CLEARER - SIEM-Funktionalität für NAC

Entwickelt während des hier beschriebenen Projektes, ist CLEARER nunmehr ein Produkt geworden. Mit CLEARER lässt sich macmon NAC um SIEM-Funktionalität erweitern. Weitere Informationen finden Sie unter

www.clearer-product.de

CLEARER Projekt

Das Vorhaben CLEARER (Erfüllung von Compliance‐Anforderungen durch automatisierte Bearbeitung von IT-Sicherheitsvorfällen) zielt auf den in Deutschland unterrepräsentierten Anwendungsbereich der automatisierten IT-Compliance-Steuerung und Bearbeitung von IT-Sicherheitsvorfällen ab, der aktuell im Rahmen von z.B. durch Network Access Control (NAC)- oder Security Information and Event Management (SIEM)-Systemen nur in selten Fällen in Unternehmen umgesetzt ist. Ein NAC-System bezeichnet dabei ein Zugangskontrollsystem, welches darauf achtet, dass nur die Geräte in ein Netzwerk Eintritt erhalten, die sich nach bestimmten Richtlinien (Policys) verhalten bzw. konfiguriert sind. Der Fokus liegt dabei allerdings auf den Endgeräten und nicht auf dem Benutzer selbst. Die IT-Sicherheit bzw. IT-Compliance-Aspekte werden dabei nicht dediziert berücksichtigt. Dies ist bei SIEM-Systemen anders. Hier handelt es sich um Monitoring-Systeme mit dem Fokus auf die IT-Sicherheit, weshalb diverse Ereignismeldungen (Alarme) aus verschiedenen Datenquellen (Firewall-Logs, Datenbank-Logs, Intrusion-Detection-Systemen) gesammelt und zusammengeführt werden. Die Menge dieser Datenquellen wird auch als Sensorik bezeichnet. Auf diese Weise können sicherheitsrelevante Informationen zentralisiert ausgewertet und den Verantwortlichen aus den Bereichen IT, Informationssicherheit und Management zur Verfügung gestellt werden. Die SIEM-Anwender sollen einen für sie relevanten globalen Überblick über den Sicherheitszustand des Unternehmensnetzes erhalten. Eine wesentliche Aufgabe eines SIEM-Systems besteht in der Korrelation der verschiedenen Ereignisse (aus der Sensorik), um dadurch dem Anwender nur die für ihn relevanten Meldungen präsentieren zu können. Im Gegenzug zur normalen Logauswertung können damit komponentenübergreifende Ereignisse erkannt werden.

Abbildung: Generische Architektur
Abbildung: Generische Architektur

Aktuell werden SIEM-Systeme damit auch zur Überwachung von IT-Compliance-Regeln verwendet, da die gleichen Mechanismen zum Einsatz kommen können: So können im Rahmen der Logauswertung neben technischen Verstößen auch bestimmte Compliance-Verstöße von Usern erkannt werden (z.B. Installation bzw. Nutzung ungenehmigter Software, unerlaubter Zugriff auf Ressourcen etc.). Ebenso können Sondersituationen erkannt werden, die einer Zweckbindung bzw. Genehmigung unterliegen, z.B. die Nutzung von Notfallusern. Die erkannten Situationen werden dabei zeitnah ausgewertet und in Form von Vorfällen oder Reports den zuständigen Bearbeitern vorgelegt. Diese können dann im Nachgang die Situation bewerten und reaktiv Aktionen und Maßnahmen einleiten. Oder prüfen, ob für die Sondersituationen die Genehmigung bzw. Zweckbindung vorlag.

Gerade die Handhabung und Wartbarkeit einer solchen IT-Sicherheitslösung ist aber für den Einsatz in KMU-Umgebungen eine, wenn nicht sogar die Grundvoraussetzung. Aktuell können nur teure IT-Spezialisten die Systeme so konfigurieren, dass die gewünschten Situationen erkannt werden können. Zusätzlich müssten diese regelmäßig zur Nachjustierung bzw. Erweiterung des Regelwerkes herangezogen werden. Dies ist auch neben den Kosten der Hauptgrund, warum KMUs bisher nur vereinzelt SIEM-, IDS- oder NAC-Systeme einsetzen. Der Bedarf ist aber vorhanden, da viele Unternehmen bisher nur rudimentär über ihre Sicherheitslage Bescheid wissen und Angriffe von außen immer häufiger stattfinden. Dabei stehen besonders KMUs in der Schusslinie der Angreifer, da sie erfahrungsgemäß schlechter abgesichert sind, als große Unternehmen und Konzerne. Daher hat CLEARER das Ziel ein Frühwarnsystem für die IT-Sicherheit zu entwickeln, welches auch für KMUs einsetzbar ist.