Cloud Access Security Broker und SIEM – Ein kugelsicheres Duo

Eine SIEM-Lösung gehört mittlerweile zur Grundausstattung der IT-Sicherheit. Alle sicherheitsrelevanten Daten im Unternehmen – etwa Log-Daten aus der Host-, Netzwerk- und Applikationsinfrastruktur, darunter Firewalls, Web Proxies, Active Directory und Mobile Device Management (MDM) – laufen hier zentral zusammen und werden ausgewertet. Ungewöhnliche Muster werden so schnell entdeckt und Sicherheitsvorfälle umgehend dokumentiert.

Wenn Cloud-Dienste User Activity Feeds via API zur Verfügung stellen, kann die SIEM-Lösung auch die Log-Daten von Cloud-Services erfassen. Die Daten lassen sich nach Zeit, Nutzer, URL, IP-Adresse und anderen Attributen kategorisieren. Dadurch kann die Lösung Ereignisse über alle Systeme hinweg miteinander in Verbindung bringen und nach speziellen Vorfällen filtern.

Daniel Wolf , Regional Direktor DACH bei Skyhigh Networks, sieht in einem Cloud Access Security Broker (CASB) eine essentielle Ergänzung zu einer SIEM-Strategie. (Bild: Skyhigh Network)

So weit, so gut – im Cloud-Zeitalter verschieben sich aber die Akzente etwas. Mitarbeiter in Unternehmen nutzen heute eine Vielzahl an Cloud-Diensten, ohne dass die IT-Abteilung darüber im Bilde ist. Dazu kommt, dass viele Mitarbeiter oft sorglos vorgehen und kein Bewusstsein für die lauernden Gefahren der Cloud-Services beweisen. So verlassen zum Beispiel vertrauliche Daten unbemerkt das Unternehmensnetzwerk oder geraten unverschlüsselt auf Plattformen, die nicht über ausreichende Sicherheitsfunktionen verfügen.

Eine SIEM-Lösung scheitert an dieser Stelle, denn sie kann solche Vorfälle nicht automatisch erkennen. Auch Compliance-Verletzungen werden von SIEM nicht aufgedeckt. Sie kann Cloud-Dienste beispielsweise nicht anhand ihrer URL oder IP-Adresse identifizieren und schließlich bewerten, ob sie für den Unternehmenseinsatz geeignet sind.

Die SIEM-Grenzen erweitern

Cloud Access Security Broker sind dediziert auf die Absicherung von Cloud-Services abgestimmt und bieten viele Funktionen, die ein SIEM sinnvoll ergänzen. Durch maschinelle Lernverfahren und kontextbezogene Nutzungskontrollen machen CASB Gefahren und Sicherheitslücken transparent: Die Funktionen zeigen genau auf, welche Dienste wann, wo und bei wem im Einsatz sind und können mithilfe von Cloud-Service-Signaturen zwischen herkömmlicher Browser-Nutzung und Cloud-Nutzung unterscheiden. Zum Beispiel sieht ein CASB, ob sich ein Mitarbeiter auf der Konsole von Amazon Web Services (AWS) einloggt oder ob er eine Webseite ansieht, die bei AWS gehostet ist. Via einer Datenbank mit URLs und IP-Adressen kann ein CASB die einzelnen Cloud-Services identifizieren und eine Risikobewertung vornehmen.

Die gesammelten Log-Daten werden tokenisiert sowie komprimiert und in die Cloud-Plattform des CASB hochgeladen. (Quelle: Skyhigh Networks)

Im nächsten Schritt kann der CASB Cloud-Services dann blockieren, wenn sie als bedenklich eingestuft werden. Versucht ein Mitarbeiter den Dienst anzusteuern, wird er auf sichere Alternativen hingewiesen oder umgeleitet. Außerdem bietet der CASB die Möglichkeit, Daten vor dem Hochladen in die Cloud zu verschlüsseln oder ein Rechtemanagement anzuwenden. Auch für Daten, die sich bereits in der Public Cloud befinden, lassen sich nachträglich noch Sicherheitsrichtlinien umsetzen. Man kann sie zum Beispiel verschlüsseln oder Zugriffsrechte widerrufen.

CASB – der Cloud-Partner für SIEM-Lösungen

Mit seinen Cloud-spezifischen Sicherheitsfunktionen ist ein CASB ein wichtiges Element für einen umfassenden Security-Schutz. Durch Nutzungsanalysen im Abgleich mit historischen Daten kann die Technologie Abweichungen vom üblichen Verhaltensmustern erkennen. Sie ist kein Ersatz für eine SIEM-Lösung, sondern eine notwendige Ergänzung. Unternehmen wollen ihr Reporting und Event-Management auch weiterhin zentral von ihrer SIEM-Lösung aus steuern. Daher sollten auch die Cloud-basierten Analysen des CASB wieder in das SIEM einfließen. Dort können sie mit anderen Vorfällen in Korrelation gesetzt werden.

So kommuniziert der CASB mit einer SIEM-Lösung. (Quelle: Skyhigh Networks)

Die Zusammenarbeit zwischen CASB und SIEM organisiert ein On-Premise-Connector. Diese Software holt sich die Log-Daten, tokenisiert und komprimiert sie und lädt sie dann in die Cloud-Plattform des CASB. Dort beginnt der Auswertungsprozess. Über einen Syslog Feed oder über eine API interagieren CASB und SIEM miteinander. So lässt sich zum Beispiel ein Syslog Feed konfigurieren, der alle ungewöhnlichen Vorfälle, die der CASB entdeckt, an das SIEM meldet. Benötigt ein Sicherheitsanalyst für eine umfassende Untersuchung weitere Informationen zur Cloud-Aktivität eines Benutzers, kann er diese im SIEM via API vom CASB abrufen und später zentral reporten.

Ein kugelsicheres Duo

Unternehmen haben meist viel in den Aufbau ihres Security-Workflows investiert und möchten dadurch einen hohen Sicherheitsstandard etabliert wissen. SIEM und CASB haben beide ihre Stärken und sind zusammen ein schlagkräftiges Team. Ein SIEM bietet eine effiziente Möglichkeit, die kompletten sicherheitsrelevante Log-Daten aus dem Unternehmen zu sammeln, aufzustellen und auszuwerten.

Ein CASB übernimmt die Log-Daten, analysiert sie auf Cloud-spezifische Risiken und Sicherheitsvorfälle und spielt die Informationen an das SIEM zurück. Dort können sie weiter verarbeitet werden. Dadurch zeigt der CASB dem SIEM Vorfälle an, die ihm sonst verborgen geblieben wären. Gemeinsam bilden sie eine resistente Allianz für die Sicherheit – und Unternehmen erhöhen ihren Return on Investment.

Martin Schindler

Martin Schindler schreibt nicht nur über die SAPs und IBMs dieser Welt, sondern hat auch eine Schwäche für ungewöhnliche und unterhaltsame Themen aus der Welt der IT.

Recent Posts

Backup-Lücken in der Cloud

Für Backup und Recovery ihrer Daten sind SaaS-Anwenderunternehmen selbst verantwortlich. Verlassen sie sich nur auf…

7 Stunden ago

Wie gut ist Deutschland gegen Cyberangriffe gerüstet?

Potsdamer Konferenz für Nationale CyberSicherheit 2022 des Hasso-Plattner-Instituts.

7 Stunden ago

Prävention von Post-Quantum-Cyber-Attacken

BlackBerry unterstützt quantenresistente sichere Boot-Signaturen für die kryptoagilen S32G-Fahrzeugnetzwerkprozessoren von NXP Semiconductors.

8 Stunden ago

BSI veröffentlich Whitepaper zur Prüfbarkeit von KI-Systemen

Methode zur Erfassung der Prüfbarkeit der IT-Sicherheit von KI-Systemen.

12 Stunden ago

Blick in die Blackbox: Transparente Künstliche Intelligenz

Funktionsweisen von KI-Anwendungen für Autonomen Fahren oder in der Industrie 4.0 müssen transparent und nachvollziehbar…

15 Stunden ago

Silicon Security Day: Künstliche Intelligenz in der Cyber-Security

Cyberangreifer setzen zunehmend KI als Waffe ein, um ihre Angriffe noch zielführender zu starten –…

3 Tagen ago