Sichtbarkeit, Erkennung und Reaktion: SIEM-freie Architekturen für vereinfachte Cybersicherheit

Illustration: Absmeier

Bei der Realisierung eines guten Incident-Response-Programms gilt es, die Sichtbarkeit, Erkennung und Reaktion mit den Kosten und der Komplexität für Aufbau und Wartung eines effektiven Security-Stacks in Einklang zu bringen. Dies erweist sich vor dem Hintergrund, dass die Anzahl an Angriffen stetig zunimmt und damit auch die Menge an »Alarmmeldungen« in den Unternehmensnetzen steigt, als große Herausforderung.

 

In der Vergangenheit stand das Security Information and Event Management (SIEM) im Mittelpunkt vieler Sicherheitskonzepte. Ziel war es, damit eine breite Palette von Anwendungsfällen abzudecken, einschließlich Bedrohungserkennung, Compliance-Berichterstattung, Alarmzentralisierung sowie Bereitstellung von Analystenprozessen und Workflows.

 

Für einige Unternehmen ist SIEM ideal als zentraler Punkt für alles im Zusammenhang mit der Erkennung von Bedrohungen und Protokollen. Für andere ist die Fähigkeit, ein effektives SIEM zu managen, vor allem von der Verfügbarkeit von Fachkräften abhängig. So mangelt es nach Angaben von Vectra häufig an Fachkräften für Blue-Team-Rollen.

 

»Leider gehen mit dem SIEM häufig zusätzliche Overhead-Schichten einher, und nicht jeder Untersuchungs- oder Incident-Response-Workflow muss in einem SIEM vorhanden sein. Entscheidend ist, welche Ereignisse das höchste Signal-Rausch-Verhältnis für die Bedrohungserkennung bieten. Was nützt also ein SIEM in einer Umgebung mit beschränkten Ressourcen?«, fragt Gérard Bauer, VP EMEA bei Vectra.

 

Um diese Frage zu beantworten, gilt es, die Anforderungen an die Erkennung von Bedrohungen und die Reaktion auf Vorfälle zu definieren:

 

  • Transparenz über die Assets des Unternehmens, unabhängig davon, wo sie sich befinden. Dazu zählen Rechenzentrums- und Cloud-Workloads, firmeneigene Notebooks sowie BYOD- und IoT-Geräte.
  • Korrelation von Sicherheitsereignissen und die Fähigkeit, Beziehungen zwischen Workloads und Geräten zu identifizieren.
  • Kontext des Geschehens im Zusammenhang mit einer umsetzbaren Reaktion.
  • Wiederholbare Prozesse und Workflows, die es Junior-Analysten ermöglichen, Sicherheitskompetenzen schnell zu entwickeln, und Senior-Analysten, schnelle und schlüssige Untersuchungen durchzuführen.
  • Bedrohungserkennung und -untersuchung, die von jedem Punkt aus starten kann.

 

Während das Netzwerk der einfachste Weg ist, um größtmögliche Sichtbarkeit zu erhalten, und ein guter Ausgangspunkt, um zu wissen, wo man jagen soll, können andere Datenquellen den Kontext bereichern.

 

Die Bedrohungserkennung erfordert den Kontext von Netzwerken und Endpunkten sowie Protokolle. Jede dieser Datenquellen sollte durch spezielle Tools unterstützt werden, die speziell für die Sichtbarkeit, Erkennung und Reaktion in den jeweiligen Datentypen von Grund auf neu entwickelt wurden, um optimal zusammenzuarbeiten.

 

Es gibt eine neue Art von SIEM-loser Sicherheitsarchitektur, die es Unternehmen ermöglicht, Mitarbeiter mit allgemeiner IT-Erfahrung einzusetzen, die dann zu Sicherheitsanalysten der nächsten Generation avancieren. Diese spezialisierten Erkennungs- und Reaktionsplattformen bieten leicht verständliche, wiederholbare Prozesse als Bausteine einer effektiven Untersuchung, unabhängig von der Art der Bedrohung, der Unternehmen gerade ausgesetzt sind.

 

Die drei Schlüsselkomponenten dieser dynamischen Architektur bestehen aus Netzwerk- und Endpunkterkennung und -reaktion (NDR und EDR) in Kombination mit Sicherheitsautomatisierung und -orchestrierung, zusammengeführt im Incident Response Case Management.

 

»Die Untersuchungen können überall beginnen, egal ob bei der Netzwerk-, Endpunkt- oder Sicherheitsautomatisierung und -Orchestrierung, da wichtige Komponenten der Architektur miteinander kommunizieren«, erklärt Gérard Bauer. »Die Anreicherung von Ereignissen mit zusätzlichen Informationen und die Durchsetzung von Reaktionen werden oft durch die Sicherheitstools am Netzwerkperimeter ermöglicht, die bereits vorhanden sind.«

 

Diese Architektur wird häufig in Umgebungen beispielsweise mit einer Integration zwischen Vectra, CrowdStrike, Demisto und Palo Alto Networks eingesetzt. Solch ein Konstrukt ermöglicht eine Integration gezielter Maßnahmen, basierend auf dem Tagging der Cognito-Plattform, das Ereignisse auslöst, und der Automatisierung in Demisto. Dieser Ansatz liefert wertvolle Erkenntnisse, die es Sicherheitsteams ermöglichen, sehr effektive Blue Teams aufzubauen.

 

Mit einer besseren Datenquelle wie NDR von Vectra und EDR von CrowdStrike können Sicherheitsanalysten die Kosten und Komplexität von SIEMs reduzieren und gleichzeitig die Vorteile einer schnelleren Reaktion auf Vorfälle nutzen.

 

Die Cognito-Plattform wurde speziell für die Integration mit Endpunktschutz, Orchestrierung, Firewalls, Clouds und virtualisierter Rechenzentrumssicherheit entwickelt. Somit kann sie bestehende Workflows für die Reaktion auf Vorfälle unterstützen, angepasst an die Anforderungen des jeweiligen Unternehmens.

 

Diese Integrationen umfassen VMware, Microsoft Azure, Amazon Web Services, CrowdStrike, Carbon Black, Demisto, Splunk Phantom, Juniper, Palo Alto Networks und mehr. Auf diese Weise können Sicherheitsanalysten einfach zwischen beliebigen Plattformen oder Tools wechseln und gleichzeitig einen umfassenden Kontext über kompromittierte Hostgeräte und Bedrohungsfälle liefern.

 

Selbst wenn sich ein Unternehmen von seinem SIEM nicht trennen kann, weil es als Zentrum seiner Bedrohungsforschung wahrgenommen wird, kann dies in solch ein Konstrukt zusätzlich integriert werden.

 

227 search results for „SIEM“

Ohne Cyberleiche kein IT-Verbrechen – Fragen an die Leistungsfähigkeit des SIEM-Konzepts

Gerade zum bevorstehenden Jahreswechsel schießen die Spekulationen über kommende Entwicklungen im Bereich IT-Sicherheit ins Kraut. Dabei werden sehr häufig Produktkategorien und Technologien mit häufig unklaren Definitionen verwendet und einander gegenübergestellt. Dies gilt beispielsweise auch für die automatisierte Analyse des Netzwerkverkehrs mithilfe künstlicher Intelligenz und den Einsatz von SIEM (Security Information and Event-Management). Worin sich diese…

DSGVO und SIEM – Bedeutung für Krankenhäuser in Zeiten von Locky & Co.

Am 25. Mai 2018 ist es soweit, die Datenschutzgrundverordnung (DSGVO) wird dann in Kraft treten und muss auch bei den Krankenhäusern umgesetzt werden. Mit organisatorischen Maßnahmen zur Erhöhung des Datenschutzes und mit technischen Maßnahmen wie SIEM müssen die Gesundheitsorganisationen darauf reagieren.

Acht Praxistipps: Kosten und Performance von SIEM-Systemen optimieren

Security Information and Event Management (SIEM) ist zweifellos eine tragende Säule für die Sicherheitsstrategie von Unternehmen. Aber auch ein zweischneidiges Schwert: Denn wenn im Unternehmen immer mehr digitalisiert wird, nimmt auch die Menge der Nutzungsdaten rasant zu, die gesammelt, gespeichert und verarbeitet werden müssen – und damit auch die Kosten. Mit den Tipps von Balabit…

Wunderwaffe SIEM?

Wozu taugt die Wunderwaffe SIEM (Security Information and Event Management)? Lesen Sie in diesem Whitepaper von NCP über das Einfallstor Remote Access, SIEM und Remote Access VPN, SIEM und Network Access Control und die bessere Absicherung von VPN-Verbindungen.

SIEM-Systeme: Zwischen Gut und Böse unterscheiden lernen

Mit SIEM-Systemen verfügen Unternehmen über eine mächtige Waffe im Kampf gegen die immer weiter wachsende Zahl von Cyber-Attacken auf Unternehmensnetzwerke. Tim Cappelmann, Leiter Managed Security bei AirITSystems, über den Einsatz von neuen Sicherheitssystemen in Unternehmen. Vor wenigen Jahren waren SIEM-Systeme (Security Information and Event Management) vor allem als Hype-Thema in aller Munde. Seit dem hat…

Managed Infrastructure Services: Managed SIEM

Managed Infrastructure Services: Managed SIEM

Security Information & Event Management (SIEM) ist eines der derzeit am schnellsten wachsenden Segmente im Bereich IT-/Information-Security. Dieses Wachstum ist einerseits auf steigende Compliance-Anforderungen (SOX, PCI-DSS, IT-Grundschutz etc.) zurückzuführen und andererseits auf das Bedürfnis, sicherheitsrelevante Vorfälle zeitnah zu erkennen.

So werden die Bordnetzhersteller zu Gewinnern der CASE-Trends

Die umwälzenden Veränderungen der Automobilbranche bedrohen viele Zulieferersegmente in ihrer Existenz. Die Bordnetzhersteller dagegen können nach Ansicht von DiIT die großen Gewinner werden – wenn sie ihre Hausaufgaben machen. Connected, Autonomous, Shared & Services, Electrified – oder einfach kurz CASE. Diese vier Trends stellen die Automobilbranche auf den Kopf und werden sie für immer nachhaltig…

Automatisierung: Die Fertigung wird immer intelligenter

Die Fertigungsindustrie strotzt von Beispielen an Unternehmen, die neueste technologische Entwicklungen in ihren Produktionsstätten einsetzen. Ihr Ziel: Verbesserung der Prozesse, höherer Automatisierungsgrad und Förderung des zukünftigen Unternehmenswachstums. Eine Studie von Epicor zeigt, dass sich 95 Prozent der befragten Fertigungsunternehmen in Deutschland in irgendeiner Form mit digitaler Transformation auseinandersetzen Ein Paradebeispiel ist Siemens, das mithilfe von…

Sicherheitsteams verdienen einen besseren Ansatz für Erkennung und Reaktion auf Cyberangriffe

Für viele Unternehmen ist das IT-Sicherheitsteam die erste Verteidigungslinie gegen alle bekannten und unbekannten Bedrohungen. Die zentrale Aufgabe solcher Teams besteht darin, Bedrohungen in ihrer gesamten digitalen Umgebung zu identifizieren, zu untersuchen und zu entschärfen. Da die Angreifer zunehmend automatisierter und komplexer vorgehen, verlassen sich Sicherheitsteams auf einen mehrschichtigen Ansatz zur Prävention, wie Palo Alto…

Weitere Artikel zu