Security Information & Event Management (SIEM) Lösungen Advanced Persistent Threats mit SIEM abwehren

Autor / Redakteur: Michael Matzer / Peter Schmitz

SIEM-Suiten versprechen die zuverlässige Überwachung der IT-Sicherheit und die Aufdeckung von Advanced Threats. Allerdings gibt es erhebliche Unterschiede bei den Lösungen.

Firmen zum Thema

Lösungen zum Security Information & Event Management (SIEM) versprechen die zuverlässige Überwachung der IT-Sicherheit und die Enttarnung von Advanced Persistent Threats.
Lösungen zum Security Information & Event Management (SIEM) versprechen die zuverlässige Überwachung der IT-Sicherheit und die Enttarnung von Advanced Persistent Threats.
(A. Danti - Fotolia)

Advanced Persistent Threats (APTs) sind Attacken, die sowohl unscheinbar als auch sehr gezielt durchgeführt werden, um Werte wie etwa Urheber- und Lizenzrechte (Spionage) zu stehlen, Zugriffsrechte zu erlangen und zu verkaufen oder um Infrastruktur bedrohen zu können.

Die Bedrohungen durch APTs haben laut dem Report der Security for Business Council Initiative (SBIC) zu der wachsenden Erkenntnis geführt, dass alle IT-Nutzer sich bemühen müssen, ihre Schutzmaßnahmen auf eine durchdachte und permanente Grundlage zu stellen. SBIC hat eine Maßnahmenliste veröffentlicht. Damit die Nutzer sie umsetzen zu können, bietet die Industrie SIEM-Suiten an. Ob sie alle für diese Aufgabe ausgelegt sind, soll ein Vergleich zeigen.

Bildergalerie
Bildergalerie mit 5 Bildern

Die SIEM-Funktionen umfassen: Datenaggregation und -korrelation, Meldungen, Dashboards für Sicherheitsbeauftragte, Compliance-Reports und Vorratsdatenhaltung. Manche SIEM-Produkte nutzen die Langzeitspeicherung historischer IT-Daten ("Retention"), um die Datenkorrelation über längere Zeiträume zu erleichtern und die Vorratsdatenhaltung im Hinblick auf Compliance zu ermöglichen.

Eine Frage der EPS

Wann ein SIEM-Produkt wirkungsvoll ist, hängt entscheidend von der Kenngröße Events per Second (EPS) (pdf) ab. Je mehr Events, die Firewall & Co. erzeugen, aufgefangen und ausgewertet werden können, desto höher der Schutz vor APTs. Doch bereits ein kleines Netzwerk mit 10 Firewalls, 10 Routern und 10 IDS erzeugt bereits durchschnittlich 17.000 EPS. Sie müssen nach Vorgaben gefiltert werden.

Die Frage ist also, ob das SIEM-Produkt überhaupt eine derartige Informationsflut verarbeiten kann - und ob dies hinsichtlich seiner Effektivität sinnvoll ist. Die EPS-Frage ist nicht trivial, denn danach richten sich die Lizenzpreise - bei einem Sportwagen zahlt man ja auch für die PS unter der Haube.

"NetIQ Sentinel 7 automatisiert und vereinfacht die Analyse von Daten aus unterschiedlichen Systemen und verringert dadurch die Komplexität herkömmlicher Sicherheitslösungen", erläutert Stefan Stiehl von NetIQ. "Dank Funktionen für die Datenaggregation und -normierung, vorgefertigter Reports und anpassbarer Richtlinien vereinfacht Sentinel die Compliance-Verwaltung und Sicherheitsrichtlinienkontrollen und sorgt gleichzeitig für eine geringere Komplexität der Compliance-Prozesse."

Neben den klassischen forensischen analytischen Methoden und der Korrelation biete Sentinel 7 durch die Echtzeit-Anomalie-Erkennung ein wichtiges Werkzeug, um frühzeitig Gefahren und / oder potentielle APTs zu erkennen. Aktuelle Gegenmaßnahmen, soweit verfügbar, werden Sentinel über die Exploit Detection bereitgestellt. "Die Management Console", so Stiehl, "bietet durch Active Views umfassende Visualisierungs- und Analysefunktionen in Echtzeit."

Sentinel werde sowohl als Soft-Appliance (in einer VM) wie auch als Applikation bereitgestellt. Das Lizenzmodell starte mit 500 EPS und einem Listenpreis von 40.000 US-Dollar. 1000 EPS kosten 60.000$, 5000 EPS 125.000$ und 10.000 EPS schließlich 225.000 $. Man sieht also, dass sich der EPS-Faktor recht happig im Endpreis niederschlagen kann.

Der NitroView Enterprise Security Manager (pdf) ist in McAfees Management-Plattform ePolicy Orchestrator (ePO) integriert. Die Einbindung dieser Lösung erlaube es Kunden, über eine einzige Management-Konsole eine vollständige Sicht auf Netzwerkinfrastruktur, spezifische Sicherheitsbedrohungen und Risiken sowie Schwachstellen in der gesamten IT-Umgebung zu haben.

Das um Netzwerkanalyse erweiterte SIEM-Produkt, das IBM als Appliance anbietet, die IBM QRadar Security-Intelligence-Plattform, überwacht Infrastruktur, Identitätsmanagement, Anwendungen und Daten. Die Appliance analysiert und korreliert Aktivitäten und Logs vieler Hard- und Softwarelösungen. Mit IBM-eigenen Securitylösungen ist eine enge Verzahnung gewährleistet. Diese sind neben dem Tivoli Endpoint Manager der IBM Security Identity Manager und IBM Security Access Manager auch IBM Guardium Database Security und IBM Security AppScan, sowie die Lösungen für Cloud Security und die Sicherheitsprodukte für die Sicherung der Infrastruktur.

HPs SIEM-Lösung ist ArcSight Express 3.0. Die Appliance, die zwischen 500 und 15.000 EPS bewältigt, umfasst alle oben genannten Funktionen. Neu ist die Correlation Optimized Retention and Retrieval Engine (CORR-Engine) als Basisarchitektur, um dem Admin Einsicht in alle Abteilungen und in Big Data zu erlauben.

SIEM-Varianten

Die Symantec Compliance Control Suite 11 ist hingegen ein Framework, keine Appliance. Alle ihre An- und Aufgaben lassen sich mit zusätzlichen Daten aus weiteren Lösungen von Symantec oder anderen Anbietern ergänzen. In Version 11, die ab Sommer 2012 verfügbar sein soll, umfasst sie das neue Risk Manager Modul. Damit sollen IT-Verantwortliche Risiken besser einschätzen und für die Geschäftsleitung verständlich zusammenfassen können. Der Risk Manager übersetzt dabei technische Probleme in die Risiken für die Geschäftsprozesse. So hilft das Modul, Gegenmaßnahmen anhand der geschäftlichen statt ihrer isolierten technischen Bedeutung zu priorisieren. Dann versteht sogar Chef, wo's brennt.

Trend Micro Deep Security ist keine SIEM-Suite, sondern eine umfassende Schutzplattform für physische, virtuelle und webbasierte Server sowie virtuelle Desktops. Sie umfasst aber auch die Erkennung und Abwehr von Eindringlingen, eine Firewall, den Schutz von Webanwendungen, Integritätsüberwachung und Protokollprüfung. Keine der anderen Suiten legt besonderen Wert auf den Schutz und die Überwachung von virtualisierten Umgebungen, so dass hier Deep Security herausragt.

Unterm Strich

Die aktuelle Flut der Novitäten im SIEM-Bereich belegt die Attraktivität des Ansatzes für die Kunden, auch im Mittelstand. Der Interessent sollte allerdings nach zwei Kennzahlen Ausschau halten: 1) Kann das SIEM-Produkt auch Eindringlinge abwehren und zwar binnen kürzester Frist? 2) Reicht seine EPS-Kapazität für mein Netzwerk und dessen Schutzvorrichtungen aus? Die EPS-Kapazität hängt auch vom bereitgestellten RAM und den CPUs ab, denn eine SIEM-Lösung muss unbedingt skalierbar sein, etwa im Falle eines DDoS-Angriffs. Wer zudem Compliance und folglich Retention beachten muss, sollte auf genügend Storage-Kapazität achten.

Ist einer dieser beiden Faktoren nicht erfüllt (oder gar beide), könnte das SIEM-Produkt sowohl nutzlos als auch zu teuer werden. "Der Kunde", so versichert Stefan Stiehl von NetIQ, "zahlt aber nur für die EPS, die er lizenziert hat, nicht mehr." Siehe dazu das Preisbeispiel von NetIQ oben.

(ID:32353770)