Anforderungen an ein modernes Security Information and Event Management, Teil 1Fokussiert auf das Gesamtbild

14. Juli 2023

Moderne SIEM-Lösungen (Security Information and Event Management) bieten umfangreiche Funktionen für maschinelles Lernen und der umfassenden Erkennung von Anomalien zur besseren Einordnung von Bedrohungen. Dadurch können Sicherheitsteams ihre Effektivität steigern und die für die Durchführung von Sicherheitsmaßnahmen erforderlichen Ressourcen reduzieren – was in einer Zeit, in der es an Sicherheitsfachkräften mangelt und die Zahl der Warnungen ständig zunimmt, wichtig ist.

Eine SIEM-Lösung ermöglicht es IT-Teams, das Gesamtbild zu sehen, indem sie Sicherheitsereignisdaten aus allen Unternehmensanwendungen, der Cloud und der Kerninfrastruktur an einem zentralen Punkt sammeln. Nur so kann man genau erfahren, was im Unternehmen sicherheitstechnisch vor sich geht und aus der Summe der Daten einen Wert zu schaffen, der viel mehr wert ist als die einzelnen Teile.

Ein einzelner Alarm eines Antiviren-Filters ist für sich genommen vielleicht noch kein Grund zur Panik, aber wenn er mit anderen Anomalien korreliert, z. B. einem Alert von der Firewall zur gleichen Zeit, könnte dies bedeuten, dass ein schwerwiegender Verstoß im Gange ist.

Ältere und moderne SIEMs und solche die gerne SIEMs wären

Veraltete SIEM-Lösungen sind mit den heute angebotenen nicht vergleichbar und es werden viel verrückte Begriffe durch die IT-Landschaft getrieben wie beispielsweise XDR als Allheilmittel propagiert wird. Experten können das richtig einschätzen sind aber rar. Fakt ist, dass die Menge der von Unternehmen produzierten und gesammelten Daten in den letzten Jahren sprunghaft angestiegen ist.
Daher benötigen Unternehmen immer mehr Big-Data-Architekturen, die flexibel und skalierbar sind, damit sie sich anpassen und wachsen können, wenn sich das Unternehmen im Laufe der Zeit verändert. Die modernen SIEM-Lösungen von heute sind in der Lage, große und komplexe Implementierungen zu bewältigen und können sowohl in physischen als auch in virtuellen Umgebungen vor Ort oder in der Cloud eingesetzt werden.

Einige SIEMs bieten eine sehr kurze Implementierungszeit und einen geringen Bedarf an Wartungsressourcen, so dass das SIEM bereits nach wenigen Tagen aktiv ist und einen Mehrwert bietet, gute Anbieter stellen einen PoC in wenigen Tagen auf und die Interessenten können im Life-Betrieb sehen ob das Versprechen zur Realität passt.

SIEM-Tools müssen in der Lage sein, Daten aus allen Quellen – einschließlich Cloud- und On-Premise-Protokolldaten – in Echtzeit zu erfassen, um potenzielle Bedrohungen effektiv zu überwachen, zu erkennen und darauf zu reagieren. Moderne SIEM-Lösungen sind nicht nur in der Lage, mehr Daten zu erfassen und zu analysieren, sie leben davon. Je mehr Daten ein Unternehmen seinem SIEM zur Verfügung stellen kann, desto mehr Einblick haben die Analysten in die Aktivitäten und desto effektiver können sie Bedrohungen erkennen und auf sie reagieren.

Das moderne SIEM bietet eine Vielzahl von Vorteilen, z. B. eine bessere Erkennung von und Reaktion auf Bedrohungen. Da sich die Cyber-Bedrohungen weiter ausbreiten und zunehmen, werden Unternehmen, die Sicherheitsereignisse schnell und genau analysieren können, einen Wettbewerbsvorteil haben. Eine moderne SIEM-Lösung bietet Datenanalyse in Echtzeit, frühzeitige Erkennung von Datenschutzverletzungen, Datensammlung, sichere Datenspeicherung und genaue Datenberichterstattung, um die Erkennung von Bedrohungen und die Reaktionszeiten zu verbessern.

Moderne SIEM-Lösungen gehen über die grundlegende Sicherheitsüberwachung und -berichterstattung hinaus. Sie verschaffen Analysten die nötige Klarheit, um die Entscheidungsfindung und Reaktionszeiten zu verbessern. Mit neuen Möglichkeiten zur Visualisierung von Daten, die Analysten dabei helfen, die Daten besser zu interpretieren und darauf zu reagieren, werden die Reaktion auf und das Management von Vorfällen anspruchsvoller. Bessere Analysen bedeuten, dass Teams Vorfälle genauer verwalten und ihre forensischen Untersuchungen verbessern können – und das alles über eine einzige Schnittstelle.

Automatisierung und maschinelles Lernen

IT-Teams sind zunehmend an Ressourcen und Zeit gebunden. Eine verstärkte Automatisierung befreit Sicherheitsanalysten von zeitraubenden manuellen Aufgaben und ermöglicht ihnen eine bessere Abstimmung der Reaktionen auf Bedrohungen. Die besten modernen SIEM-Lösungen nutzen maschinelles Lernen und User and Entity Behaviour Analytics (UEBA), um überlastete Sicherheitsanalysten zu entlasten, indem sie die Erkennung von Bedrohungen automatisieren, einen besseren Kontext und ein besseres Situationsbewusstsein bieten und das Benutzerverhalten nutzen, um bessere Erkenntnisse zu gewinnen.

Außerdem ermöglicht UEBA eine bessere Erkennung und Reaktion. Angreifer verlassen sich oft auf kompromittierte Anmeldedaten oder zwingen Benutzer zu Aktionen, die der eigenen Organisation schaden. Um diese Arten von Angriffen schneller und genauer zu erkennen, kann UEBA sowohl verdächtiges Nutzerverhalten als auch Aktivitäten aus der Cloud, von mobilen und lokalen Anwendungen, Endpunkten und Netzwerken sowie externe Bedrohungen überwachen.

Mit UEBA können Unternehmen die Fähigkeit ihres SIEM, Bedrohungen zu verfolgen und zu identifizieren, deutlich verbessern. Darüber hinaus eliminiert UEBA die meisten Fehlalarme, so dass Analysten vor, während und nach dem Auftreten einer Bedrohung ein besseres Situationsbewusstsein haben – das heißt, sie sind effektiver und können ihre begrenzte Zeit auf Bedrohungen verwenden, die tatsächlich Auswirkungen auf den Betrieb haben.

Kostenkontrolle

Eine moderne SIEM-Lösung mit einem einfachen und vorhersehbaren Lizenzierungsmodell ermöglicht es Unternehmen, weniger für die Sicherheit ihrer Daten auszugeben, unabhängig von der Datenmenge und der Anzahl der Quellen, aus denen Daten aufgezeichnet werden. SIEM-Preismodelle, die auf der Datennutzung basieren, sind veraltet. Die Datenmengen nehmen ständig zu, und Unternehmen sollten dafür nicht bestraft werden.

Moderne SIEM-Preismodelle sollten stattdessen auf der Anzahl der Geräte basieren, die Protokolle oder Entitäten senden. Das bedeutet, dass Unternehmen sich keine Sorgen machen müssen, dass sich ihre Datennutzung auf die Kosten auswirkt, sondern sich stattdessen auf die Skalierung für zukünftige Geschäftsanforderungen konzentrieren können. Stellen Sie sicher, dass Sie die Gesamtbetriebskosten analysieren, auch für den Fall, dass das SIEM skaliert werden muss – einige Anbieter haben zusätzliche Kosten, wenn die Hardwarekapazitäten oder die Anzahl der Mitarbeiter, die Zugang zum SIEM benötigen, erhöht werden.

Ein weiterer Kostenfaktor ist die Einhaltung von Compliance-Anforderungen, wobei Geldstrafen, Anwaltskosten und Rufschädigung noch kostspieliger sein können. SIEM-Lösungen können die Datenerfassung automatisieren, Ereignisprotokolle speichern, die Identifizierung von Bedrohungen und die Berichterstattung verbessern, den Datenzugriff einschränken sowie Richtlinien- und Compliance-Verstöße kennzeichnen, um sicherzustellen, dass Unternehmen ihre Compliance-Anforderungen erfüllen.
Dies sind unbestrittene Vorteile, aber laut Gartner gibt es drei Hauptbereiche, in denen sich eine moderne SIEM-Lösung auszeichnen sollte.

  • Erweiterte Erkennung von Bedrohungen: Mit einem modernen SIEM-Tool können fortschrittliche Bedrohungen in Echtzeit erkannt werden, sodass Unternehmen Trends sowie das Verhalten von Benutzern und Unternehmen analysieren und darüber berichten können. Mit fortschrittlichen Analysen sind Unternehmen in der Lage, den Datenzugriff und die Anwendungsaktivität zu überwachen und proaktiv fortschrittliche anhaltende Bedrohungen (APT) zu erkennen und zu kontrollieren. Zu den Funktionen zur Erkennung von Bedrohungen gehört die Anreicherung mit internen oder externen Kontextinformationen, wie z. B. Bedrohungsdaten, Benutzernamen oder zeitliches Wissen. Dies ermöglicht es Sicherheitsanalysten, schneller und effizienter zu arbeiten. Unternehmen sollten in SIEM-Lösungen investieren, die Zugang zu effektiven Ad-hoc-Abfragen, maschinellem Lernen und UEBA-Funktionen bieten, was zu einer effektiveren und effizienteren Bedrohungsjagd führt.
  • Sicherheitsüberwachung: SIEM ist ein effektives Tool für die Protokollverwaltung, das eine grundlegende Sicherheitsüberwachung ermöglicht und häufig für die Berichterstattung über die Einhaltung von Vorschriften und die Echtzeitüberwachung von Sicherheitskontrollen verwendet wird. SIEM-Lösungen sollten grundlegende Anforderungen an die Erkennung von Bedrohungen, die Prüfung der Einhaltung von Vorschriften und die Berichterstattung erfüllen. Durch die flexible und bequeme Erfassung und Speicherung von Protokollen können die Anforderungen der Prüfer erfüllt werden, was die Einhaltung der Vorschriften erheblich erleichtert. Die bei Kunden beliebten Anwendungsfälle für die grundlegende Sicherheitsüberwachung decken ein breites Spektrum an Sicherheitsquellen ab, darunter: Perimeter- und Netzwerkgeräte, Endpunkt-Agenten, kritische Anwendungen und andere Infrastrukturkomponenten.
  • Untersuchung und Reaktion auf Vorfälle: Die Visualisierung ist sehr wichtig, damit die Daten einen Sinn ergeben. Ein modernes SIEM kann Ihnen die nötige Klarheit verschaffen, indem es neue Möglichkeiten zur Visualisierung von Daten bietet, die es Ihnen erleichtern, die Daten zu interpretieren und darauf zu reagieren. Die Reaktion auf und das Management von Vorfällen sollte einfach, schnell und in Teilen automatisierbar umsetzbar sein, um die Verwaltung von Vorfällen innerhalb eines Teams zu erleichtern und effektive forensische Untersuchungen zu ermöglichen. Wenn nicht innerhalb des Tools selbst, ist es wichtig, erstklassige Integrationsoptionen zu dedizierten Tools sowohl innerhalb als auch außerhalb von SOAR zu haben. Mit Geschäftskontext, Sicherheitsinformationen, Benutzerüberwachung, Datenüberwachung und Anwendungsüberwachung – alles innerhalb einer einzigen Schnittstelle – werden Analysten effektiver und besser informiert sein.

Die Implementierung einer modernen SIEM-Lösung oder die Aufrüstung eines bestehenden SIEM auf eine Lösung, die Analyse- und maschinelle Lernfunktionen bietet, ermöglicht es Unternehmen, mit der wachsenden Bedrohungslandschaft von heute Schritt zu halten – ohne unkalkulierbar steigende Cloud-Kosten, die mit hoch qualifizierten Sicherheitsanalysten verbunden sind und ohne sich mit veralteten Protokollvolumen- und Preismodellen auseinandersetzen zu müssen. Denken Sie auch daran, dass der Austausch eines SIEM nicht unbedingt bedeutet, dass Ihre aktuelle Investition verloren ist – einige SIEM-Anbieter helfen Ihnen bei einem nahtlosen Übergang, um sicherzustellen, dass der volle Wert erfasst und übertragen wird.

Sven Bagemihl ist Regional Director CEMEA bei Logpoint.

Logpoint

Lesen Sie auch