Security Information & Event Management (SIEM) Lösungen

Advanced Persistent Threats mit SIEM abwehren

| Autor / Redakteur: Michael Matzer / Peter Schmitz

Lösungen zum Security Information & Event Management (SIEM) versprechen die zuverlässige Überwachung der IT-Sicherheit und die Enttarnung von Advanced Persistent Threats.
Lösungen zum Security Information & Event Management (SIEM) versprechen die zuverlässige Überwachung der IT-Sicherheit und die Enttarnung von Advanced Persistent Threats. (A. Danti - Fotolia)

SIEM-Suiten versprechen die zuverlässige Überwachung der IT-Sicherheit und die Aufdeckung von Advanced Threats. Allerdings gibt es erhebliche Unterschiede bei den Lösungen.

Advanced Persistent Threats (APTs) sind Attacken, die sowohl unscheinbar als auch sehr gezielt durchgeführt werden, um Werte wie etwa Urheber- und Lizenzrechte (Spionage) zu stehlen, Zugriffsrechte zu erlangen und zu verkaufen oder um Infrastruktur bedrohen zu können.

Die Bedrohungen durch APTs haben laut dem Report der Security for Business Council Initiative (SBIC) zu der wachsenden Erkenntnis geführt, dass alle IT-Nutzer sich bemühen müssen, ihre Schutzmaßnahmen auf eine durchdachte und permanente Grundlage zu stellen. SBIC hat eine Maßnahmenliste veröffentlicht. Damit die Nutzer sie umsetzen zu können, bietet die Industrie SIEM-Suiten an. Ob sie alle für diese Aufgabe ausgelegt sind, soll ein Vergleich zeigen.

Die SIEM-Funktionen umfassen: Datenaggregation und -korrelation, Meldungen, Dashboards für Sicherheitsbeauftragte, Compliance-Reports und Vorratsdatenhaltung. Manche SIEM-Produkte nutzen die Langzeitspeicherung historischer IT-Daten ("Retention"), um die Datenkorrelation über längere Zeiträume zu erleichtern und die Vorratsdatenhaltung im Hinblick auf Compliance zu ermöglichen.

Eine Frage der EPS

Wann ein SIEM-Produkt wirkungsvoll ist, hängt entscheidend von der Kenngröße Events per Second (EPS) (pdf) ab. Je mehr Events, die Firewall & Co. erzeugen, aufgefangen und ausgewertet werden können, desto höher der Schutz vor APTs. Doch bereits ein kleines Netzwerk mit 10 Firewalls, 10 Routern und 10 IDS erzeugt bereits durchschnittlich 17.000 EPS. Sie müssen nach Vorgaben gefiltert werden.

Die Frage ist also, ob das SIEM-Produkt überhaupt eine derartige Informationsflut verarbeiten kann - und ob dies hinsichtlich seiner Effektivität sinnvoll ist. Die EPS-Frage ist nicht trivial, denn danach richten sich die Lizenzpreise - bei einem Sportwagen zahlt man ja auch für die PS unter der Haube.

"NetIQ Sentinel 7 automatisiert und vereinfacht die Analyse von Daten aus unterschiedlichen Systemen und verringert dadurch die Komplexität herkömmlicher Sicherheitslösungen", erläutert Stefan Stiehl von NetIQ. "Dank Funktionen für die Datenaggregation und -normierung, vorgefertigter Reports und anpassbarer Richtlinien vereinfacht Sentinel die Compliance-Verwaltung und Sicherheitsrichtlinienkontrollen und sorgt gleichzeitig für eine geringere Komplexität der Compliance-Prozesse."

Neben den klassischen forensischen analytischen Methoden und der Korrelation biete Sentinel 7 durch die Echtzeit-Anomalie-Erkennung ein wichtiges Werkzeug, um frühzeitig Gefahren und / oder potentielle APTs zu erkennen. Aktuelle Gegenmaßnahmen, soweit verfügbar, werden Sentinel über die Exploit Detection bereitgestellt. "Die Management Console", so Stiehl, "bietet durch Active Views umfassende Visualisierungs- und Analysefunktionen in Echtzeit."

Sentinel werde sowohl als Soft-Appliance (in einer VM) wie auch als Applikation bereitgestellt. Das Lizenzmodell starte mit 500 EPS und einem Listenpreis von 40.000 US-Dollar. 1000 EPS kosten 60.000$, 5000 EPS 125.000$ und 10.000 EPS schließlich 225.000 $. Man sieht also, dass sich der EPS-Faktor recht happig im Endpreis niederschlagen kann.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 32353770 / Monitoring und KI)