SIEM – Mit Sicherheit den Betrieb verbessern | esolva ag

Bild

SIEM

SIEM – Mit Sicherheit den Betrieb verbessern

Security Information and Event Management (SIEM) ist ein etabliertes Werkzeug in der IT-Sicherheit, das Events und Log-Daten von Systemen und Endgeräten zentralisiert und auf Anomalien prüft. esolva überträgt dieses bewährte Konzept auf Smart Metering, um die Sicherheit in diesem Bereich zu stärken.

Der Schlüssel zur Sicherheit

SIEM

Massgeschneidertes SIEM als perfekte Lösung für einen zuverlässigen Betrieb

Ein Security Information and Event Management (SIEM) ist in der IT-Branche von entscheidender Bedeutung. Es ermöglicht die effiziente Sammlung, Überwachung und Analyse von Log-Daten aus verschiedenen Komponenten eines Netzwerks. Dieses Konzept dient nicht nur der Aufdeckung von Unregelmässigkeiten, sondern auch der frühzeitigen Erkennung potenzieller Cyberangriffe. Bei esolva wurde dieses bewährte Prinzip auf die spezielle Systemumgebung des Smart Metering angewendet und eine praktische Lösung entwickelt.

SIEM Flyer

Terminologie und Funktionsweise des SIEM

Im Wesentlichen werden im SIEM Log-Dateien verschiedener Systemkomponenten zusammengeführt. In unserem Fall handelt es sich beim SIEM für Smart Metering um die Log-Dateien physischer Zähler im Feld, von Datenkonzentratoren, vom Head-End-System (HES) und der IT-Systemanmeldungen des Fachpersonals, das mit den Messdatensystemen arbeitet. Wir bezeichnen einzelne Meldungen, wie beispielsweise «Modem wurde abgeschaltet», als «Events». Diese Events allein liefern jedoch oft nur begrenzte Informationen zur Relevanz oder zur Notwendigkeit von Massnahmen. Daher suchen wir nach Event-Mustern. Erst wenn eine kritische Menge gleicher Events erreicht ist, beispielsweise «Modem wurde abgeschaltet» 30-mal innerhalb von vier Stunden, oder eine spezifische Abfolge von Events auftritt, etwa «Zählerdeckel wurde geöffnet», gefolgt von «Kommunikation wurde aufgebaut», sind Handlungen erforderlich. Diese Cluster von Events werden in sogenannten Detection Rules definiert.

Wenn eine Detection Rule ausgelöst wird, erfolgt eine Reaktion. Die Art der Reaktion hängt von der Relevanz ab und kann in Form eines Alarms an eine bestimmte Person oder als Eintrag in einen regelmässigen Bericht erfolgen. Alarme können über verschiedene Kanäle verschickt werden, einschliesslich E-Mail, SMS oder Microsoft-Teams-Nachrichten. Die jeweiligen Empfänger der Alarme variieren je nach Detection Rule. IT-sicherheitsrelevante Detection Rules gehen beispielsweise an andere Personen als Detection Rules, die auf Probleme in der Netzqualität hinweisen. Unabhängig von der Zielrichtung der Alarme werden alle Auslöser in einem Managementbericht erfasst, der regelmässig exportiert wird, um die Häufigkeit und Veränderungen der Detection- Rule-Auslöser zeitlich zu analysieren.

Jedes Projekt bringt neue Erkenntnisse

Die Zusammensetzung der Events variiert je nach Systemumgebung. Daher werden die Detection Rules in jedem Projekt gemeinsam mit dem entsprechenden EVU spezifisch für die jeweilige Situation definiert. In Entwicklungsworkshops mit Fachexperten entstehen immer wieder neue Use Cases, die zuvor nicht berücksichtigt wurden. Jedes Projekt liefert neue Erkenntnisse, die in einen Pool von Use Cases einfliessen und anderen Kunden zur Integration zur Verfügung stehen. SIEM-Kunden profitieren somit voneinander. Die direkte Betreuung endet nicht nach Abschluss des Einführungsprojekts. In regelmässigen Abstimmungen, entweder mit uns oder im Plenum mit allen SIEM-Kunden, werden neue Ideen und Anforderungen aufgenommen, und Detection Rules aus anderen Projekten werden vorgestellt. Dies ermöglicht dem EVU, kontinuierlich weitere Funktionen zu integrieren und den Mehrwert aus der SIEM-Plattform zu steigern. Der Schutz vor neuen Bedrohungen und die Anpassung an sich ändernde Gegebenheiten erfolgen automatisch.

Der dreifache Nutzen

Jeder Datenkonzentrator und jeder Zähler im Feld kann potenziell manipuliert werden. Die Überwachung der Log-Dateien dieser Geräte schützt vor Manipulationen und Hackversuchen.

Die Überwachung erfolgreicher oder fehlgeschlagener Anmeldungen in Accounts ermöglicht die Identifizierung kompromittierter Konten. Schadsoftware, die zunächst Systeme beobachtet und dann angreift, kann frühzeitig erkannt werden. Im Falle eines Sicherheitsvorfalls liefern die Log-Dateien eine genaue Aufzeichnung des Vorfallverlaufs. Die Zusammenführung von IT- und OT-Log-Dateien ermöglicht eine präzise Nachverfolgung eines Angriffspfads.

Ohne SIEM werden Log-Dateien oft als ungenutzte Datenmengen betrachtet, die lediglich Speicherplatz beanspruchen. Die Integration dieser Log-Dateien in ein SIEM ermöglicht die Nutzung dieser ohnehin vorhandenen Daten. Log-Dateien können Einblicke in die Netzqualität und den Betrieb liefern, ohne dass zusätzliche Hardware erforderlich ist.

In unserem vorhandenen Angebot als Serviceprovider werden die Log-Dateien der Umsysteme im Rahmen des Projekts integriert, und in Workshops werden gemeinsam mit dem EVU die Detection Rules, Berichte und Alarme definiert. Im laufenden Betrieb profitiert das EVU kontinuierlich von neuen Detection Rules und Systemerweiterungen. Dies steigert den Mehrwert der SIEM-Plattform für alle Beteiligte und ermöglicht einen effektiven Schutz vor neuen Bedrohungen sowie die Anpassung an sich ändernde Anforderungen. Wir sind stolz darauf, gemeinsam mit unseren Kunden die Sicherheit und Effizienz im Bereich Smart Metering voranzutreiben und die Chancen der Digitalisierung voll auszuschöpfen. 

Die Entstehung unserer SIEM-Plattform ist das Ergebnis unseres dedizierten Innovationsmanagements, das darauf abzielt, neue Lösungen zu entwickeln und etablierte Wege stetig zu hinterfragen. Wir sind fest davon überzeugt, dass die kontinuierliche Weiterentwicklung unserer Lösung und die enge Zusammenarbeit mit unseren Kunden der Schlüssel zum Erfolg ist.
 

Erfahre mehr über die ICT-Services

Für Kunden mit hohen Ansprüchen an Sicherheit, Zuverlässigkeit und Vertrauen. Zugeschnitten auf die Energiebranche und gehostet in der Schweiz.

Link

ICT

Erfahre mehr über die ICT-Services

Für Kunden mit hohen Ansprüchen an Sicherheit, Zuverlässigkeit und Vertrauen. Zugeschnitten auf die Energiebranche und gehostet in der Schweiz.

ICT-Services