Inhalt
SIEM Use Case Entwickler übernehmen eine zentrale Position im Cyber Defense Team. Sie entwickeln Detektionslogiken, koordinieren Gegenmaßnahmen bei IT-Sicherheitsvorfällen und beraten Kunden bei anstehenden strategischen Entscheidungen rund um die Cybersicherheit ihres Unternehmens. Doch was genau verbirgt sich eigentlich hinter dem Aufgabenbereich der SIEM Use Case Entwicklung? Wir haben bei einem unserer Cyber Defense Consultants genauer nachgefragt.
Wie würdest du deinen Job in wenigen Sätzen beschreiben?
Wenn du mich nach einem Attribut fragst, das meinen Job als Cyber Defense Consultant am besten beschreibt, dann kann die Antwort nur lauten: abwechslungsreich! Denn als Cyber Defense Consultant bin ich in eine überaus vielfältige Aufgabenstruktur eingebunden. Meine Aufgaben umfassen unter anderem die Entwicklung von Detektionslogiken für die SIEM-Systeme unserer Kunden, die Entwicklung und Koordination von Gegenmaßnahmen bei akuten IT-Sicherheitsvorfällen und natürlich auch die Beratung der Kunden bei wichtigen, strategischen Entscheidungen. Kurz gesagt: Kein Tag gleicht hier dem anderen – und selten weiß ich bei Arbeitsbeginn, was mich im Laufe des Tages erwarten wird. Das macht meinen Job ziemlich herausfordernd und extrem spannend.
Welche Rolle spielt die SIEM Use Case Entwicklung in deinem Job?
Wenn du mit der Aufgabenstellung der SIEM Use Case Entwicklung zunächst nichts anfangen kannst, geht es dir wie vielen Menschen in meinem Umfeld. Use Cases, als logisches Element zur Erkennung von Angriffen bzw. deren Detektionsregeln als technische Umsetzung der Logik, sind das Herzstück eines SIEM-Systems. Daher gehe ich auf diesen besonders spannenden und herausfordernden Bereich meines Berufes im Folgenden detaillierter ein und versuche, die Aufgabe etwas greifbarer darzustellen.
Unsere Kunden werden täglich mit den unterschiedlichsten Bedrohungsszenarien konfrontiert. Denn im gleichen Maße, wie sich die IT Security weiterentwickelt, setzen auch Cyberkriminelle neue Methoden und Taktiken ein. Zur Verdeutlichung der SIEM Use Case Entwicklung möchte ich gerne ein derzeit häufig vorkommendes Bedrohungsszenario aufführen, das in MITRE ATT&CK „Remote Services“ genannt wird. Remote Services stammt aus dem Bereich des „Lateral Movements“, einer Vorgehensweise, bei der sich ein Angreifer innerhalb des Unternehmensnetzwerkes von einem System zum anderen bewegt. Das Ziel des oder der Angreifer ist entweder eine maximale Ausbreitung im Netzwerk des Opfers (wenn es beispielsweise um den Einsatz von Ransomware geht) oder das Auffinden und Exfiltrieren spezifischer Daten im Rahmen von Industriespionage.
Was sind die einzelnen Phasen deiner Use Case Entwicklung?
Die Grundlage für alle weiteren Maßnahmen ist zunächst, dass ich das Angriffsszenario verstehe, damit wir unsere Kunden mit einem SIEM-System vor der Bedrohung durch Remote Services wirkungsvoll schützen können. In der Regel ist das MITRE ATT&CK Framework mein Ausgangspunkt, um ein theoretisches Verständnis für das Vorgehen der Angreifer, deren Methoden und Besonderheiten zu entwickeln. Bei den meisten Angriffsszenarien habe ich bereits eine grobe Vorstellung – es geht im ersten Schritt also primär darum, meine Vorstellungen von dem Angriff zu konkretisieren.
Anschließend begebe ich mich auf Recherche. In Blogs und Foren oder in Whitepapers suche ich nach möglichst konkreten Beispielen für Angriffe. So verschaffe ich mir zusätzlich zum sehr theoretischen MITRE ATT&CK Framework noch eine Übersicht „aus der Praxis“. Ich versuche in diesem Schritt, mir alle Einzelheiten rund um den typischen Ablauf eines Angriffs zurechtzulegen. Je konkreter ich den Aufbau und Ablauf des Angriffs verstehe, desto präziser werden die Ergebnisse des nun folgenden Schrittes.
Nach der „Grundlagenarbeit“ muss ich praktische Erfahrung zum Ablauf des Angriffs sammeln. Hierzu steht mir eine Testumgebung zur Verfügung, in der ich die Angriffe möglichst „wirklichkeitsgetreu“ durchführe. Sehr häufig fallen hier deutliche Unterschiede zwischen der beschriebenen Theorie und der gelebten Praxis auf. Diese kleinen Details sind immens wichtig und werden dokumentiert. Stück für Stück ergibt sich so ein Bild des Angriffsablaufs. Ich erkenne durch die Simulationen, auf welche Arten und Weisen sich Angreifer typischerweise von einem System zum anderen bewegen. Nutzen sie dafür SMB, RPC oder WinRM – oder ist RDP doch der bevorzugte Weg?
Weiß ich, wie sich die Angreifer durch die Systeme bewegen, suche ich nach einer Möglichkeit, die Bewegungen und Muster möglichst fehlerfrei zu erkennen. Hierzu gibt es zumeist frei verfügbare Informationen im Netz – die ich gerne unterstützend verwende. Allerdings prüfe ich jede der Informationen gründlich und genau auch in der Praxis, denn neben veralteten Infos sind leider auch immer viele falsche oder fehlerhafte Informationen dabei. Die Simulationen in unserer Testumgebung sind dabei mein wirkungsvollster „Filter“.
Sobald ich einen möglichst zuverlässigen Ansatz zur Erkennung der Bedrohung gefunden habe, implementiere ich diesen in einem der SIEM-Systeme in unserer Testumgebung und führe anschließend den Angriff erneut durch – auf unterschiedlichste Weisen. Dadurch bin ich in der Lage, das Regelwerk praktisch zu verifizieren. Parallel dokumentiere ich die Vor- und Nachteile unterschiedlicher Erkennungsansätze.
Abschließend wird der so erstellte Use Case mit einem erfahreneren Mitarbeiter besprochen. Das „4-Augen-Prinzip“ stellt die Qualitätssicherung dar – und die erfahrenen Kollegen können mir bei Bedarf noch Input geben, was mögliche Alternativen bei den Lösungsansätzen anbelangt. Falls es notwendig ist, findet auch nochmal eine Anpassung der Erkennungsansätze statt.
Wie lange dauert die Entwicklung eines SIEM Use Cases?
Die Erstellung eines Use Cases ist eine komplexe Angelegenheit. Entsprechend viel Zeit nimmt der gesamte Prozess in Anspruch. Wir rechnen in der Regel mit etwa 2 – 4 Tagen pro Use Case, immer abhängig von der Komplexität des Szenarios. Da kaum ein Use Case dem anderen gleicht, können wir den Arbeitsaufwand im Vorfeld immer nur schätzen. Aber genau das ist es, was ich an meinem Job so mag. Ich kenne zunächst nur ein grobes Bedrohungsszenario und arbeite mich dann Stück für Stück in die Feinheiten ein – ohne am Anfang genau zu wissen, mit welchen Ergebnissen ich am Ende das SIEM-System unserer Kunden erweitern kann.
Use Cases, als logisches Element zur Erkennung von Angriffen bzw. deren Detektionsregeln als technische Umsetzung der Logik, sind das Herzstück eines SIEM-Systems. Bei fast allen Anbietern von SIEM-Lösungen sind mitgelieferte Use Cases als praktische „Out-of-the-Box“-Lösungen das Verkaufsargument. Aus mehreren Gründen bringen die vorgefertigten Regeln jedoch zumeist nur geringen Mehrwert. Diese Detektionsregeln sind meist sehr generisch gehalten und somit kaum zu jeweiligen IT-Landschaft oder der Bedrohungslage passen. Meist fehlen den Use Cases sowohl die Angaben, welche Logs/Events von dem IT-System benötigt werden als auch Handlungsanweisungen für die Cyber Defense Analysten. Des Weiteren wird eine Vielzahl von Regeln bereitgestellt, die entweder die SIEM-Analysten massiv überfordern, wenn sie alle aktiviert werden oder vorab sinnvoll ausgewählt werden müssen. Unter anderem ist sowohl für diesen Auswahlprozess als auch für die spätere Bearbeitung der Alarme aus den Use Cases wichtig, dass diese einen direkten Bezug zu bekannten IT Security-Frameworks wie z.B. MITRE ATT&CK haben. Damit und mit entsprechendem Expertenwissen kann das wesentlichste Ziel der Use Case-Auswahl – mit einer möglichst geringen Anzahl an qualitativ hochwertigen Use Cases die maximale Abdeckung bekannter Angriffsvektoren zu erhalten – erreicht werden. Gut zu wissen: Was sind Use Cases und wozu braucht man sie?
