01421 Security Event Management – Monitoring Referenzmodell
Die Komplexität der IT-Infrastruktur ist hoch und wächst stetig an. Daher werden auch an das Security Event Management (SEM) hohe Anforderungen bezüglich der Security-Event-Datenerfassung und deren Aktualität gestellt. Da jede IT-Service-Komponente in der komplexen IT-Infrastruktur ein Security Event auslösen kann, bedarf es eines standardisierten Referenzmodells und einer nachhaltigen Methodik zur Identifizierung, Korrelation und Visualisierung der Zusammenhänge und der Sicherstellung der Aktualität. Erst dadurch können die Auswirkungen von Security Events auf andere IT-Komponenten und auf die IT Services und Geschäftsprozesse vollständig erkannt werden.
Dieser Beitrag beschreibt die Anwendung anhand eines praxiserprobten SEM-Monitoring-Referenzmodells zur Planung, Konzeption und Einführung eines zentralen Security Event Management für eine standardisierte Security-Event-Erfassung, Event-Verarbeitung, Event-Korrelation und Event-Visualisierung. von: |
1 Einleitung
Störungen des Geschäftsprozesses vermeiden
Die Verfügbarkeit der von der IT-Organisation bereitgestellten IT-Services ist entscheidend für die Verfügbarkeit der Geschäftsprozesse des Unternehmens. Die IT Services sind integraler Bestandteil der wesentlichen Geschäftsprozesse des Unternehmens zur optimalen Unterstützung des Unternehmens bei der Erreichung der Geschäftsziele geworden. Ein IT-spezifischer Sicherheitsvorfall kann somit weitreichende Konsequenzen haben, vom Ausfall der angebotenen IT Services über finanzielle Schäden bis hin zur Stilllegung der gesamten Organisation. Dadurch ergeben sich hohe Erwartungen an ein Security Event Management (SEM) der IT-Organisation. Wesentliche Anforderung an ein zentrales und standardisiertes IT Security Event Management muss der geschäftskritischen Systeme, Applikationen, IT Services und Geschäftsprozesse proaktiv und reaktiv zu erkennen, zu verarbeiten und den unterschiedlichen IT-Leistungsempfängern in geeigneter Form zur Entstörung zu visualisieren. Nur so können die Auswirkungen eines IT Security Event auf die Systeme, Applikationen, IT Services und in Folge auf die Geschäftsprozesse korrekt festgestellt, die Störungspriorität richtig festgelegt und in Folge die notwendigen Aktivitäten zur Lösung des IT Security Event unternehmensweit mit allen Leistungsempfängern und Betroffenen geplant und durchgeführt werden. Somit kann der Ausfall der Geschäftsprozesse und dadurch bedingt ein hoher Imageschaden vermieden werden.
Die Verfügbarkeit der von der IT-Organisation bereitgestellten IT-Services ist entscheidend für die Verfügbarkeit der Geschäftsprozesse des Unternehmens. Die IT Services sind integraler Bestandteil der wesentlichen Geschäftsprozesse des Unternehmens zur optimalen Unterstützung des Unternehmens bei der Erreichung der Geschäftsziele geworden. Ein IT-spezifischer Sicherheitsvorfall kann somit weitreichende Konsequenzen haben, vom Ausfall der angebotenen IT Services über finanzielle Schäden bis hin zur Stilllegung der gesamten Organisation. Dadurch ergeben sich hohe Erwartungen an ein Security Event Management (SEM) der IT-Organisation. Wesentliche Anforderung an ein zentrales und standardisiertes IT Security Event Management muss der geschäftskritischen Systeme, Applikationen, IT Services und Geschäftsprozesse proaktiv und reaktiv zu erkennen, zu verarbeiten und den unterschiedlichen IT-Leistungsempfängern in geeigneter Form zur Entstörung zu visualisieren. Nur so können die Auswirkungen eines IT Security Event auf die Systeme, Applikationen, IT Services und in Folge auf die Geschäftsprozesse korrekt festgestellt, die Störungspriorität richtig festgelegt und in Folge die notwendigen Aktivitäten zur Lösung des IT Security Event unternehmensweit mit allen Leistungsempfängern und Betroffenen geplant und durchgeführt werden. Somit kann der Ausfall der Geschäftsprozesse und dadurch bedingt ein hoher Imageschaden vermieden werden.
Dieser Beitrag beschreibt die Anwendung des Security Event Management anhand des SEM-Referenzmodells „ISEG – Intelligence Security Event Management Implementation Guide” [1] . Es wurde zur Planung, Konzeption, Einführung und zum Betrieb eines stabilen Security Event Management für eine standardisierte und automatische Security-Event-Erfassung, Event-Verarbeitung, Event-Korrelation und Event-Visualisierung entwickelt.
Der nun folgende Abschnitt 2 beschreibt die Ausgangssituation und die Ziele eines Security Event Management im Detail. Abschnitt 3 erläutert das Referenzmodell und gibt Hinweise, wie Sie die Aktualität des Security Event Management gewährleisten können.