SIEM-Workshop mit Telco Tech

Am 20. Januar wurde ein gemeinsamer Hersteller-Workshop mit dem assoziierten Kooperationspartner Telco Tech in Hannover durchgeführt, in dem unterschiedliche Use Cases und Einsatzmöglichkeiten von SIEM-Systemen mit Praxisbezug diskutiert wurden. Dabei wurde u.a. deutlich, wie weit Herstellerlösungen heute im SIEM-Umfeld sind und auf der anderen Seite, welche Zusatzmerkmale SIMU zukünftig bieten kann. Die Kommunikation zwischen dem Hersteller Telco Tech und dem SIMU-Konsortium soll weitergeführt werden, um sowohl auf der Forschungs- als auf der Produktseite davon profitieren zu können.

Der Hersteller Telco Tech ist an einer deutschen Sicherheitslösung interessiert. SIEM-Systeme lassen sich aber momentan noch grundsätzlich schwer vermarkten. Hier ist Aufklärungsarbeit gefragt. Die Ansätze von SIMU sind für Telco Tech so interessant, dass der Hersteller diese gerne in die eigene Entwicklung einbeziehen möchte. Mit der SIEM-Lösung LogApp besteht bereits ein SIEM-System, welches die revisions- und manipulationssichere Datenspeicherung ermöglicht. Auch ein 4-Augen-Prinzip ist implementiert. Allerdings sind SIEM-Systeme heute eher für größere Unternehmensumgebungen gedacht. Kleinere Umgebungen im KMU-Umfeld werden kaum beachtet. Dies liegt u.a. auch an der Bedienung, bzw. Handhabung. Bei der LogApp werden Agents installiert, um die Logdaten später konsolidieren zu können. SIMU geht über das IF-MAP-Protokoll einen anderen Weg, den Telco Tech sehr spannend fand.

Screenshot der SIEM-Benutzeroberfläche

Während der Diskussion über die Use Cases wurde hinterfragt, welche Daten analysiert werden. So werden im SIMU-Projekt aktuell hauptsächlich Daten für eine SIEM-Analyse durch Tools wie OpenVAS und Nmap erzeugt. Es werden aber weniger Daten ausgewertet, die bereits vorhanden sind. Die SIMU-Lösung ist für den KMU-Bereich ausgelegt, was durch eine einfache Handhabung sichergestellt werden soll. Aufgrund der Komplexität des SIEM-Themas eignet sich die aktuelle SIMU-Lösung allerdings eher für einen IT-Dienstleister, als für einen Endkunden. Trotzdem bietet die entwickelte SIEM-GUI bereits heute eine einfache Handhabung und eine gute Übersicht an. So können beispielsweise Vorfalldetails übersichtlich nachgesehen werden. Was im SIEM-Kontext allerdings u.a. fehlt, ist die Möglichkeit ein Gerät automatisch „abschalten“ zu können. Während die SIEM-GUI für einen Endkunden durchaus geeignet wäre, ist die Darstellung der Metadaten über das Modul VisITMeta allerdings komplexer. Die Visualisierung ganzer Kommunikationsbeziehungen ist eher für IT-Fachleute von Nutzen.

Als Fazit des Workshops wurde festgehalten, dass die Funktionalität der Detection Engine noch nicht ausgereift genug ist und die Anomalie-Erkennung spannend bleibt. Mit dieser Herausforderung kämpfen allerdings alle SIEM-Hersteller gleichermaßen, so dass SIMU hier wichtige Impulse geben kann.