Texture Side Right Yellow 03

Was ist SIEM und wie funktioniert es?

SIEM steht für „Security Information and Event Management“ und bietet Unternehmen Erkennungs-, Analyse- und Abwehrfunktionen der nächsten Generation. SIEM-Software umfasst SIM (Security Information Management) und SEM (Security Event Management) und kann daher in Echtzeit Analysen von Sicherheitswarnungen bereitstellen, die von Anwendungen und Netzwerk-Hardware generiert wurden. Ereignisse werden mit Regel- und Analyse-Engines abgeglichen und indiziert, sodass Suchvorgänge nur Sekundenbruchteile in Anspruch nehmen. Für die Erkennung und Analyse komplexer Bedrohungen werden Daten genutzt, die von Technologien und Experten auf der ganzen Welt zusammengetragen werden. Mithilfe der Datenanalysen, Ereigniskorrelation, Aggregation, Berichterstellung und Logdateiverwaltung erhalten Sicherheitsteams einen Überblick über die Aktivitäten in der IT-Umgebung und können diese auch nachverfolgen.

SIEM-Software bietet diverse Funktionen und Vorteile, zum Beispiel:

  • Konsolidierung mehrerer Datenpunkte
  • Benutzerdefinierte Dashboards und hilfreiche Funktionen für das Management von Benachrichtigungen 
  • Integration in andere Produkte

Wie funktioniert SIEM?

SIEM-Software erfasst Log- und Ereignisdaten, die von den Anwendungen, Sicherheitsgeräten und Host-Systemen eines Unternehmens erstellt werden, und speichert diese auf einer zentralen Plattform. Die Software sammelt Daten von Antivirenlösungen, Firewall-Logdateien und anderen Stellen und ordnet sie in Kategorien ein, zum Beispiel Malware-Aktivitäten und fehlgeschlagene oder erfolgreiche Anmeldungen. Wenn sie dabei eine Bedrohung erkennt, löst sie einen Alarm aus und gibt gemäß vordefinierten Regeln eine Bedrohungsstufe an. Versucht beispielsweise jemand, sich innerhalb von zehn Minuten zehn Mal anzumelden, wird das als reguläre Aktivität erfasst. Bei 100 Anmeldeversuchen innerhalb von zehn Minuten würde hingegen ein Angriffsversuch gemeldet. Auf diese Weise werden Bedrohungen erkannt und entsprechende Sicherheitswarnungen ausgelöst. Die benutzerdefinierten Dashboards und das Ereignismanagementsystem von SIEM ermöglichen eine effiziente Untersuchung, sodass auch weniger Zeit mit der Analyse von Fehlalarmen verschwendet wird.

SIEM-Funktionen und -Anwendungen

Da die SIEM-Funktionen kombiniert und in andere Lösungen integriert werden können, bieten sie einen umfassenden Schutz für das gesamte Unternehmen. Das zentrale Dashboard steigert zudem die Benutzerfreundlichkeit und Effizienz. SIEM-Software verstärkt die Unternehmenssicherheit, da sie einen umfassenden Überblick über alle Geräte und Apps eines Unternehmens bietet.

Durch die Bedrohungsregeln, die aus Kenntnissen der Taktiken, Techniken und Prozesse (TTP) der Angreifer abgeleitet werden, und die bekannten Gefahrenindikatoren erfahren Sicherheitsteams mehr über die Angreifer. Mehrere Bedrohungsdaten-Feeds (strukturierte und analysierte Daten zu potenziellen und aktuellen Bedrohungen) unterstützen die Bedrohungserkennung zusätzlich.

Die Komponente für die Bedrohungserkennung kann Bedrohungen in E-Mails, Cloud-Ressourcen, Anwendungen, externen Bedrohungsdatenquellen und auf Endpunkten erfassen. Dazu werden eventuell auch Analysen des Anwender- und Objektverhaltens (User and Entity Behavior Analytics, UEBA) eingesetzt, bei denen Verhaltensweisen und Aktivitäten analysiert und auf irreguläre Aktionen untersucht werden, die auf eine Bedrohung hinweisen könnten. Neben diesen Verhaltensanomalien werden auch die Ausbreitung im Netzwerk und manipulierte Konten erkannt.

Die Komponente für die Sicherheitsanalyse funktioniert ähnlich. Sie erkennt Anomalien in Daten und ermöglicht damit die Suche nach bisher unentdeckten Bedrohungen.

Mit der Komponente für verwaltete Regeln können Unternehmen beinahe in Echtzeit auf die neuesten Angriffstechniken reagieren, da sie nahezu unmittelbar Updates von Analysten erhalten.

Erkennt die SIEM-Software eine Bedrohung, Schwachstelle, verdächtige Verhaltensweise oder einen Angriff, gibt sie eine Warnmeldung aus, damit das Sicherheitsteam des Unternehmens entsprechend reagieren kann. Einige Versionen der Software bieten auch Workflow- und Fallmanagementfunktionen, mit denen sich die Untersuchungen beschleunigen lassen. Dazu werden automatisch Anleitungen erstellt, in denen die einzelnen Analyseschritte sowie die durchzuführenden Suchvorgänge und Aktionen beschrieben werden. Die SIEM-Warnmeldungen können an die jeweiligen Anforderungen der Anwender angepasst werden.

Die Logdateiverwaltung ist eine komplexe SIEM-Komponente und umfasst drei Bereiche:

  1. Datenaggregation: Dabei werden große Datenmengen von verschiedenen Anwendungen und Datenbanken an einem Ort zusammengeführt.
  2. Datennormalisierung: SIEM ermöglicht den Vergleich, die Korrelation und die Analyse unterschiedlicher Daten.
  3. Datenanalyse/Korrelation von Sicherheitsereignissen: Dabei werden potenzielle Hinweise auf ein Datenleck, einen Angriff oder eine Schwachstelle ermittelt.

SIEM vereinfacht auch die Erstellung von Compliance- und Warnmeldungsberichten. Übersichtliche Berichte und Dashboards helfen Unternehmen, Ereignisdaten sinnvoll zu strukturieren und Konten mit privilegierten Zugriffsrechten im Blick zu behalten. Das ist wichtig, da alle branchenspezifischen und gesetzlichen Verordnungen (einschließlich HIPAA) eine Berichterstellung vorschreiben und die meisten auch die Erfassung und Normalisierung von Logdateien voraussetzen.

Einige SIEM-Lösungen, zum Beispiel die von FireEye, sind cloudbasiert.

SIEM-Einsatzbereiche

Für SIEM gibt es zahlreiche Einsatzbereiche in der modernen Bedrohungslandschaft, zum Beispiel bei der Erkennung und Abwehr interner und externer Bedrohungen sowie als Compliance-Maßnahme für diverse gesetzliche Verordnungen.

SIEM für Compliance

Aufgrund der strikteren Compliance-Vorschriften sind Unternehmen gezwungen, stärker in IT-Sicherheitslösungen zu investieren und SIEM spielt dabei eine wichtige Rolle. Damit können Unternehmen die DSGVO und den PCI DSS-, HIPAA- und SOX-Standard einhalten. Es gibt immer mehr derartige Compliance-Vorschriften, die die Erkennung und Meldung von Sicherheitsvorfällen erfordern. In der Vergangenheit wurden SIEM-Lösungen vor allem von großen Unternehmen eingesetzt, doch da Compliance und Sicherheit einen immer größeren Stellenwert einnehmen und Verordnungen wie die DSGVO für alle Unternehmen gelten, müssen in Zukunft eventuell auch kleine und mittelständische Unternehmen in solche Lösungen investieren.

IoT-Sicherheit

Der IoT-Markt (Internet of Things, Internet der Dinge) wächst rasant. Gartner schätzt, dass es 2020 26 Milliarden vernetzte Geräte geben wird. Doch dieses Wachstum birgt Risiken, da die größere Anzahl an vernetzten Geräten auch mehr Zugangspunkte zu einem Unternehmen bietet. Sobald ein Hacker über ein solches Gerät in das Netzwerk eingedrungen ist, kann er sich dort relativ einfach ausbreiten. Die meisten Anbieter von IoT-Lösungen stellen API und externe Daten-Repositorys bereit, die problemlos in SIEM-Lösungen integriert werden können. Damit wird die SIEM-Software zu einem wichtigen Teil der Cybersicherheitsstrategie eines Unternehmens, da sie IoT-Bedrohungen wie DoS-Angriffe abwehren und gefährdete oder manipulierte Geräte in der Umgebung erkennen und melden kann.

Schutz vor Insider-Bedrohungen

Unternehmen sind nicht nur durch externe Angriffe gefährdet, auch Insider-Bedrohungen stellen ein hohes Risiko dar, insbesondere aufgrund des einfacheren Zugriffs. Mit SIEM-Software können Unternehmen die Aktivitäten der Mitarbeiter fortlaufend kontrollieren und Warnmeldungen für irreguläre Ereignisse erstellen, die von den „normalen“ Aufgaben abweichen. Außerdem können sie Konten mit privilegierten Zugriffsrechten besser prüfen und Warnmeldungen für Aktionen erstellen, die ein bestimmter Anwender nicht ausführen darf, zum Beispiel Software installieren oder Sicherheitssoftware deaktivieren.

Neues und altes SIEM im Vergleich

SIEM gibt es schon seit 2005, aber es wurde inzwischen erheblich weiterentwickelt. SIEM-Lösungen der nächsten Generation beinhalten zahlreiche Upgrades, Verbesserungen und neue Funktionen, die bei den vorherigen Versionen fehlten. Zu den Einschränkungen älterer SIEM-Software gehörten:

  • SIEM konnte nicht alle relevanten Daten verarbeiten und bot daher nur einen begrenzten Überblick.
  • Die Wartung von SIEM war zeitaufwendig, da die Software komplex und schwierig auszuführen war.
  • Aufgrund der zahlreichen Fehlalarme verschwendeten Sicherheitsteams viel Zeit mit der Analyse. 

Mit der Entwicklung neuer Technologien veränderten sich die Angriffe und SIEM musste ebenfalls angepasst werden. Software der nächsten Generation wie die Lösung von FireEye bietet die folgenden Funktionen und Vorteile:

  • Die offene Big-Data-Architektur ermöglicht eine schnellere Integration in die Unternehmensinfrastruktur – in der Cloud, vor Ort oder in BYOD-Umgebungen – und ist zudem skalierbar. 
  • SIEM kann Bedrohungsdaten von benutzerdefinierten, Open-Source- und kommerziellen Quellen integrieren. 
  • Tools für die Echtzeitvisualisierung erkennen die wichtigsten, risikoreichen Aktivitäten, sodass Warnmeldungen priorisiert werden können. So lässt sich beispielsweise der Status des Unternehmens in Bezug auf die gesetzlichen Vorschriften wie den Zahlungsstandard PCI DSS für die Risikopriorisierung und das Risikomanagement ermitteln. 
  • Verhaltensanalysten sehen den Ereigniskontext und können Absichten in bestimmten Szenarien nachvollziehen. Mithilfe dieser Analysen des Anwender- und Objektverhaltens kann die Software wichtige Verhaltensänderungen melden. 
  • SIEM-Lösungen der nächsten Generation sind außerdem anpassbar, sodass Sicherheitsteams maßgeschneiderte Workflows für ihre spezielle Situation erstellen können.

Wie nutzen Sie SIEM-Sicherheitslösungen optimal?

In einem herkömmlichen SOC (Security Operations Centre) verwenden Sicherheitsteams weltweit meist standardmäßige Incident-Response-Prozesse, die mehrere Stunden in Anspruch nehmen. SOAR automatisiert Workflows und beschleunigt die Identifizierung, Untersuchung und Abwehr von Bedrohungen. Da ein Großteil der Prozesse automatisiert ist, wird die Reaktionszeit verkürzt und Sicherheitsteams können die tatsächlichen Bedrohungen priorisieren. Dabei findet ein Austausch mit anderen Sicherheitstechnologien statt, sodass die ersten Schritte eines Incident-Response-Einsatzes automatisch ausgeführt werden.

Die Analysen des Anwender- und Objektverhaltens spielen ebenfalls eine wichtige Rolle bei SIEM, denn durch die Analyse des Verhaltens von Menschen und Maschinen in einem Netzwerk können komplexe Bedrohungen erkannt werden.

Sicherheitsplattform Helix

Die cloudbasierte Sicherheitsplattform FireEye Helix umfasst SOAR, Analysen des Anwender- und Objektverhaltens und andere Funktionen, die durch SIEM-Software der nächsten Generation ergänzt werden. Damit erhalten Sie eine effiziente und einfach zu implementierende Sicherheitslösung.

Weitere Informationen zur Helix-Plattform und ihren Funktionen.