Wie immer im Leben ist es ein guter Tipp sich nicht ausschließlich auf sich selbst zu verlassen, sondern gelegentlich die Hilfe guter Freunde in Anspruch zu nehmen. Das gilt im übertragenen Sinne auch für die Herangehensweise an das Thema IT-Sicherheit. Mehrgleisig zu fahren heißt beispielsweise unterschiedliche Technologien und Methoden miteinander zu kombinieren. „One size fits all“ passt selten, will man Risiken senken und Daten schützen.
Data Loss Prevention (DLP)-Systeme werden eingesetzt um vertrauliche Daten während des Transports in einem Netzwerk abzusichern. Bis zur Netzwerkgrenze. Identity-and-Access-Management (IAM)-Lösungen ergänzen diesen Ansatz indem sie disparate Authentifizierungsmodelle miteinander verbinden. Der Benutzer muss sich dann nur noch über einen einzigen Dienst authentifizieren, wenn er auf unterschiedliche Systeme oder Anwendungen zugreifen will. Mit Hilfe eines SIEM, Security Information Event Management, sind Unternehmen in der Lage Logs in einem einzigen Repository zusammenzuführen, zu analysieren und zueinander in Beziehung zu setzen.
Im konkreten Anwendungsfall entscheiden Unternehmen sich nicht selten dazu die verschiedenen Systeme oder einzelne ihrer Bestandteile miteinander zu kombinieren. Aber was genau unterscheidet DLP, IAM und SIEM im konkreten Anwendungsfall? Was können sie und was nicht?
Solche Systeme sind in erster Linie dazu da vertrauliche Daten beim Transport zu schützen. Vor allem davor, dass sie das Netzwerkinnere verlassen. DLP-Lösungen nutzen dazu vordefinierte Policies und Regeln. Ob dann bei einer Abweichung lediglich der Administrator benachrichtigt wird, oder der weitere Datentransport aktiv blockiert wird, hängt von der Art der Abweichung ab.
Typischerweise greifen DLP-Lösungen in drei Anwendungsfällen:
IAM führt disparate Anwendungen in einem einzigen Repository zusammen. Von diesem aus kann der jeweilige Benutzer Zugriff und Berechtigungen zentral verwalten.
IAM-Lösungen beinhalten eine ganze Reihe von Funktionen wie:
SIEM-Systeme speichern, analysieren und korrelieren eine Vielzahl von unterschiedlichen Sicherheitsinformationen und Events bei der Authentifizierung, der Antivirensoftware oder der Intrusion-Lösung. Entdeckt das System dabei Abweichungen von der Regel, löst es einen Alarm aus und der zuständige Mitarbeiter wird benachrichtigt.
Innerhalb des SIEM-Systems werden die Logs zusammen-gefasst. Die Informationen bekommt das SIEM indem es die Viewer-Daten eines Events liest oder standardmäßig Benachrichtigungen aus den SNMP-Traps und Syslogs sammelt. Gelegentlich werden dazu auch Agents eingesetzt. Die Daten selbst kommen aus den unterschiedlichsten Quellen wie Endgeräte, Netzwerk-Switches, Server, Firewalls, Antiviren-Software, Intrusion Detection- und Intrusion Prevention-Systeme und eine ganze Menge anderer mehr.
Nachdem diese Daten zentralisiert sind, „horcht“ das System sie sozusagen auf Anomalien ab und sendet einen Alarm aus, wenn es fündig geworden ist. Um das überhaupt tun zu können, muss der Administrator ein möglichst präzises Profil erstellen, was ein normales Systemverhalten ist beziehungsweise welche Vorkommnisse als normal betrachtet werden sollen. Das geschieht innerhalb des Systems entweder mit Hilfe von vordefinierten Regeln oder gemäß den im Unternehmen bereits definierten Sicherheitsrichtlinien. Immer wenn ein Event an das System gesendet wird, durchläuft es dann ein Set von Regeln und je nachdem, ob es als davon abweichend bewertet wird oder nicht, werden ein Alarm und eine Benachrichtigung generiert.
Man sollte sich allerdings vor Augen halten, dass wir hier von Tausenden von Geräten und Quellen ausgehen. Entsprechend umfangreich sind die täglichen Aufzeichnungen. Das übergeordnete Ziel eines jeden SIEM ist es daher die Zahl der infrage kommenden Events zu reduzieren. Und zwar so, dass nur eine vergleichsweise geringe Zahl übrig bleibt, die tatsächlich ein Eingreifen erfordert.
Was heißt das im Hinblick auf traditionelle DLP-Lösungen auf Dateiebene? DLP-Lösungen sind ausgesprochen gut darin vertrauliche Daten auf Servern zu finden und/oder diese Daten zu blocken. DLP weiß also, wo sich diese Daten befinden, aber es hat eine Schwachstelle: haben ein Hacker oder Insider sich Zugang zu einem Konto mit den zugehörigen Berechtigungen (für genau diese vertraulichen Daten) verschafft, kann eine DLP-Lösung den Angriff nicht aufhalten.
Um diese Daten zu schützen, braucht man zusätzliche Informationen. Man sollte wissen:
Mit diesem Kontext ist eine DLP-Lösung wesentlich besser aufgestellt als ohne ihn. Varonis beispielsweise übernimmt die klassifizierten Daten aus den DLP-Scans und beginnt die Dateien und das damit verbundene Benutzerverhalten zu überwachen.
Weiß man, wer was wann mit bestimmten Daten tut, kann man die Berechtigungen entsprechend vergeben und verwalten. Das stellt sicher, dass nur die dazu berechtigten Benutzer auf die Daten zugreifen.
IAM-Lösungen führen unterschiedliche Anwendungen und Systeme an einer zentralen Stelle zusammen.
Das System stößt allerdings an seine Grenzen, wenn es um unstrukturierte Daten geht; es gibt nämlich keine einzelne „Applikation“, an die das IAM-System andocken kann. Wer auf unstrukturierte Daten in einem Unternehmen zugreifen darf wird sowohl von den Directory-Nutzern und Gruppen kontrolliert als auch über die ACLs (Access Control List) des Filesystems gesteuert. Und genau dadurch entsteht für das IAM-System ein blinder Fleck.
Dazu kommt, dass bei unstrukturierten Daten nicht selten ein gewisser Wildwuchs herrscht. Die Berechtigungsvergabe ist wenig standardisiert und komplex, wenn nicht gar chaotisch: die verschiedensten Gruppen können auf Daten zugreifen, Ordner und SharePoint-Sites sind allen zugänglich und so weiter. Das macht es einem IAM-System praktisch unmöglich die Berechtigungen für unstrukturierte Daten zu verwalten.
Was unstrukturierte Daten anbelangt, leisten Data Governance-Lösungen Hilfestellung in einer ganzen Reihe von Anwendungsfällen:
Bestimmte Funktionen unterstützen insbesondere den Dateieigentümer:
Ein SIEM liest Event Viewer-Logs der Netzwerkgeräte, den Systemen und dem AD. Es hat allerdings keinen Einblick in die tatsächlichen Dateiaktivitäten.
Das liegt daran, dass die Logs nicht nativ existieren und schwierig zu analysieren sind. Es ist also durchaus sinnvoll ein existierendes SIEM um eine Monitoring-Funktion zu ergänzen, die Zugriffsaktivitäten dokumentiert, zusammen führt und analysiert – und sie dann dem SIEM zur Verfügung stellt. Zum Beispiel ob jemand versucht hat auf den Posteingang des Geschäftsführers zuzugreifen, ob kritische GPOs (Group Policy Object) geändert worden sind, ob eine hohe Zahl von Dateien in kurzer Zeit verschlüsselt wurde oder ob anomale Verhaltensweisen bei Dateien und Directory Services aufgetreten sind. Im Idealfall werden die Daten zur Analyse des Benutzerverhaltens und die zugehörigen Benachrichtigungen beispielsweise via SysLog direkt an das SIEM geschickt und dort korreliert.
DLP, IAM und SIEM sind allesamt sinnvolle Bausteine, wenn es darum geht einen umfassenden Schutz aufzubauen. Einzelne Produkte und Lösungen allein können das inzwischen längst nicht mehr leisten. Wenn es allerdings um unstrukturierte Daten geht, haben alle drei ihre blinden Flecke. Es lohnt sich die bestehenden Lösungen um eine Data Governance-Komponente zu ergänzen, die entsprechende Funktionen beisteuert.