James Thew - Fotolia

SIEM: Continuous Monitoring in Zeiten von Big Data

Ein SIEM-System erlaubt nützliche Big-Data-Analysen und ermöglicht gleichzeitig, den Überblick über alle Vorgänge im Netzwerk zu behalten.

Das kontinuierliche Monitoring aller sicherheitsrelevanten Vorfälle im Netzwerk eines Unternehmens wird immer wichtiger. Nicht zuletzt auch der aktuelle Lagebericht des BSI weist in seinen Empfehlungen zur Abwehr von intelligenten Angriffen, sogenannten Advanced Persistent Threats (APT), darauf hin, dass IT-Sicherheitsmaßnahmen im Bereich Detektion und Monitoring sowie im Bereich der Vorfallsbearbeitung vorzunehmen seien. Trends, die diese Empfehlung befeuern sind Big Data und das Internet der Dinge. Zum einen gibt es immer mehr Geräte aller Art im Netzwerk und zum anderen fallen auch immer mehr Daten an, die auf den Geräten gesammelt werden. Beide Trends sorgen auch automatisch für mehr Sicherheitsvorfälle, denn zum einen gibt es bei den neuen intelligenten Dingen jede Menge unbekannte Schwachstellen und zum anderen ist unklar, welche Daten von ihnen erfasst werden. Hier spielen SIEM-Systeme eine immer größere und wichtigere Rolle, denn sie sind in der Lage, Verstöße gegen vorher definierte Richtlinien aufzuzeichnen und diese zeitnah an die dafür vorgesehenen internen Stellen zu melden. Einige Systeme eignen sich durch die Weiterentwicklung sogar für das Risiko-Management.

Unbekannte Geräte im Netzwerk erkennen

Alle IT-Systeme, ob klassische Netzwerkkomponenten, mobile Geräte oder intelligente Dinge des Internets erstellen automatisch Log-Daten. Das ist unabhängig davon, ob sie benachrichtigender Natur sind oder ob es sich um sicherheitsrelevante Warnungen handelt. Sie enthalten außerdem Informationen, was für eine Aktivität durchgeführt wurde und welcher Nutzer sie beauftragt hat. SIEM-Lösungen sammeln all diese Daten an einem zentralen Ort, egal aus welchem System, von welchem Gerät oder von welchem Nutzer diese stammen. Durch einen Zeitstempel werden die Log-Dateien außerdem zeitlich erfasst und lassen sich später sortieren und analysieren. Diese zeitliche Einordnung der Ereignisse ist für die revisionssichere Nachverfolgung und für eine etwaige forensische Auswertung wichtig. Eine für Unternehmen durchaus interessante Komponente sind Alarme in Echtzeit, die als Warnmeldungen auf Sicherheitsvorfälle im Netzwerk hinweisen. Dies kann je nach Konfiguration ein unbekannter Nutzer, ein unbekanntes Gerät oder aber ein Fehlverhalten aufgrund zuvor definierter Richtlinien, beispielsweise die Anmeldung per Fernzugriff aus einem offenen Wi-Fi-Netzwerk aus, sein.

„In den letzten Jahren wurden SIEM-Systeme zu regelrechten Risiko-Management-Tools erweitert.“

Søren Laustrup, LogPoint

xxx

SIEM ist intelligentes Netzwerk-Monitoring

Alle oben beschriebenen Eigenschaften eignen sich, um den Ansprüchen eines modernen Continous-Monitoring-Systems zu genügen. Allerdings können einige SIEM-Lösungen sogar noch mehr. Systemausfälle durch Überlastung oder externe Einflüsse lassen sich mit Warnmeldungen bereits vorher absehen und entsprechende Maßnahmen zur Vermeidung einleiten. Hier kommt es vor allem auf die Intelligenz der im Einsatz befindlichen Systeme an.

Es kommt letztlich auf die Schnelligkeit an, denn es geht darum, wie rasch und einfach sich die kritischen Daten sammeln, auswerten und in automatische Alarme umwandeln lassen. Letztlich benötigen Administratoren und Sicherheitsverantwortliche präzise Informationen, auf deren Grundlage sie Entscheidungen treffen müssen, wo sie ansetzen, um den Ausfall verhindern oder aber Eindringlinge aus dem Netzwerk hinauswerfen zu können. Ein Beispiel, welche kritischen Daten ein SIEM-System verarbeitet, sind CAD-Daten, die über einen Kollaborations-Tool wie Dropbox über Standorte hinweg geteilt werden. Mit einer SIEM-Lösung lassen sich die Zugriffe über solche Datentransferdienste auf das eigene Netzwerk feststellen und deren Herkunft analysieren. Das erhöht auch die Sicherheit der Daten, die im Cloud-Dienst gespeichert wurden. Lassen sich die Angriffe über das System feststellen, dann können die unerwünschten Zugriffe mit anderen Security-Tools auch geblockt werden.

Automatisiertes Risiko-Management, geht das?

Wie bei diesem Beispiel erhält das Sammeln, Korrelieren und Auswerten von Log-Daten durch die Warnmeldungen in Echtzeit eine Risiko-Management-Komponente. Diese macht sie vor allem für Unternehmen attraktiv, die im Fokus von Cyberkriminellen stehen und mit Angriffen rechnen müssen. Hier sind vor allem die Hidden Champions gemeint, also Unternehmen, die international Markführer auf ihrem Gebiet sind, jedoch so spezialisiert, dass sie außerhalb ihrer Branche nicht wahrgenommen werden. Nicht nur der Lagebericht des BSI weißt hier auf eine erhöhte Gefahr hin und warnt vor allem vor unentdeckter Cyberspionage. Hier können ausgewertete Log-Daten den Abfluss von Daten genau verorten und den gehackten Nutzer-Account oder aber die Schadsoftware erkennen. Allerdings nur, wenn die entsprechenden Prozesse automatisiert erfolgen und die Verantwortlichen die Informationen so erhalten, dass sie daraus ihre Schlüsse ziehen und darauf reagieren können.

Fazit

In den letzten Jahren und mit der Zunahme der Bedeutung von Intrusion-Detection- und Intrusion-Prevention-Ansätzen wurden SIEM-Systeme zu regelrechten Risiko-Management-Tools erweitert. Zudem wurde auch deutlich an der Flexibilität der Implementierung gearbeitet, so dass sich SIEM-Lösungen auch problemlos in ERP-Systeme wie SAP integrieren lassen, beziehungsweise die SAP-Daten von den SIEM-Systemen reibungslos verarbeitet werden können. Diese Fähigkeiten versetzen die Systeme in die Lage, den Anforderungen nicht nur an ein kontinuierliches Beobachtungssystem, sondern auch an ein teilautomatisiertes Risiko-Management-System gerecht zu werden. Administratoren und Sicherheitsverantwortliche gleichermaßen verfügen dann über ein System, dass es Ihnen einerseits ermöglicht, Big-Data-Analysen für sich nutzbringend einzusetzen, aber zugleich auch den Überblick über alle Vorgänge im Netzwerk zu behalten.

Über den Autor:
Søren Laustrup ist Gründer von LogPoint. Das in Kopenhagen ansässige Unternehmen ist vor allem auf das Geschäft mit mittelständischen und großen Unternehmen sowie den öffentlichen Sektor ausgerichtet. Es liefert bereits SIEM-Lösungen an eine Reihe von Kunden in der DACH-Region.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Februar 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Network-Intrusion-Detection und -Analyse

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close