Cloud Access Security Broker und SIEM – Ein kugelsicheres Duo
Ohne eine Lösung für Security Information and Event Management (SIEM) läuft in vielen Unternehmen nichts mehr. Aber bei Anwendungen der Public Cloud stößt das System an seine Grenzen. Daniel Wolf von Skyhigh Networks erklärt, wie ein Cloud Access Security Broker (CASB) zusätzliche Sicherheit geben kann.
Eine SIEM-Lösung gehört mittlerweile zur Grundausstattung der IT-Sicherheit. Alle sicherheitsrelevanten Daten im Unternehmen – etwa Log-Daten aus der Host-, Netzwerk- und Applikationsinfrastruktur, darunter Firewalls, Web Proxies, Active Directory und Mobile Device Management (MDM) – laufen hier zentral zusammen und werden ausgewertet. Ungewöhnliche Muster werden so schnell entdeckt und Sicherheitsvorfälle umgehend dokumentiert.
Wenn Cloud-Dienste User Activity Feeds via API zur Verfügung stellen, kann die SIEM-Lösung auch die Log-Daten von Cloud-Services erfassen. Die Daten lassen sich nach Zeit, Nutzer, URL, IP-Adresse und anderen Attributen kategorisieren. Dadurch kann die Lösung Ereignisse über alle Systeme hinweg miteinander in Verbindung bringen und nach speziellen Vorfällen filtern.
So weit, so gut – im Cloud-Zeitalter verschieben sich aber die Akzente etwas. Mitarbeiter in Unternehmen nutzen heute eine Vielzahl an Cloud-Diensten, ohne dass die IT-Abteilung darüber im Bilde ist. Dazu kommt, dass viele Mitarbeiter oft sorglos vorgehen und kein Bewusstsein für die lauernden Gefahren der Cloud-Services beweisen. So verlassen zum Beispiel vertrauliche Daten unbemerkt das Unternehmensnetzwerk oder geraten unverschlüsselt auf Plattformen, die nicht über ausreichende Sicherheitsfunktionen verfügen.
Eine SIEM-Lösung scheitert an dieser Stelle, denn sie kann solche Vorfälle nicht automatisch erkennen. Auch Compliance-Verletzungen werden von SIEM nicht aufgedeckt. Sie kann Cloud-Dienste beispielsweise nicht anhand ihrer URL oder IP-Adresse identifizieren und schließlich bewerten, ob sie für den Unternehmenseinsatz geeignet sind.
Die SIEM-Grenzen erweitern
Cloud Access Security Broker sind dediziert auf die Absicherung von Cloud-Services abgestimmt und bieten viele Funktionen, die ein SIEM sinnvoll ergänzen. Durch maschinelle Lernverfahren und kontextbezogene Nutzungskontrollen machen CASB Gefahren und Sicherheitslücken transparent: Die Funktionen zeigen genau auf, welche Dienste wann, wo und bei wem im Einsatz sind und können mithilfe von Cloud-Service-Signaturen zwischen herkömmlicher Browser-Nutzung und Cloud-Nutzung unterscheiden. Zum Beispiel sieht ein CASB, ob sich ein Mitarbeiter auf der Konsole von Amazon Web Services (AWS) einloggt oder ob er eine Webseite ansieht, die bei AWS gehostet ist. Via einer Datenbank mit URLs und IP-Adressen kann ein CASB die einzelnen Cloud-Services identifizieren und eine Risikobewertung vornehmen.
Im nächsten Schritt kann der CASB Cloud-Services dann blockieren, wenn sie als bedenklich eingestuft werden. Versucht ein Mitarbeiter den Dienst anzusteuern, wird er auf sichere Alternativen hingewiesen oder umgeleitet. Außerdem bietet der CASB die Möglichkeit, Daten vor dem Hochladen in die Cloud zu verschlüsseln oder ein Rechtemanagement anzuwenden. Auch für Daten, die sich bereits in der Public Cloud befinden, lassen sich nachträglich noch Sicherheitsrichtlinien umsetzen. Man kann sie zum Beispiel verschlüsseln oder Zugriffsrechte widerrufen.
CASB – der Cloud-Partner für SIEM-Lösungen
Mit seinen Cloud-spezifischen Sicherheitsfunktionen ist ein CASB ein wichtiges Element für einen umfassenden Security-Schutz. Durch Nutzungsanalysen im Abgleich mit historischen Daten kann die Technologie Abweichungen vom üblichen Verhaltensmustern erkennen. Sie ist kein Ersatz für eine SIEM-Lösung, sondern eine notwendige Ergänzung. Unternehmen wollen ihr Reporting und Event-Management auch weiterhin zentral von ihrer SIEM-Lösung aus steuern. Daher sollten auch die Cloud-basierten Analysen des CASB wieder in das SIEM einfließen. Dort können sie mit anderen Vorfällen in Korrelation gesetzt werden.
Die Zusammenarbeit zwischen CASB und SIEM organisiert ein On-Premise-Connector. Diese Software holt sich die Log-Daten, tokenisiert und komprimiert sie und lädt sie dann in die Cloud-Plattform des CASB. Dort beginnt der Auswertungsprozess. Über einen Syslog Feed oder über eine API interagieren CASB und SIEM miteinander. So lässt sich zum Beispiel ein Syslog Feed konfigurieren, der alle ungewöhnlichen Vorfälle, die der CASB entdeckt, an das SIEM meldet. Benötigt ein Sicherheitsanalyst für eine umfassende Untersuchung weitere Informationen zur Cloud-Aktivität eines Benutzers, kann er diese im SIEM via API vom CASB abrufen und später zentral reporten.
Ein kugelsicheres Duo
Unternehmen haben meist viel in den Aufbau ihres Security-Workflows investiert und möchten dadurch einen hohen Sicherheitsstandard etabliert wissen. SIEM und CASB haben beide ihre Stärken und sind zusammen ein schlagkräftiges Team. Ein SIEM bietet eine effiziente Möglichkeit, die kompletten sicherheitsrelevante Log-Daten aus dem Unternehmen zu sammeln, aufzustellen und auszuwerten.
Ein CASB übernimmt die Log-Daten, analysiert sie auf Cloud-spezifische Risiken und Sicherheitsvorfälle und spielt die Informationen an das SIEM zurück. Dort können sie weiter verarbeitet werden. Dadurch zeigt der CASB dem SIEM Vorfälle an, die ihm sonst verborgen geblieben wären. Gemeinsam bilden sie eine resistente Allianz für die Sicherheit – und Unternehmen erhöhen ihren Return on Investment.