Suchen

Security Information & Event Management (SIEM) Lösungen Advanced Persistent Threats mit SIEM abwehren

| Autor / Redakteur: Michael Matzer / Peter Schmitz

SIEM-Suiten versprechen die zuverlässige Überwachung der IT-Sicherheit und die Aufdeckung von Advanced Threats. Allerdings gibt es erhebliche Unterschiede bei den Lösungen.

Firmen zum Thema

Lösungen zum Security Information & Event Management (SIEM) versprechen die zuverlässige Überwachung der IT-Sicherheit und die Enttarnung von Advanced Persistent Threats.
Lösungen zum Security Information & Event Management (SIEM) versprechen die zuverlässige Überwachung der IT-Sicherheit und die Enttarnung von Advanced Persistent Threats.
(A. Danti - Fotolia)

Advanced Persistent Threats (APTs) sind Attacken, die sowohl unscheinbar als auch sehr gezielt durchgeführt werden, um Werte wie etwa Urheber- und Lizenzrechte (Spionage) zu stehlen, Zugriffsrechte zu erlangen und zu verkaufen oder um Infrastruktur bedrohen zu können.

Die Bedrohungen durch APTs haben laut dem Report der Security for Business Council Initiative (SBIC) zu der wachsenden Erkenntnis geführt, dass alle IT-Nutzer sich bemühen müssen, ihre Schutzmaßnahmen auf eine durchdachte und permanente Grundlage zu stellen. SBIC hat eine Maßnahmenliste veröffentlicht. Damit die Nutzer sie umsetzen zu können, bietet die Industrie SIEM-Suiten an. Ob sie alle für diese Aufgabe ausgelegt sind, soll ein Vergleich zeigen.

Bildergalerie
Bildergalerie mit 5 Bildern

Die SIEM-Funktionen umfassen: Datenaggregation und -korrelation, Meldungen, Dashboards für Sicherheitsbeauftragte, Compliance-Reports und Vorratsdatenhaltung. Manche SIEM-Produkte nutzen die Langzeitspeicherung historischer IT-Daten ("Retention"), um die Datenkorrelation über längere Zeiträume zu erleichtern und die Vorratsdatenhaltung im Hinblick auf Compliance zu ermöglichen.

Eine Frage der EPS

Wann ein SIEM-Produkt wirkungsvoll ist, hängt entscheidend von der Kenngröße Events per Second (EPS) (pdf) ab. Je mehr Events, die Firewall & Co. erzeugen, aufgefangen und ausgewertet werden können, desto höher der Schutz vor APTs. Doch bereits ein kleines Netzwerk mit 10 Firewalls, 10 Routern und 10 IDS erzeugt bereits durchschnittlich 17.000 EPS. Sie müssen nach Vorgaben gefiltert werden.

Die Frage ist also, ob das SIEM-Produkt überhaupt eine derartige Informationsflut verarbeiten kann - und ob dies hinsichtlich seiner Effektivität sinnvoll ist. Die EPS-Frage ist nicht trivial, denn danach richten sich die Lizenzpreise - bei einem Sportwagen zahlt man ja auch für die PS unter der Haube.

"NetIQ Sentinel 7 automatisiert und vereinfacht die Analyse von Daten aus unterschiedlichen Systemen und verringert dadurch die Komplexität herkömmlicher Sicherheitslösungen", erläutert Stefan Stiehl von NetIQ. "Dank Funktionen für die Datenaggregation und -normierung, vorgefertigter Reports und anpassbarer Richtlinien vereinfacht Sentinel die Compliance-Verwaltung und Sicherheitsrichtlinienkontrollen und sorgt gleichzeitig für eine geringere Komplexität der Compliance-Prozesse."

Neben den klassischen forensischen analytischen Methoden und der Korrelation biete Sentinel 7 durch die Echtzeit-Anomalie-Erkennung ein wichtiges Werkzeug, um frühzeitig Gefahren und / oder potentielle APTs zu erkennen. Aktuelle Gegenmaßnahmen, soweit verfügbar, werden Sentinel über die Exploit Detection bereitgestellt. "Die Management Console", so Stiehl, "bietet durch Active Views umfassende Visualisierungs- und Analysefunktionen in Echtzeit."

Sentinel werde sowohl als Soft-Appliance (in einer VM) wie auch als Applikation bereitgestellt. Das Lizenzmodell starte mit 500 EPS und einem Listenpreis von 40.000 US-Dollar. 1000 EPS kosten 60.000$, 5000 EPS 125.000$ und 10.000 EPS schließlich 225.000 $. Man sieht also, dass sich der EPS-Faktor recht happig im Endpreis niederschlagen kann.

(ID:32353770)