DLP/IAM/SIEM

Im Bereich Cybersecurity gibt es kein Produkt mit dem alleine allen Bedrohungen und Risiken wirksam begegnet werden kann. Sicher kann einem Großteil der möglichen Risiken mit Standardlösungen und Produkten begegnet werden. Eine geschickte Kombination mehrerer Standardlösungen verbessert die Widerstandsfähigkeit der Organisation im besten Fall. Es können technologische und wirtschaftliche Abhängigkeiten von Lieferanten und Produzenten damit (teilweise zumindest) aufgelöst werden. Das geht von der Verwendung von unterschiedlichen Telefonanlagen, über Einsatz verschiedener aktiver Netzwerkkomponenten (zB,; Firewall, Switch …), bis hin zu redundanten Stromanbindungen über unterschiedliche Umspannwerke und Energieversorger.

Diese Mehrgleisigkeit sichert eine Unabhängigkeit und Versorgungssicherheit meist in Verbindung mit höheren Aufwänden. Skaleneffekte werden keine, oder nur im geringstem Maße, eintreten können. Vielmehr bedingt die Integration von verschiedenen Technologien nicht nur einen höheren Wartungsaufwand, auch ist mit einem eingeschränkten Funktionsumfang zu rechnen. Die Einschränkung kommt daher, dass der selbe Funktionsumfang von allen eingesetzten Produkten und Lösungen geleistet können werden muss. Wenn nur die deckungsgleichen Funktionalitäten eingesetzt werden, dann ist eine vollständige Hersteller- und Lieferantenunabhängigkeit gegeben. In einem transparenten Markt kann das ein sehr großer Vorteil für den Leistungsbezieher sein.

Zurück zum Thema Cybersecurity und Kombination von Technologien, Funktionen und Methoden. Gesetze, Richtlinien und Verordnungen als externe Vorgaben können so gedeutet werden, dass der Verantwortliche nicht nur für einen angemessenen Schutz und für eine angemessene Sicherheit zu sorgen hat, sondern auch qualitative Ziele zu verfolgen hat, um Effizienz und Effektivität gewährleisten zu können. Alles natürlich im Rahmen einer wirtschaftlichen und technischen Vertretbarkeit und Möglichkeit. Data Governance ist in diesem Zusammenhang ein oft verwendetes Schlagwort. Interne Compliance Richtlinien einer Organisation sind meist nichts anderes als formalisierte und abstrahierte qualitative Gewährleistungsziele.

Data Loss/ Leakage Prevention/ Mitigation (vgl.: DLP/ DLM)-Systeme werden eingesetzt um vertrauliche Daten in dem eigenem Netzwerk, Speicher, Serverdienst und Client, gegen unkontrollierten Abfluss abzusichern. Bis zur Netzwerkgrenze reicht die Einsatzfähigkeit einer DLP Lösung. Netzwerkgrenzen beziehen sich heute nicht mehr ausschliesslich auf die physische Netzwerkinfrastruktur einer Organisation alleine. Techniken, wie Abstraktionen etc. – zB: Software Defined Networks – ( vgl.: RFC7426) ermöglichen es über physischen Grenzen hinweg logische Verwaltungseinheiten zu bilden und diese auch in das (zentrale) Netzwerkmanagement einzubinden. Diese aufgabenzentrierte Zusammenführung von Anwendungen und Diensten hat zur Folge, dass Netzwerkgrenzen und -segmente für den Benutzer verschwinden, transparent werden. Um aber eine vollständige Transparenz gegenüber dem Benutzer zu erlangen ist es notwendig auch alle verschiedenen Authentifizierungsmodelle und -methoden für Kontext, Rolle und Risikobereich zusammenzuführen. Unterschiedliche Modelle, Methoden und Risikobereiche existieren weiterhin, werden aber für den Benutzer in eine zentrale Anmeldung zusammengeführt. Identity-and-Access-Management (IAM)-Lösungen spiegeln diesen Ansatz, der unterschiedliche Authentifizierungsmodelle miteinander verbindet, wieder. Der Benutzer muss sich dann nur noch bei einem einzigen Dienst anmelden. Dieser Dienst übernimmt dann die Authentifizierung gegenüber alle anderen Systemen, Diensten oder Anwendungen. Wichtig ist in diesem Zusammenhang festzuhalten, dass die Autorisierung durch die betroffene Anwendung, den Dienst, oder das System noch immer selbstständig erfolgt. IAM reichert aber die weiterzureichenden Informationen, um Kontextinformationen an. Die Verwaltung und Abbildung von Kontextinformationen und deren Zuordnung zu Rollen und Gruppen udgl. wird über eine IAM Lösung sichergestellt. Mit Hilfe eines SIEM (vgl.: Security Information Event Management) kann eine Organisation unterschiedlichste Protokolle zusammenzuführen, analysieren und zueinander in Beziehung zu setzen.

Im konkreten Anwendungsfall entscheiden sich Organisationen nicht selten dazu die verschiedenen Systeme oder einzelne ihrer Bestandteile miteinander zu kombinieren. Aber was genau unterscheidet DLP, IAM und SIEM im konkreten Anwendungsfall? Was können sie und was nicht?

Data Loss Prevention/ Data Leakage Mitigation

Solche Systeme sind in erster Linie dazu da vertrauliche Daten beim Transport zu schützen. Vor allem davor, wenn sie den Verfügungsbereich der Organisation verlassen. DLP-Lösungen nutzen dazu vordefinierte Richtlinien und Regeln. Ob dann bei einer Abweichung lediglich der Administrator benachrichtigt wird, oder der weitere Datentransport aktiv blockiert wird, hängt von der Art der Abweichung ab. Auch ist ein Vier-Augen-Prinzip vorhanden, um Transparenz und Integrität der Daten von Betroffenen zu gewährleisten.

Typischerweise greifen DLP-Lösungen in drei Anwendungsfällen:

Endpunktsicherheit/Endgeräteschutz: Wie automatische Festplattenverschlüsselung und die Verschlüsselung von Daten, die auf externe Laufwerke und Medien kopiert werden. Damit soll die Integrität der Daten gewährleistet werden (Anm.: Solange die eingesetzte Verschlüsselung als sicher gilt). Eine Entschlüsselung ist jedoch jederzeit möglich, setzt aber eine (temporäre) Freigabe voraus. Die Freigabe sollte nur protokolliert durchgeführt werden und ein standardisiertes Freigabeverfahren zu Grunde liegen. Eine zeitliche Begrenzung einer Freigabe ist sicher sinnvoll und anzudenken. Es gibt bestehende Lösungen und Produkte, die dies unterstützen. Damit soll verhindert werden, dass Daten unerkannt heraus geschleust werden und natürlich der grundlegende Schutz vor Malware.

Datenübertragung überwachen: E-Mail- und Web-Traffic im Hinblick auf vertrauliche Daten und Inhalte überwachen, um zu verhindern, dass vertrauliche Daten das Unternehmen verlassen; DLP trägt weiterhin dazu bei, dass man auf diese Daten nur über verschlüsselte Kanäle zugreifen kann.

Klassifizieren gespeicherter Daten: Ermittelt wo Dateien mit sensiblem Inhalt beispielsweise auf Servern und Cloud-Plattformen gespeichert sind, um diese Daten besser vor nicht autorisierten Zugriffen zu schützen.

IAM

IAM führt unterschiedliche Authentifizierungsmodule und -modelle in einem einzigen System zusammen. Von diesem System aus kann der jeweilige Benutzer Zugriff und Berechtigungen zentral verwalten. IAM-Lösungen beinhalten eine ganze Reihe von Funktionen wie:

  • einen Workflow um auf Anwendungen zuzugreifen und die Berechtigungen zu verwalten
  • Reports für den Benutzer
  • Reports für den Eigentümer der jeweiligen Anwendung
  • Single-Sign-On (SSO) zwischen den verschiedenen Applikationen mit dem Ziel Berechtigungen von einer einzigen Stelle aus zu verwalten und so einen durchgängigen Workflow zu gewährleisten.

SIEM

SIEM-Systeme speichern, analysieren und setzen eine Vielzahl von unterschiedlichen Sicherheitsinformationen und Events bei der Authentifizierung, der Antivirensoftware oder der Intrusion-Lösung in Beziehung. Entdeckt das System dabei Abweichungen von definierten Abläufen und Regeln, löst es einen Protokolleintrag aus und je nach Schwere wird gegebenenfalls der zuständige Mitarbeiter benachrichtigt.

Innerhalb des SIEM-Systems werden die Protokolle zusammengefasst und vereinheitlicht. Die Informationen bekommt das SIEM indem es die Viewer-Daten eines Events liest oder standardmäßig Benachrichtigungen aus den SNMP-Traps und Syslogs sammelt. Gelegentlich werden dazu auch Agents eingesetzt. Vor allem dann, wenn sich der Hersteller der Anwendung nicht an standardisierte Schnittstellendefinitionen hält. (Anm.: RFC 3164 – Syslog –  sieht 500 Bytes pro Logeintrag zum Beispiel vor) Die Daten selbst kommen aus den unterschiedlichsten Quellen wie Endbenutzergeräte, Netzwerk-Switches, Server, Firewalls, Antiviren-Software, Intrusion Detection- und Intrusion Prevention-Systeme, Webserver, Anwendungsserver und eine ganze Menge anderer mehr.

Nachdem diese Daten zentralisiert sind, sucht das SIEM System sie auf Anomalien ab und sendet einen Alarm aus, wenn es fündig geworden ist. Um das überhaupt tun zu können, muss der Administrator ein möglichst präzises Profil erstellen, was ein normales Systemverhalten ist beziehungsweise welche Vorkommnisse als normal betrachtet werden sollen. Das geschieht innerhalb des Systems entweder mit Hilfe von vordefinierten Regeln oder gemäß den im Unternehmen bereits definierten Sicherheitsrichtlinien. Immer wenn ein Event an das System gesendet wird, durchläuft es dann ein Set von Regeln und je nachdem, ob es als davon abweichend bewertet wird oder nicht, werden ein Alarm und/ oder eine Benachrichtigung generiert. Man sollte sich allerdings vor Augen halten, dass eine große Anzahl von Geräten und Quellen auch eine entsprechend große Anzahl von Alarmen auslösen wird. Diese werden aktuell meist überhaupt nicht in Betracht gezogen. Entsprechend umfangreich sind die täglichen Aufzeichnungen. Das übergeordnete Ziel eines jeden SIEM ist es daher die Zahl der infrage kommenden Events zu reduzieren. Und zwar so, dass nur eine vergleichsweise geringe Zahl übrig bleibt, die tatsächlich ein Eingreifen erfordert. Das heisst, dass die unstrukturierten Daten in einen Kontext gesetzt werden müssen. Aus dem Kontext heraus ergibt sich das entsprechende Risiko- und Gefahrenpotential.

Was heißt das im Hinblick auf traditionelle DLP-Lösungen auf Dateiebene? DLP-Lösungen sind ausgesprochen gut darin vertrauliche Daten auf Servern zu finden und/oder diese Daten zu blocken. DLP weiß also, wo sich diese Daten befinden, aber es hat eine Schwachstelle: Haben ein Hacker oder Insider sich Zugang zu einem Konto mit den zugehörigen Berechtigungen (für genau diese vertraulichen Daten) verschafft, kann eine DLP-Lösung den Angriff nicht aufhalten.

Um diese Daten zu schützen, braucht man zusätzliche Informationen:

  • Wer greift auf diese Daten zu?
  • Wer ist dazu berechtigt?
  • Wer aus dem Kreis dieser Berechtigten muss wahrscheinlich gar nicht mehr auf diese Daten zugreifen?
  • Wem (außerhalb der IT-Abteilung) „gehören“ die Daten?
  • Wer ist der eigentliche Eigentümer der Daten?
  • Wo und wann beginnt ein anomales Benutzerverhalten?
  • Wie lange müssen diese Daten aufbewahrt werden?
  • Ist eine Relevanz der Daten gegeben und sind die Daten revisionssicher/ fälschungssicher abgelegt, um sie entsprechend verwerten zu können. (Klags- und schadensrelevante Daten vor allem)

Diese Kontextbezüge sollte eine DLP-Lösung darstellen und umsetzen. Voraussetzung dazu ist eine Klassifizierung von Daten. DLP Lösungen/ Produkte bieten das in Form von Scans etc an. Eine organisationsspezifische Anpassung, Parametrisierung, ist zielführend. Überwachung aus einem DLP heraus kann nur nach einer erfolgten Klassifizierung erfolgen. Es gibt in der Regel Vorlagen, die laufend angepasst werden sollten. Eine Anpassung sollte vor allem unter der Prämisse erfolgen, dass der Eingriff in die Benutzersphäre so gering als möglich sein sollte. Das wälzt nicht Vertrauen und Verantwortung an den betroffenen Benutzer ab, sondern kann vor allem sollte durch technische und organisatorische Maßnahmen abgebildet werden. Maßnahmen, um Berechtigungen zu setzen, da man weiß, wer was wann mit bestimmten Daten tut. Das sind auch Informationen, die man verwalten und auditieren kann in einem IAM. Das stellt vor allem sicher, dass nur die dazu berechtigten Benutzer auf die Daten zugreifen können, wenn sie in dem definierten Kontext handeln. IAM-Lösungen führen, wie schon gesagt, unterschiedliche Anwendungen und Systeme an einer zentralen Stelle zusammen.

Das System stößt allerdings auch an Grenzen, wenn es um unstrukturierte Daten geht; es gibt nämlich keine einzelne Anwendung/ „App“, an die das IAM-System andocken kann. Wer auf unstrukturierte Daten in einem Unternehmen zugreifen darf wird sowohl von den Verzeichnis-Nutzern, Rollen und Gruppen kontrolliert als auch über die ACLs (Access Control List) und ECLs (Execution Control List) des Dateisystems gesteuert. Und genau dadurch entsteht für das IAM-System ein blinder Fleck.

Dazu kommt, dass bei unstrukturierten Daten nicht selten ein gewisser Wildwuchs herrscht. Die Berechtigungsvergabe ist wenig standardisiert und komplex, wenn nicht gar chaotisch: Die verschiedensten Gruppen können auf Daten zugreifen, Ordner und vor allem Intranets, wie SharePoint-Sites, sind allen zugänglich. Das macht es einem IAM-System praktisch unmöglich die Berechtigungen für unstrukturierte Daten zu verwalten.

Was unstrukturierte Daten anbelangt, leisten Data Governance-Lösungen Hilfestellung in einer ganzen Reihe von Anwendungsfällen:

  • Sie kennen die funktionalen Beziehungen zwischen Nutzern/Gruppen und den Daten, die sie tatsächlich benötigen.
  • Sie erlauben es Berechtigungen neu zu strukturieren, so dass sie sich effizienter innerhalb einer Gruppe verwalten lassen.
  • Sie analysieren das Benutzerverhalten und geben den Dateieigentümern eine Empfehlung wer einen bestimmten Zugriff nicht oder nicht mehr braucht.

Die Klassifizierung von Daten wird genutzt, um sensible Daten dem tatsächlichen Dateieigentümer zuzuordnen und Dateien so besser verwalten zu können. Bestimmte Funktionen unterstützen insbesondere den Dateieigentümer. Berechtigungen können ad-hoc vergeben werden, und zwar nur so lange, wie ein Benutzer sie tatsächlich braucht; eine neue Rolle muss dazu nicht definiert werden.Die Dateieigentümer haben den Überblick darüber, was mit ihren Dateien passiert.Regelmäßige Überprüfungen stellen sicher, dass immer nur die richtigen Benutzer auf die Daten zugreifen.

Ein SIEM liest Event Viewer-Logs der Netzwerkgeräte, den Systemen und dem AD in der Regel aus. Es hat allerdings keinen Einblick in die tatsächlichen Dateiaktivitäten.Das liegt daran, dass die Logs nicht nativ existieren und schwierig zu analysieren sind. Es ist also durchaus sinnvoll ein existierendes SIEM um eine Monitoring-Funktion zu ergänzen, die Zugriffsaktivitäten dokumentiert, zusammen führt und analysiert – und sie dann dem SIEM zur Verfügung stellt. Zum Beispiel ob jemand versucht hat auf den Posteingang des Geschäftsführers zuzugreifen, ob kritische GPOs (Group Policy Object) geändert worden sind, ob eine hohe Zahl von Dateien in kurzer Zeit verschlüsselt wurde oder ob anomale Verhaltensweisen bei Dateien und Directory Services aufgetreten sind. Im Idealfall werden die Daten zur Analyse des Benutzerverhaltens und die zugehörigen Benachrichtigungen beispielsweise via SysLog direkt an das SIEM geschickt und dort korreliert.

Fazit

DLP, IAM und SIEM sind allesamt sinnvolle Bausteine, wenn es darum geht einen umfassenden Schutz aufzubauen. Einzelne Produkte und Lösungen allein können das inzwischen längst nicht mehr leisten. Wenn es allerdings um unstrukturierte Daten geht, haben alle drei ihre blinden Flecke. Es lohnt sich die bestehenden Lösungen um eine Data Governance-Komponente zu ergänzen, die entsprechende Funktionen beisteuert.