Security Information and Event Management – Verdächtiges frühzeitig erkennen

bei

 / 5. April. 2018

In der IT Security ist Zeit ein wichtiger Faktor. Denn nur wer verdächtige Verhaltensmuster im Unternehmensnetzwerk rechtzeitig erkennt, kann schnell reagieren und größeren Schaden vermeiden. Ein Security Information and Event Management (SIEM) ist dabei eine unverzichtbare Hilfe. Auch für kleinere und mittelständische Unternehmen gibt es geeignete Lösungen.

Unternehmen haben heute eine Vielzahl von Sicherheitssystemen in Betrieb – von Proxies und Firewalls bis Intrusion Prevention and Detection. Sie alle liefern umfangreiche Daten. Ein Security Information and Event Management (SIEM) sammelt diese Log-Dateien in einer zentralen Datenbank. Zusätzlich bezieht es auch Informationen von anderen Netzwerksystemen mit ein, zum Beispiel Server, Switches und Router. Das SIEM kann die gesammelten Daten in Korrelation setzen und auswerten. Dadurch gewinnen Sicherheitsverantwortliche ein ganzheitliches Bild aller Aktivitäten im Netzwerk, können Zusammenhänge erkennen und verdächtige Verhaltensweisen schnell aufdecken.

Analysieren, warnen und Schwachstellen aufdecken

Versucht ein Nutzer zum Beispiel mehrfach vergeblich, sich bei verschiedenen Systemen anzumelden, und ist dann plötzlich erfolgreich, deutet das auf einen Sicherheitsvorfall hin. Auch wenn sich jemand kurz hintereinander von verschiedenen Standorten aus per VPN im Unternehmensnetzwerk einwählt, ist dies verdächtig. Das SIEM erkennt, dass etwas nicht mit rechten Dingen zugehen kann, und schlägt Alarm. Bei entsprechender Konfiguration kann es auch selbst direkt Aktionen durchführen, um das entdeckte Risiko zu mindern – zum Beispiel eine Firewall-Regel ändern.

Ein SIEM konzentriert sich jedoch nicht nur auf die Auswertung von Events. Um auffälliges Nutzerverhalten jederzeit im Blick zu behalten, enthalten viele Lösungen User and Entity Behavior Analytics (UEBA). Sie beobachten und analysieren das Verhalten von Anwendern sowie Endgeräten. Dazu erstellt das SIEM Verhaltensprofile, die etwa Logins, Aktivitäten innerhalb eines Netzwerks oder den Zugriff auf Dateien und Ordner berücksichtigen. Versucht etwa ein Mitarbeiter, sensible Informationen zu versenden, könnte das ein Hinweis auf Datenklau sein. Werden bei einem Endgerät ungewöhnliche Aktivitäten festgestellt, liegt die Vermutung nahe, dass es gehackt wurde – was oft ein Anzeichen für einen Sabotageversuch ist.

Auch bei der rückblickenden Aufklärung von Vorfällen leistet das SIEM wertvolle Hilfe. Anhand der Datenauswertung versetzt es Administratoren in die Lage, genau nachzuvollziehen, was passiert ist. Wurde zum Beispiel ein System kompromittiert, können sie feststellen, welche Aktionen zuvor im Netzwerk abgelaufen sind. Damit lässt sich die Sicherheitsverletzung exakt protokollieren. Gleichzeitig hilft eine solche Analyse dabei, Schwachstellen aufzudecken und mit geeigneten Maßnahmen zu schließen.

Darauf sollten Sie bei einer SIEM-Lösung achten

Ein SIEM ist immer nur so gut wie die Logdateien, die es erhält. Für eine umfassende Darstellung der Sicherheitslage sollte es herstellerübergreifend mit möglichst vielen Systemen kompatibel sein. Vorsicht also bei Lösungen, die nur mit den Produkten des eigenen Herstellers zusammenarbeiten, denn mit ihnen lässt sich lediglich ein Teil der Infrastruktur abdecken. Außerdem sollten Unternehmen darauf achten, dass sich das SIEM einfach administrieren lässt. Bei frei verfügbaren Angeboten ist das häufig nicht der Fall und die Inbetriebnahme wird zur aufwändigen Bastelei.

SIEM-Lösungen haben den Ruf, teuer zu sein. Deshalb leisten sich vorwiegend größere Unternehmen ein solches Sicherheitssystem. Doch auch kleinere Betriebe sollten sich nicht abschrecken lassen. Häufig gibt es die Möglichkeit, die Kosten überschaubar zu halten, indem man zunächst einmal nur wenige wichtige Logquellen auswertet. Denn meist hängen die Preise davon ab, wie viele Loginformationen pro Sekunde verarbeitet werden.

SIEM als Managed Service

Alternativ gibt es auch die Möglichkeit, SIEM bei einem Managed Services Provider als Leistung in Anspruch zu nehmen. Das hat den Vorteil, dass Unternehmen selbst keine Software kaufen müssen. Der Dienstleister stellt diese zur Verfügung und rechnet nach verbrauchten Ressourcen ab. Auch um den Betrieb kümmert er sich. Unternehmen müssen lediglich festlegen, welche Log-Dateien sie auswerten möchten. Dies können sie jeden Monat ganz nach Bedarf ändern. Ein SIEM im Service-Modell ist also für alle Unternehmen empfehlenswert, die Flexibilität wünschen und selbst kein Know-how aufbauen möchten.

Das SIEM wird intelligent

Ein SIEM kann Angriffe zwar nicht verhindern, sie aber frühzeitig aufdecken. Es übernimmt quasi die Funktion eines Feuermelders und schlägt Alarm, wenn es einen „Brand“ entdeckt. Security Verantwortliche können schnell geeignete Maßnahmen ergreifen, bevor größerer Schaden entsteht.

Da ein SIEM die Reaktionszeiten erheblich verkürzt, sollte heute kein Unternehmen mehr darauf verzichten. Künftig wird künstliche Intelligenz zunehmend Einzug in das Security Information and Event Management halten. Solche selbstlernenden Systeme können Gefahren noch schneller erkennen. Erste Lösungen gibt es bereits, zum Beispiel IBM QRadar mit integrierter Watson-Funktionalität oder die TLM-Plattform von LogRhythm mit selbstlernenden Analysefunktionen aus der Cloud.

Der Autor: Eike Trapp ist staatlich geprüfter Techniker für Informations- und Kommunikationstechnik und beschäftigt sich seit mehr als einem Jahrzehnt insbesondere mit SIEM-Systemen. Seit 2014 ist er bei Axians IT Security als Senior Security Consultant tätig und verantwortet SIEM-Projekte unter anderem für die Energie- und Bankenwirtschaft, im Versandhandel und im öffentlichen Dienst.

Vorheriger ArtikelMaschinelle Identitäten & IoT – Intelligente Geräte ohne Schutz von maschinellen Identitäten ist ein großes und wenig verstandenes Risiko
Nächster ArtikelUnternehmenssicherheit muss in die Köpfe der Mitarbeiter