Was ist ein Use Case in der IT-Sicherheit?

Cyber Security Use Cases beschreiben Bedrohungsszenarien gegen die IT-Infrastruktur. Mit einer SIEM-Umgebung können diese Bedrohungen erkannt und analysiert werden.

Für die rechtzeitige Erkennung von Cyberangriffen ist eine transparente IT-Infrastruktur essenziell. Welche IT-Assets gehören überwacht? Welche Assets sind besonders kritisch? Welche besonderen Cyber-Bedrohungen gibt es in Ihrer Branche? Wie können mögliche Cyberangriffe erkannt werden? Welche Log-Quellen werden hierfür benötigt? Wie werden die Use-Cases entwickelt und umgesetzt? Diese und weitere Fragen sollten vorab geklärt werden, um sich ein umfassendes Bild von der eigenen Bedrohungslage zu machen und Gegenmaßnahmen einleiten zu können.

Gut entwickelte Use Cases helfen dem SIEM dabei, abweichende Verhaltensmuster zu identifizieren und gezielt darauf zu reagieren – bevor ein Angriff eskaliert.

Was macht gute Use Cases aus?

Damit ein Use Case erfolgreich ist, sollte er:

• Bedrohungsorientiert sein: Cyber Security Bedrohungen aus jeglicher Quelle nutzen und normalisieren können (z.B. Mitre Att&ck, interne Compliance Vorgaben, DORA-Vorgaben, nachrichtendienstliche Bedrohungsinformationen, etc.)
• Die IT-Umgebung ganzheitlich abdecken: Vom Endgerät über Server bis hin zur Cloud.
• SIEM-verarbeitbar sein: Technisch umsetzbar und in die Systemlogik integrierbar.

Ein besonders wirkungsvoller Ansatz ist die Etablierung eines produktunabhängigen SIEM Use Case Frameworks, wie es von ConSecur empfohlen wird.

Hierdurch wird es ermöglicht, die Erstellung der Use-Cases besser zu strukturieren, zu koordinieren, umzusetzen und Sicherheitsvorfälle transparenter zu Kommunizieren. Darüber hinaus soll die Möglichkeit geschaffen werden, den Qualitätsgrad des Implementierten Regelwerkes messen zu können.

Wichtige Fragen vor der Use Case-Entwicklung

Bevor Use Cases definiert werden, sollte das Unternehmen ein klares Bild seiner IT-Infrastruktur haben, ein Use-Case Framework implementiert haben und darüber die Bedrohungslage visualisiert haben, um Überwachungsmaßnahmen umzusetzen und Handlungsempfehlungen ausgeben zu können. Erst mit diesen Details können effektive Use Cases erstellt werden, die echte Sicherheitsrisiken abbilden.

Wie unterstützt ein SIEM-System dabei?

Security Information and Event Management (SIEM)-Systeme sammeln und korrelieren sicherheitsrelevante Informationen aus der gesamten IT-Infrastruktur. Dabei kommt es vor allem auf die richtige Auswahl und Umsetzung von Use Cases an. Denn nur so erkennt das System, was „normal“ ist – und was nicht.

Transparenz schafft Sicherheit

Die Fähigkeit, Cyberangriffe frühzeitig zu erkennen, entscheidet über den Erfolg der IT-Sicherheitsstrategie eines Unternehmens. SIEM Use Cases sind dabei der Schlüssel: Sie machen ungewöhnliches Verhalten sichtbar, verbessern die Reaktionsgeschwindigkeit und schaffen die Grundlage für eine ganzheitliche Cyberabwehr.

Mit einem durchdachten SIEM Use Case Framework, wie es ConSecur anbietet, schaffen Unternehmen nicht nur Transparenz in ihrer IT-Landschaft – sie gewinnen auch die notwendige Flexibilität, um auf heutige sowie künftige Bedrohungen schnell und effizient zu reagieren.

Der Beitrag it-sa 2022 (25. -27. Oktober) – wir sind dabei! (Messe | Nürnberg) erschien zuerst auf Presse-Wissen.

Ein Use-Case-Framework bündelt alle denkbaren Sicherheitsszenarien. Es ist eine vom Cyber Defense Center (CDC) Team verwendete Methode zur Ermittlung und Organisation technischer und organisatorischer Anforderungen an das Monitoring dieser Szenarien. Bestimmte Risikoszenarien können so leichter erkannt und Gegenmaßnahmen frühzeitig eingeleitet werden. Das Framework hilft dabei, die richtigen Risikoszenarien zu entwickeln und Antworten auf folgende Fragen zu liefern:

• Was ist passiert?

• Welche Systeme sind betroffen?

• Wie hoch ist das Risiko?

• Welcher Schaden ist entstanden beziehungsweise kann noch entstehen?

• Wie muss reagiert werden?

• Wer muss wann informiert werden?

Entwicklung der Use Cases

Es empfiehlt sich die Umsetzung eines Use Case Frameworks auf Basis des Unternehmens-ISMS. Dabei geht es um die praxisgerechte Erfassung der jeweiligen Cyber Kill Chain mit Hilfe der Entwicklungsmethode Top-Down-Bottom-Up-Middle-Out (TDBUMO).

Aus dem ISMS des Unternehmens lassen sich generelle Bedrohungen bezüglich der Geschäftsprozesse ableiten. Diese werden unter Zuhilfenahme der Cyber Kill Chain in unterschiedliche Bedrohungsszenarien aufgeteilt, welche durch die eingesetzte SIEM-Lösung grundsätzlich überwacht werden können. Um Ganzheitlichkeit zu erreichen, muss nun die vorliegende IT-Umgebung mit einbezogen werden. TDBUMO ist eine weitverbreitete Design-Methode, die dazu dient, generelle Anforderungen konkretisiert umsetzen zu können. Im Kontext von SIEM Use Cases bedeutet das die Erfassung folgender Aspekte:

• Welche Bedrohungen existieren und welche Informationen werden benötigt, um diese Bedrohung zu überwachen? (Top-Down )

• Welche Logs kommen auf welchem Weg in das SIEM und welche Informationen sind in den einzelnen Logs enthalten? (Bottom-up)

• Im Ergebnis erhält man konkrete SIEM Use Cases, welche die eigene IT-Umgebung vollständig berücksichtigt (Middle-Out)

Operationell muss das SIEM Use Case Framework mit den Handlungsanweisungen für die Mitarbeiter, die beim Eintreten von Sicherheitsvorfällen ausgeführt werden müssen (sog. Playbooks) verzahnt werden. Dazu empfiehlt sich die Verwendung eines einheitlichen Vokabulars, zum Beispiel in Form einer Adaption des VERIS-Frameworks (Vocabulary for Event Recording and Incident Sharing). VERIS bietet über ein einheitliches Vokabular hinaus die Möglichkeit, Security Events und Security Incidents strukturiert zu erfassen, zu bearbeiten und zu dokumentieren.

Diese Security Incident-Kategorien lassen sich wiederum dazu nutzen, die Anzahl der zu erstellenden Playbooks auf ein Minimum zu reduzieren . Im Idealfall beginnt die Use Case-Entwicklung mit einer formellen Beschreibung der Entwicklungsmethodik und beruht auf den Prinzipien, dass SIEM Use-Cases

• bedrohungsorientiert

• die IT Umgebung ganzheitlich abdecken und

• durch die SIEM-Lösung zu verarbeiten

sein müssen. Zu diesem Zweck hat sich die Etablierung und Implementierung eines SIEM Use Case Frameworks bewährt, das sich an den zuvor genannten Prinzipien orientiert und zusätzlich sicherstellt, dass

• Use Cases unabhängig von der verwendeten SIEM-Lösung entwickelt werden können,

• die „Übersetzung“ der formellen Use-Cases in die SIEM-spezifische Korrelationslogik vereinfacht wird („Build once – use many“)

• die definierten Use Cases den Compliance-Anforderungen des Unternehmens entsprechen

• Use Cases flexibel an die jeweilige, aktuelle Bedrohungslage angepasst werden können.

Use Case Framework

Ein Use Case Framework muss mindestens folgende Bedingungen erfüllen, um effizient und wirksam zu sein:

• Die Regelerstellung für die Korrelierungslogik muss vom SIEM-Tool unabhängig dokumentiert werden können und einen kompletten Use Case-Lebenszyklus unterstützen.

• Die Use Cases müssen über das SIEM-Regelwerk hinaus auch die Playbooks für die Security-Analysten bereitstellen.