womit die Unternehmen im Grunde genommen wieder am Ausgangspunkt angelangt sind: Denn Angaben darüber, welchen Wert die überwachten Ressourcen für das Unternehmen haben, liegen zumindest in strukturierter und elektronisch erfasster Form nur selten vor. Die Eingaben in das SIM-Werkzeug sind manuell zu leisten, wenn sie denn überhaupt verfügbar sind. Seltener noch wird berücksichtigt, dass sich diese Angaben mit der Zeit ändern und Risikobewertungen, aber auch Eskalationswege für Sicherheitsvorfälle unterschiedlicher Dringlichkeitsgrade angepasst werden müssen. Deswegen ist es so wichtig, sich vor der Anschaffung eines SIM-Werkzeugs über das Zusammenwirken von IT-Prozessen wie Asset/Change Management, Incident/Problem Management sowie Security-Prozesse wie User Administration und Vulnerability Research/Scanning im Klaren zu sein.

Fazit

Der SIM-Zug ist losgefahren und so manches Unternehmen, das Anlauf nimmt aufzuspringen, hat Sorge, es könnte hinter den Zug springen. In Wahrheit aber landen viele davor, denn SIM-Werkzeuge sind nur langsam dabei, die Early Adopter Phase zu verlassen. Natürlich sind SIM-Tools bei internationalen Finanzdienstleistern, Service-Providern, Telekommunikationsanbietern und im Verteidigungsbereich bereits im Einsatz. Aber die Anzahl der Kunden weltweit liegt auch bei führenden SIM-Anbietern lediglich im dreistelligen Bereich, in Deutschland ist sie gerade mal zweistellig. Unternehmen sollten sich zwar langsam mit dieser neuen Technologie auseinandersetzen, aber es besteht kein Grund zur Eile.

Carsten Casper ist Senior Research Analyst bei der META Group.

zurück zum Inhalt
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2004^#5, Seite 72