Neue Herausforderungen

SIEM wird zu Big Data Security Analytics

| Autor / Redakteur: Oliver Schonschek / Stephan Augsten

Big Data kann dabei helfen, Sicherheitsbedrohungen zeitnah zu begegnen.
Big Data kann dabei helfen, Sicherheitsbedrohungen zeitnah zu begegnen. (Bild: everythingpossible -Fotolia.com)

Die Menge und Vielfalt sicherheitsrelevanter Informationen stellt ebenso eine Herausforderung für SIEM-Lösungen dar wie die notwendige Geschwindigkeit bei der Datenanalyse. SIEM-Lösungen machen deshalb zunehmend Gebrauch von Big Data Analytics.

Wie wichtig ein SIEM-System für die IT-Sicherheit eines Unternehmens ist, zeigt ein Blick auf die üblichen Funktionen, die weit über das Management sicherheitsrelevanter Informationen und Ereignisse gehen:

  • Ein SIEM-System sammelt sicherheitsrelevante Informationen aus zahlreichen Quellen (wie Netzwerkkomponenten, Serverbetriebssysteme, Clientbetriebssysteme, Datenbanken, Sicherheitssysteme, Speichersysteme und Applikationen).
  • Dazu verfügen SIEM-Lösungen über spezielle Schnittstellen oder Konnektoren, auch Datensammler genannt.
  • Die verschiedenen Daten werden aufbereitet, ausgewertet und miteinander verknüpft, um mögliche Zusammenhänge von Ereignissen erkennen zu können.
  • Entsprechend bestimmter Richtlinien, Prioritäten und Schwellwerte erzeugt ein SIEM-System Meldungen und Warnungen für definierte Empfänger, um auf mögliche Störungen und Gefahren hinzuweisen.
  • Berichte werden automatisch und auf Anfrage hin erzeugt, meist für verschiedene Zielgruppen wie IT-Administratoren oder Mitglieder des Managements. Die Berichte helfen auch im Rahmen von Compliance-Dokumentationen.
  • Auch definierte IT-Sicherheitslösungen können mit Warnungen durch ein SIEM-System versorgt werden, damit eine entsprechende Abwehrreaktion aktiviert werden kann.
  • Zusätzlich bieten SIEM-Systeme meist eine Weboberfläche für entsprechend berechtigte Nutzer und zeigen dort Statusübersichten (Dashboards) zur IT-Sicherheit.
  • Schließlich bieten SIEM-Lösungen auch Recherchemöglichkeiten und Archivschnittstellen, damit im Verdachtsfall oder nach erkanntem Angriff zurückliegende Ereignisse untersucht werden können. Damit unterstützen sie die IT-Forensik und Beweissicherung.

SIEM-Lösungen müssen sich hohen Anforderungen stellen

An die Leistungsfähigkeit der genannten SIEM-Funktionen werden zunehmend hohe Forderungen gestellt, weniger von den Nutzern, als vielmehr bedingt durch die technische Entwicklung. Die Zahl der Endgeräte, der angebundenen Nutzer und der Anwendungen nimmt immer weiter zu. Cloud-Dienste, Social-Business-Plattformen und mobile Endgeräte erhöhen die Vielfalt an Protokolldaten und Sicherheitsinformationen.

Die Verschärfung der Bedrohungslage durch immer komplexere und raffiniertere Angriffe (wie Advanced Persistent Threats, APTs) macht eine sehr schnelle Analyse der sicherheitsrelevanten Daten notwendig, um Bedrohungen zeitnah erkennen und abwehren zu können oder aber um zumindest den Schaden erfolgreicher Attacken so klein wie möglich zu halten.

Es dürfen keine Tage, nicht einmal mehr Stunden verstreichen, bis ein Angriff auffällt. Ziel muss es sein, innerhalb weniger Minuten die Bedrohung festzustellen und die notwendigen Maßnahmen einleiten zu können.

Big Data Analytics unterstützt die Security Intelligence

Wenn es um die Analyse großer, heterogener Datenmengen in sehr kurzer Zeit geht, kommen zunehmend Big-Data-Analysen zum Einsatz. Als typische Anwendungsbereiche von Big Data Analytics nennt der Branchenverband BITKOM zum Beispiel die Analyse von Verbindungsdaten aus der Telekommunikation, Zugriffsstatistiken auf Webseiten oder wissenschaftlichen Daten aus der Klimaforschung.

Doch auch sicherheitsrelevante Daten sind ein wichtiger Einsatzbereich für Big-Data-Analysen. Tatsächlich entwickeln sich viele SIEM-Lösungen in Richtung sogenannter Big Data Security Analytics.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43784565 / Sicherheitsvorfälle)