Eine clevere Verteidigung: Überdenken Sie den Einsatz Ihrer SIEM-Produkte

SIEM-Lösungen geben einen Überblick über die IT-Sicherheit, wehren Attacken ab und liefern Berichte – benötigen allerdings passende IT-Ressourcen.

Unternehmen brauchen dynamische Verteidigungssysteme, die bösartiges Verhalten identifizieren, selbst wenn dieses Verhalten noch nie zuvor gesehen wurde. Schließlich sind diese Attacken für den Großteil der gefährlichen Zero-Day-Attacken verantwortlich, die täglich Schaden in IT-Umgebungen verursachen. Eine Schlüsselrolle in einer Verteidigung fällt den Produkten der Kategorie Security Information and Event Management, kurz SIEM, zu. SIEM bildet eine zentrale Rolle beim Sammeln von Daten und Überwachen der Netzwerkaktivität.

Leider haben SIEM-Produkte dank problematischer Implementierungen und zu großen Versprechungen von Herstellern eine angekratzte Reputation. Viele SIEM-Lösungen wurden ausgerollt, um Compliance-Richtlinien zu erfüllen, wenige Unternehmen nutzen tatsächlich das Potential der Systeme vollkommen aus.

Die zweite Generation der SIEM-Produkte könnte das ändern. Die erweiterten Analyse- und verbesserten Auswertungsfunktionen für gesammelte Daten bedeuten, dass eine größere Anzahl von Aktivitäten überprüft und in Kontext gesetzt werden kann. So lassen sich auffällige Aktivitäten in Echtzeit aufspüren.

Datenmengen mit SIEM überprüfen

Unternehmen erstellen kolossale Datenmengen: Emails, Dokumente, Interaktionen in Social Media Netzwerken, Audio, Netzwerkdatenverkehr, Clickstreams, Log-Dateien auf die zugegriffen wird, Änderungen in der Registry und Prozesse, die gestartet und gestoppt werden. Systeminformationen, etwa zum Prozessor und Ausnutzung des Speichers, können ebenfalls nützlich sein, um unerwartete Veränderungen im Status der Systeme zu erkennen. Die schiere Masse an Daten, die ein System verarbeiten muss, zeigt wie wichtig die Skalierungsfähigkeiten, Analysefunktionen und die Unterstützung heterogener Quellen sind, wenn Sie die nächste Generation SIEM-Produkte wählen. Die Werkzeuge um diese Daten auszuwerten und zu visualisieren sind ein anderer Punkt, den Sie in jedem Fall beachten sollten. Zudem sollten Sie die Möglichkeit, Aktionen aufgrund der erstellten Analysen ausführen zu können, berücksichtigen.

SIEM-Systeme müssen über eine „adaptive Intelligenz“ verfügen, um diese Daten komplett nutzen und die in den Unternehmensdaten versteckten Hinweise aufspüren zu können. Anders gesagt, das System muss lernen, welche Verhalten zum normalen Arbeitsalltag gehören und welche Vorfälle auf einen Zwischenfall hinweisen. Die Systeme müssen außerdem in der Lage sein, Angriffsmuster zu identifizieren, selbst wenn diese Attacken über einen längeren Zeitraum stattfinden. Das Erstellen der SIEM-Regeln ist ein sukzessiver Prozess, allerdings können Produkte, die sowohl regelbasiert wie auch ohne Regeln arbeiten, die notwendige Zeit bis zu einer funktionierenden Konfiguration enorm verringern. Sie können die Überwachung der Zugriffe automatisieren sowie die Anzahl der False-Positive-Meldungen reduzieren. Selbstlernende Algorithmen sind zwar noch in ihrer Anfangsphase, aber eine Kombination aus Überprüfung in Echtzeit mit Hilfe von Fuzzylogik, Verhaltensanalysen, Algorithmen zu Clustering und einem ausgefeilten Regelwerk kommt einer echten signaturlosen Überwachung ziemlich nah. Die Systeme sind inzwischen gut darin, unerlaubten Zugriff zu entdecken und zu verhindern, während sie zeitgleich normale Aktivitäten nicht beeinträchtigen.

Ebenfalls hilfreich sind Feeds von globalen Sicherheitsanbietern. Diese können Hinweise auf verdächtige Verhaltensweisen geben, selbst wenn diese Aktionen außerhalb des eigenen Netzwerks stattfinden. Setzen Sie auf Feeds, die flexible Informationen liefern, sich leicht ausrollen lassen und mit bereits existierenden Sicherheitsprodukten zusammenarbeiten. Unerlässlich ist die Echtzeitanalyse von strukturierten und unstrukturierten Daten.

Unternehmen mit Cloud-basierter Infrastruktur sollten nach Anbietern Ausschau halten, die SIEM-Daten für lokal installierte SIEM-Produkte verfügbar machen können. Das ermöglicht eine einheitliche Übersicht über lokale und in der Cloud vorgehaltene Daten – solange die SIEM-Daten des Anbieters mit dem lokal verwendeten System kompatibel sind. In Platform-as-a-Service (PaaS-) Umgebungen können die IT-Verantwortlichen eigene Agenten installieren, welche die Daten zu den lokal installierten SIEM-Systemen schicken können. Einige Lösungen arbeiten zudem mit den APIs von Software-as-a-Service- (SaaS-) Anbietern zusammen um Daten über mehrere Plattformen hinweg zu sammeln und zentral aufzubereiten. Damit lassen sich Audit-Berichte über alle genutzten Systeme erstellen, die Informationen über lokale und Cloud-basierte Systeme beinhalten. Beachten Sie aber: Verfügbare Bandbreite, Latenz und Daten-Transfer-Kosten können die Gegenmaßnahmen gegen bösartige Aktivitäten beeinträchtigen.

Die wichtigste Funktion einer modernen SIEM-Lösung ist allerdings der zentrale Überblick über alle gesammelten Informationen. Idealerweise beinhaltet dieser Bericht mögliche Gegenmaßnahmen, so dass Administratoren auf einen Blick sehen können, wo ihre Aufmerksamkeit benötigt wird. Nicht zu vergessen sind Funktionen, mit denen sich die Berichte in verschiedenen Formaten exportieren lassen – unterschiedliche Abteilungsleiter benötigen oft unterschiedliche Ausführungen der Berichte. Dies kann Prozesse deutlich beschleunigen und es einfacher machen, die richtigen Entscheidungen zu treffen.

Beschleunigte Entscheidungsprozesse geschehen nicht nur dadurch, dass SIEM mehr und mehr Informationen zugänglich gemacht werden. Vielmehr müssen auch die Sicherheitsverantwortlichen schnell reagieren und entsprechende Aktionen ausführen. Teams, die auf Zwischenfälle reagieren, müssen mit den jeweiligen Warnungen und Alarmen der SIEM-Lösung vertraut sein. Sie müssen durchdachte und getestete Prozeduren in petto haben, die bei einem Zwischenfall schnell und effektiv das Problem bekämpfen. Das sorgt nicht nur dafür, dass die richtigen Personen wissen, welche Aktionen sie treffen müssen, sondern auch, dass Gegenmaßnahmen koordiniert ausgeführt werden.

Natürlich müssen Sicherheitsteams über die notwendigen Ressourcen verfügen, um auf die von der SIEM generierten zusätzlichen Warnungen zu reagieren. Wer sich die Zeit nimmt, mit Hilfe von SIEM ein vollständiges Inventar der verfügbaren Daten zu erstellen und diese zu klassifizieren, erhält ein SIEM-System, das schnell auf etwaige Zwischenfälle reagieren und die entsprechenden Gegenmaßnahme priorisieren kann. Die meisten Produkte bringen passende Programme mit, über die sich das Netzwerk und Endpunkte katalogisieren lassen und die Administratoren eine Menge Zeit sparen können.

Sicherheit ist kein Produkt, sondern ein ständiger Prozess. Eine SIEM-Lösung, die über ausreichend Ressourcen und eine gute Konfiguration verfügt, gibt einen konstanten Überblick über den Sicherheitsstatus, aktuelle Bedrohungen und Schwachstellen. IT-Teams können Probleme schnell erkennen und die wichtigen Systeme vor Angriffen bewahren – das wiederum sorgt dafür, dass geschäftskritische Prozesse weiterlaufen. Genügend Ressourcen und ordentlich geprüfte Verfahren vorausgesetzt, trägt eine SIEM-Lösung dazu bei, dass sich die gesamte Sicherheit eines Unternehmens langfristig verbessert.

Folgen Sie SearchSecurity auf Twitter @ssecurityde.

Artikel wurde zuletzt im März 2014 aktualisiert

Erfahren Sie mehr über Compliance

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close