https://pixabay.com/de
Die Cybersicherheitslandschaft wird zusehends komplexer. Hacker warten ständig mit neuen Ideen auf. Parallel dazu generieren Business-Technologien Unmengen an Daten. Das bringt traditionelle SIEM-Lösungen (Security Information and Event Management) an ihre Grenzen: Sie sind nicht skalierbar und verwenden beim Erkennen von Bedrohungen lediglich regelbasierte Techniken. Es gibt einige entscheidende Merkmale, die eine moderne von einer traditionellen SIEM-Lösung unterscheiden. Wie die im Einzelnen aussehen dazu fragen wir Ralph Kreter von Securonix.
Was unterscheidet traditionelle SIEM-Plattformen von modernen Ansätzen und warum braucht man überhaupt neue Wege beim SIEM?
Ralph Kreter, Securonix: Die Datenmenge, die wir heutzutage über verschiedene Quellen im Unternehmensnetz sammeln ist immens. Daten von Endpunkten, Anwendungen, Netzwerkgeräten, VPNs, Servern, Cloud-Apps. Es steht mehr Netzwerkkapazität zur Verfügung und die Cloud-Akzeptanz ist deutlich gestiegen. Das hat bereits zu einem exponentiellen Datenwachstum geführt. Dieser Datenfluss selbst erzeugt weitere Daten. Die sind zum einen sicherheitsrelevant kommen aber auch in anderen Anwendungen zum Tragen. Ältere SIEMs sind mit ihren datenbankbasierten Speichern für aktuelle Anforderungsprofile nicht ausreichend skalierbar. Eine proprietäre, tendenziell ineffiziente Architektur hat neben der mangelnden Leistungsfähigkeit noch den Nachteil eines potenziellen Vendor Lock-In.
Moderne SIEM-Lösungen verwenden eine offene Big-Data-Architektur, die Kunden Vorteile hinsichtlich der Datenportabilität und der laufenden Updates durch die Community bringen. Solche Lösungen nutzen einen grundlegend anderen Datenspeicher – nämlich einen, der auf offenen Big-Data-Prinzipien beruht – um die enormen Datenmengen, die ein Unternehmen produziert überhaupt verarbeiten zu können. Erst dann kann man Hunderte Terabyte an Daten kontextsensitiv, effektiv und in Echtzeit analysieren. Im Idealfall sollte man die SIEM-Lösung über gängige Hardwareplattformen bereitstellen und integrieren können.
Ältere Ansätze verlassen sich üblicherweise auf eine regelbasierte Korrelation, die sich ihrerseits an bekannten Mustern orientiert. Welche Alternativen gibt es angesichts einer Bedrohungslandschaft, die sich grundlegend verändert hat, und angesichts eines gefährlich lauten Grundrauschens falscher Positivalarme?
Ralph Kreter: Eine Alternative bieten Technologien, die maschinelles Lernen nutzen um die riesigen Datenmengen zu sichten. Eine verhaltensbasierte Sicherheitsanalyse in Echtzeit ist eine Kombination aus unbeaufsichtigt, beaufsichtigt und statistisch arbeitenden Algorithmen. Sie wurden speziell für die Cybersicherheit entwickelt und haben das Potenzial nicht nur vor bekannten Bedrohungen zu schützen, sondern auch vor solchen, die bis dato unbekannt waren. Das tun sie, indem sie das Verhalten von Benutzern und Entitäten auf Abweichungen und Anomalien hin untersuchen, anstatt sich auf bekannte Signaturen zu verlassen. Mithilfe von maschinellem Lernen ist es möglich Grundprofile des Benutzerverhaltens zu erstellen und Ereignisse miteinander zu korrelieren.
Eine Warnmeldung ohne zusätzlichen Kontext geht nicht selten in der Flut von Warnmeldungen unter. Sicherheitsanalysten müssen dann manuell intervenieren. Das ist aufwendig, fehleranfällig und ineffizient. Eine SIEM-Lösung sollte aber die gesammelten Daten mit Kontextinformationen anreichern. Kontext zu Benutzern, Assets, IP-Adressen, Geolokalisierung, Bedrohungsinformationen, Ergebnissen von Schwachstellenscans und so weiter. Wird dann ein Alarm ausgelöst, helfen die Kontextinformationen den Schweregrad einzuschätzen und zu verstehen. Die Priorität des Alarms wird dementsprechend automatisch angepasst.
SIEM-Lösungen sind geradezu berüchtigt für ausufernde Projektlaufzeiten. Etwa, wenn neue Sicherheitsplattformen integriert oder zusätzliche Datenformate aufgenommen werden sollen…
Ralph Kreter: Eine zeitgemäße SIEM unterstützt eine breite Palette von Integrationen und eine robuste Community-Umgebung. Korrelationsregeln aufzustellen ist mühsam und zeitaufwändig. Selbst geschulte Fachleute, die sich mit Verwaltung und Feinabstimmung auskennen, haben Schwierigkeiten mit Bedrohungen Schritt zu halten, die sich im Sekundentakt ändern. In einer kürzlich durchgeführten Umfrage gaben 34 % der Sicherheitsexperten an, dass das nötige manuelle Erstellen oder Verfeinern von Regeln eine der größten Hürden für die Maximierung des Werts ihrer SIEM-Plattform darstellt. Aktuelle SIEM-Plattformen bieten sogenannten »pre-packed« Content, sie können aber auch dynamisch Content aufnehmen, der aktuelle Bedrohungen widerspiegelt. Alle diese Daten fließen in die Sicherheitsanalysen ein, und man kann Art und Umfang der Bedrohung eingrenzen und klassifizieren. Die Bereitstellung individuellen Anforderungen anzupassen ist dann wesentlich einfacher. Eine aktive Community ist sozusagen der Bonus-Track.
Neben der Komplexität sind die Kosten für die Pflege von Ereignisdaten eine große Hürde auf dem Weg zu einer grundlegenden besseren Sicherheitslage. Ältere SIEMs werden in der Regel nach Durchsatz (Ereignisse pro Sekunde (EPS)) oder Speicher (GB) berechnet. Was heißt das für die Anwender?
Ralph Kreter: Bei Investitionen in die IT-Sicherheit spielt die Kostenstruktur, die mit dem wachsenden Datenvolumen einhergeht, eine große, wenn nicht zu große Rolle. Der Kostendruck zwingt Sicherheitsanalysten zu prognostizieren welche Daten wichtig sind. Große Datenmengen sind aber die Gewähr für eine gut funktionierende Sicherheitslösung. Die Preisgestaltung darf aber einen Kunden nicht aufgrund des Datenvolumens benachteiligen. Die Anzahl der Benutzer liefert eine deutlich bessere Metrik als das Datenvolumen. Und sie ist ein besserer Indikator für Art und Umfang einer Bedrohung. Die Kosten sind dann nicht zwangsläufig an die Menge der Informationen gekoppelt, die man für ein optimales Ergebnis braucht.
Wenn man eine Bedrohung identifiziert hat, kommt es darauf an möglichst schnell zu reagieren. Das fällt nicht zwangsläufig in das Aufgabengebiet einer SIEM-Lösung?
Ralph Kreter: Im Idealfall integriert eine SIEM-Plattform automatisierte Funktionen zur Incident Response, mit denen ein SOC-Team (Security Operations Center) schnell auf Vorfälle reagieren kann. Zu jedem diagnostizierten Problem sollte ein sogenanntes Playbook mit empfohlenen Maßnahmen existieren, auf das sich Incident-Response-Team und forensische Analytiker beziehen können. Solche Playbooks basieren auf branchenüblichen Best Practices und integrieren Lösungen von Drittanbietern wie Netzwerksicherheitstools, Endpoint Protection, Scan-Tools, Sicherheits-Orchestrierungs- und Automatisierungsplattformen sowie Threat Intelligence. Ausgehend von einem Alarm werden automatisch genau festgelegte Aktionen ausgeführt.
Man erfasst etwa sämtliche Maschinen- und Netzwerkprotokolle, nimmt Geräte in Quarantäne, unterbricht Benutzeraktionen und so weiter.
37 % der Cybersecurity-Experten betrachten die Überwachung von Cloud-Infrastrukturen als die größte Herausforderung für ihr Sicherheitsteam …
Ralph Kreter: Das Problem betrifft auch und gerade SIEM-Lösungen. Die älteren arbeiten gerätebasiert und werden häufig auf proprietärer Hardware im lokalen Rechenzentrum ausgeführt. Lokale Lösungen sind ganz klar für die Ära Perimeter-Sicherheit konzipiert, nicht mit Blick auf die Hybrid- und Cloud-Bereitstellungen. Angesichts einer Vielzahl verfügbarer Optionen sollten SIEM-Bereitstellungen zur gesamten IT-Strategie eines Unternehmens passen. Dem Kunden eine Hardwarelösung aufzuzwingen macht wenig Sinn, wenn er die Vorteile einer Hybrid- und Cloud-IT-Strategie für sich nutzen will. Eine moderne SIEM-Lösung sollte Bereitstellungsoptionen für traditionelle Unternehmenshardware / -software sowie für virtuelle und cloudbasierte Umgebungen einschließen.
Bei traditionellen SIEM-Lösungen ist das Erkennen, Untersuchen und Beheben von Bedrohungen ein aufwendiger manueller Prozess. Sicherheitsanalysten nutzen häufig mehrere Sicherheitsprodukte und müssen umständlich von Bildschirm zu Bildschirm wechseln, wenn sie sich ein vollständiges Bild von der Bedrohung machen wollen. Sind diese Szenarien noch zeitgemäß?
Ralph Kreter: Soll eine SIEM-Lösung umfassenden Datenschutz gewährleisten, enthält sie zusätzliche Funktionen, die unter den Oberbegriffen Security Orchestration and Automation Response (SOAR), Network Traffic Analysis (NTA) sowie User and Entity Behavior Analytics (UEBA) zusammengefasst werden. Gerade die Analyse des Benutzerverhaltens erlaubt uns ein tiefergreifendes Verständnis von Bedrohungen wie sie etwa von Social Engineering und kompromittierten Konten ausgehen. Sie hilft Sicherheitsanalysten, Bedrohungen zu visualisieren und ihren Kontext zu verstehen. NTA-Lösungen überwachen den Netzwerkverkehr, den Datenstrom sowie Verbindungen und Objekte. SOAR gestattet es, Fehler zeitnah zu beheben. Laut Gartner gehören UEBA, NTA und SOAR zu den Funktionen, die schrittweise in einer SIEM-Plattform zusammenfließen sollten und die eine State-of-the-Art-Lösung ausmachen.
252 Artikel zu „SIEM“
NEWS | BUSINESS PROCESS MANAGEMENT | CLOUD COMPUTING | EFFIZIENZ | FAVORITEN DER REDAKTION | INFRASTRUKTUR | IT-SECURITY | RECHENZENTRUM | SERVICES
Sichtbarkeit, Erkennung und Reaktion: SIEM-freie Architekturen für vereinfachte Cybersicherheit
Bei der Realisierung eines guten Incident-Response-Programms gilt es, die Sichtbarkeit, Erkennung und Reaktion mit den Kosten und der Komplexität für Aufbau und Wartung eines effektiven Security-Stacks in Einklang zu bringen. Dies erweist sich vor dem Hintergrund, dass die Anzahl an Angriffen stetig zunimmt und damit auch die Menge an »Alarmmeldungen« in den Unternehmensnetzen steigt, als…
TRENDS 2019 | TRENDS WIRTSCHAFT | NEWS | BUSINESS
SAP, Daimler und Siemens sind die attraktivsten Arbeitgeber Deutschlands
Liste der Top Companies: Deutsche Unternehmen sind in diesem Jahr besonders attraktiv. Linkedin, das soziale Netzwerk für beruflichen Austausch, veröffentlicht zum dritten Mal die Liste der 25 Top Companies in Deutschland. Im Vergleich zum Vorjahr sind dieses Mal noch mehr deutsche Firmen unter den Top 25 vertreten, darunter auf den ersten fünf Plätzen SAP gefolgt…
NEWS | BUSINESS PROCESS MANAGEMENT | CLOUD COMPUTING | INFRASTRUKTUR | KOMMUNIKATION| LÖSUNGEN
Sechs Bausteine für erfolgreiche Zusammenarbeit: Siemens zeigt, wie’s geht
Unternehmen wollen keine separaten Lösungen für Chat, Telefon- und Videokonferenzen sowie Screen- und Filesharing, sondern eine Plattform die all diese Funktionalitäten auf einer einzigen Benutzeroberfläche zusammenführt. Viele Kommunikationswege, nur eine Plattform Die Siemens AG verfügt nun nach einem der weltweit größten Collaboration-Rollouts über eine ganzheitliche Kommunikationsinfrastruktur für über 350.000 Mitarbeiter in sämtlichen Unternehmensbereichen. Entscheidend…
NEWS | BUSINESS | TRENDS CLOUD COMPUTING | BUSINESS PROCESS MANAGEMENT | DIGITALISIERUNG | TRENDS GESCHÄFTSPROZESSE | TRENDS SERVICES | GESCHÄFTSPROZESSE | INDUSTRIE 4.0 | TRENDS 2018 | RECHENZENTRUM | SERVICES | STRATEGIEN
Siemens verwirklicht mit Digital Enterprise die Vision von Industrie 4.0
Stunde der Umsetzung von Industrie 4.0 ist gekommen: Fokus auf Branchenlösungen MindSphere – das cloudbasierte, offene IoT-Betriebssystem: konsequenter Ausbau mit neuen Partnern und weiteren Lösungen Diesjähriges Motto: »Digital Enterprise – Implement now!« Siemens präsentiert das kontinuierlich weiterentwickelte Digital-Enterprise-Portfolio für die Industrie 4.0. »Die technischen Voraussetzungen dafür haben wir mit unserem durchgängigen Lösungsangebot geschaffen. Mit…
NEWS | EFFIZIENZ | IT-SECURITY | ONLINE-ARTIKEL | SERVICES | TIPPS
Ohne Cyberleiche kein IT-Verbrechen – Fragen an die Leistungsfähigkeit des SIEM-Konzepts
Gerade zum bevorstehenden Jahreswechsel schießen die Spekulationen über kommende Entwicklungen im Bereich IT-Sicherheit ins Kraut. Dabei werden sehr häufig Produktkategorien und Technologien mit häufig unklaren Definitionen verwendet und einander gegenübergestellt. Dies gilt beispielsweise auch für die automatisierte Analyse des Netzwerkverkehrs mithilfe künstlicher Intelligenz und den Einsatz von SIEM (Security Information and Event-Management). Worin sich diese…
NEWS | BUSINESS | BUSINESS PROCESS MANAGEMENT | DIGITALISIERUNG | GESCHÄFTSPROZESSE | IT-SECURITY | AUSGABE 1-2-2017
DSGVO und SIEM – Bedeutung für Krankenhäuser in Zeiten von Locky & Co.
Am 25. Mai 2018 ist es soweit, die Datenschutzgrundverordnung (DSGVO) wird dann in Kraft treten und muss auch bei den Krankenhäusern umgesetzt werden. Mit organisatorischen Maßnahmen zur Erhöhung des Datenschutzes und mit technischen Maßnahmen wie SIEM müssen die Gesundheitsorganisationen darauf reagieren.
NEWS | DIGITALISIERUNG | INFRASTRUKTUR | IT-SECURITY | STRATEGIEN | TIPPS
Acht Praxistipps: Kosten und Performance von SIEM-Systemen optimieren
Security Information and Event Management (SIEM) ist zweifellos eine tragende Säule für die Sicherheitsstrategie von Unternehmen. Aber auch ein zweischneidiges Schwert: Denn wenn im Unternehmen immer mehr digitalisiert wird, nimmt auch die Menge der Nutzungsdaten rasant zu, die gesammelt, gespeichert und verarbeitet werden müssen – und damit auch die Kosten. Mit den Tipps von Balabit…
WHITEPAPER
Wunderwaffe SIEM?
Wozu taugt die Wunderwaffe SIEM (Security Information and Event Management)? Lesen Sie in diesem Whitepaper von NCP über das Einfallstor Remote Access, SIEM und Remote Access VPN, SIEM und Network Access Control und die bessere Absicherung von VPN-Verbindungen.
NEWS | IT-SECURITY | TIPPS
SIEM-Systeme: Zwischen Gut und Böse unterscheiden lernen
Mit SIEM-Systemen verfügen Unternehmen über eine mächtige Waffe im Kampf gegen die immer weiter wachsende Zahl von Cyber-Attacken auf Unternehmensnetzwerke. Tim Cappelmann, Leiter Managed Security bei AirITSystems, über den Einsatz von neuen Sicherheitssystemen in Unternehmen. Vor wenigen Jahren waren SIEM-Systeme (Security Information and Event Management) vor allem als Hype-Thema in aller Munde. Seit dem hat…
INFRASTRUKTUR | IT-SECURITY | AUSGABE 3-4-2015
SIEM-Lösungen und Big-Data-Implementierungen zu Sicherheitszwecken – Security Intelligence
Unternehmen benötigen Tools die Daten auf intelligente Weise nach Bedrohungen durchsuchen können, bevor diese Schaden anrichten.
STRATEGIEN | AUSGABE 7-8-2014
ISMS und SIEM – Fundierte IT-Sicherheitsstrategie
Durch die Professionalisierung der Angreifer werden die staatlichen Organisationen und die privatwirtschaftlichen Unternehmen gezwungen die Professionalität der eigenen IT-Security zu erhöhen. ISMS und SIEM bedeuten mehr Aufwand, aber auch mehr Sicherheit.
SERVICES | AUSGABE 1-2-2014
Managed Infrastructure Services: Managed SIEM
Security Information & Event Management (SIEM) ist eines der derzeit am schnellsten wachsenden Segmente im Bereich IT-/Information-Security. Dieses Wachstum ist einerseits auf steigende Compliance-Anforderungen (SOX, PCI-DSS, IT-Grundschutz etc.) zurückzuführen und andererseits auf das Bedürfnis, sicherheitsrelevante Vorfälle zeitnah zu erkennen.