35
10/2017 ·
MIDRANGE
MAGAZIN
A N Z E I G E
nungsmechanismen betreffen Bedro-
hungen, die heute viele Organisationen
beschäftigen: So erkennt LogRhythm
Ransomware unabhängig von Version
oder Variante der Malware anhand des
Verschlüsselungsmusters,
alarmiert
dann die Security-Teams und ermög-
licht es ihnen, die Attacke innerhalb
von wenigen Sekunden weitgehend au-
tomatisiert zu stoppen.
Bereits mit dem Alarm erhalten die
Security-Analysten genaue und über-
sichtlich aufbereitete Informationen
über die festgestellten schädlichen Vor-
gänge – dazu gehören der Name des
bösartigen Prozesses und die Namen
bereits infizierter Dateien. Auf Knopf-
druck sind weitere Informationen ab-
rufbar, darunter Hinweise auf mögliche
andere infizierte Hosts. „Solche Infor-
mationen sind es, die es uns bei der
ursprünglichen Attacke erlaubt hätten,
gezielter zu reagieren und der Malware
entweder komplett einen Riegel vorzu-
schieben oder beispielsweise Systeme
in Betrieb zu halten, die mit Sicherheit
noch nicht betroffen waren“, beschreibt
Peters den Vorteil der schnellen Bereit-
stellung von Angriffsdetails.
LogRhythm erwies sich auch als
flexibel darin, auf Besonderheiten der
Kunden-IT einzugehen. So stellte es
sich als echte Herausforderung her-
aus, auf das Golden-Image-Verfahren
der Server im Klinikum zu reagieren.
Die Images werden wöchentlich mehr-
fach kopiert und die Systeme anschlie-
ßend gestartet, was die Logauswertung
nicht stören darf. Hier machte es die
Agentenfunktionalität von LogRhythm
möglich, einmalig einen Log Collec-
tion Agent per Server zu installieren
und zu konfigurieren. Anschließend
wurde die Agenten-/Logquellenkon-
figuration jeder Serverkopie automa-
tisiert zentral gespeichert und bei je-
dem Neustart neu auf das Zielsystem
gepusht. Damit entfällt im Klinikum
eine komplizierte manuelle wöchentli-
che Neuinstallation und Konfiguration
der Logquellen der Image-Server. „Die
ganze LogRhythm-Architektur ist dar-
aufhin optimiert, auch mit modernen
dynamischen Umgebungen oder Cloud-
Konstrukten zu arbeiten“, erklärt Do-
minik Hempel, Enterprise Account
Manager bei DTS, das Verfahren. „Auch
das ist ein Alleinstellungsmerkmal, das
die früher so schwierige SIEM-Imple-
mentation und den darauf folgenden
IT-Security-Tagesbetrieb nun deutlich
vereinfacht.“
Ebenfalls schnell gelöst wurden De-
tailprobleme – so erforderte die klare
Definition erster Use Cases zunächst so
manche klärende Diskussion zwischen
dem Kunden und den Anbietern, und
für einige Logquellen mussten eigene
Parser geschrieben werden.
Insgesamt standen für das Klini-
kumArnsberg zwar technische Aspekte
bei der Lösungswahl im Vordergrund –
aber die Anforderungen des Betriebs
spielten ebenfalls eine wichtige Rolle.
Das Frühwarnsystem sollte vom beste-
henden IT-Team problemlos genutzt
werden können. Außerdem wollte man
in der Lage sein, Use Cases – also die
Erkennungslogik für bestimmte Bedro-
hungen – selbst zu erstellen, um sich
gegebenenfalls auch gegen zukünftige
neue Attacken zu schützen. Benutzer-
freundlichkeit war somit ebenfalls Teil
des Anforderungskatalogs.
^Schon im Juni 2016 fiel schließlich
die Entscheidung, LogRhythm produk-
tiv einzusetzen. So konnte das Einfüh-
rungsprojekt inklusive der individuel-
len Anpassungen mit einem Aufwand
von gerade mal acht Tagen abgeschlos-
sen werden, wobei aber das Feintuning
des Systems noch andauert.
„Die Investition lohnt sich – sie er-
höht die Schlagkraft unseres Security-
Teams zu vertretbaren Kosten unge-
mein“, zieht Stefan Peters Resümee.
Rob Pronk
ó
Û
