Security Information and Event Management für den IT-Stack Fünf Vorurteile gegenüber SIEM

Autor / Redakteur: Oliver Bareiss, AlienVault / Stephan Augsten

Was die Überwachungskamera im realen Leben, ist in der IT das Security Information and Event Management (SIEM). Es analysiert die Sicherheitslage in Echtzeit und warnt vor Eindringlingen und Schwachstellen. Ein Rundum-Sicherheitspaket, dem manche Verantwortlichen skeptisch gegenüberstehen.

Firma zum Thema

SIEM-Systeme benötigen etliche Datenquellen, um sicherheitsrelevante Ereignisse zu erkennen.
SIEM-Systeme benötigen etliche Datenquellen, um sicherheitsrelevante Ereignisse zu erkennen.
(Bild: Andrea Danti - Fotolia.com)

Die SIEM-Methode beruht auf der Verbindung von SIM und SEM. Dabei steht SIM für „Security Information Management“ (Log Management) und umfasst das zentrale Sammeln, Übertragen, Speichern, Analysieren sowie Weiterleiten von Log-Daten. Diese stammen von Netzwerkkomponenten, Betriebssystemen sowie Applikationen.

SEM hingegen bedeutet „Security Event Management“. Diese Technologie korreliert Logs mittels festgelegter Richtlinien und gleicht sie mit Standards wie ITIL, COBIT, SOX oder ISO ab. Zusätzlich stellt sie Echtzeit-Alarmfunktionen bereit. SEM ähnelt im Prinzip den bekannten Intrusion Detection- und Intrusion Prevention-Systemen (IDS/IPS).

Die Kombilösung SIEM konzentriert sich maßgeblich auf unternehmensspezifische Anforderungen. Das heißt, die Verantwortlichen legen individuell abgestimmt klare Richtlinien dafür fest, welche Ereignisse sicherheitsrelevant sind. Desweiteren definieren sie, wie und mit welcher Priorität darauf zu reagieren ist.

SIEM soll generell dabei unterstützen, kontinuierlich die Standards für Sicherheit, Compliance und Qualität des IT-Betriebs anhand eines Regelwerks zu optimieren. Die Technologie ist als Software, Appliance oder Managed Service erhältlich.

Handelt es sich hierbei nun um eine All-in-one-Lösung oder die „eierlegende Wollmilchsau“ unter den Security-Technologien? Vorurteile gegenüber SIEM sind definitiv vorhanden. Wir stellen die fünf meistgenannten Kritikpunkte vor:

1. SIEM ist zu komplex

Die relevanten Daten zu sammeln und sie mit ungleichen Technologien zu normalisieren bzw. zu korrelieren, um eine Gesamtübersicht zu erhalten, ist keine triviale Aufgabe. Meistens erwartet der Verkäufer des jeweiligen SIEM-Systems, dass der Kunde oder dessen Service-Anbieter den Großteil dieser Herausforderung übernimmt.

Um das „Datensammelmonster“ zu füttern, sind mehrere Stunden Zusammenarbeit mit den Systemadministratoren nötig. Sie leiten die Datenquellen so um, dass Informationen über Ereignisse direkt über die SIEM-Lösung laufen.

Technisch gesehen ist dies für ein einziges System nicht außerordentlich komplex, aber im großen Maßstab kann es sehr kompliziert werden. In manchen Fällen kann die Implementierung Monate dauern. Denn für eine aussagekräftige SIEM-Analyse sind folgende sicherheitsspezifischen Datenquellen notwendig:

  • Netzwerkdurchfluss/Netzwerkanalyse,
  • Asset Discovery/Inventory,
  • Schwachstellenbewertung,
  • Log Management,
  • Wireless Intrusion Detection (WIDS),
  • Host-basierte Intrusion Detection (HIDS),
  • Netzwerkbasierte Intrusion Detection (NIDS),
  • File Integrity Monitoring sowie
  • alle netzwerk-, system- und applikationsspezifischen Ereignisse.

Die Integration dieser Daten in die SIEM-Lösung muss anschließend in mehreren Schritten durchgeführt werden. Wichtig sind dazu Security-Tools wie z.B. IDS, Schwachstellen-Scanner etc. Nach Evaluation, Auswahl und Kauf müssen die Lösungen implementiert und konfiguriert werden. Es folgen Feineinstellungen sowie die Integration dieser Quellen in das SIEM-System.

Der Nachteil: Management und Administration der Security-Tools erfolgt über andere Bedienoberflächen als die der SIEM-Lösung selbst, was größeren Administrationsaufwand bedeutet und dementsprechend mehr Zeit verschlingt. Dies führt uns zum zweiten Grund.

2. Die Implementierung dauert zu lange

Bei den meisten Unternehmen, die sich nach einer passenden SIEM-Lösung umsehen, läuft dieser Prozess mit einer hintergründigen Eile ab. Denn sie suchen Antworten – jetzt. Das Beantworten von Fragen wie „Was passiert in unserem Netzwerk?“, „Welche Bedrohungen benötigen meine Aufmerksamkeit?“ oder „Was könnte sich in unserem Audit kommende Woche als Problem erweisen?“ verlangt jedoch viel Geduld.

Das SIEM-System liefert erst nach vollständig abgeschlossener Integration Antworten, was meist erst Monate nach der Erstinstallation der Fall ist. Die vom Händler beworbene „Security Intelligence“ basiert auf Regeln für die Korrelation von Ereignissen. Diese sind nutzlos, solange nicht externe Datenquellen hinzugezogen und feinabgestimmt werden.

(Bild: AlienVault)
Die vorangestellte Tabelle gibt einen Überblick über den zeitlichen Aufwand für die Implementierung verschiedener Komponenten. Die Installation verschlingt demzufolge dutzende Arbeitsstunden, was indirekt folgende Perspektive nahelegt:

3. SIEM-Lösungen sind kostspielig

Neben der intensiven Arbeitszeit sind die Lizenzierungskosten erst der Anfang. Da bei SIEM-Lösungen praktisch nichts direkt „out of the box“ funktioniert, sind Unternehmen wahrscheinlich darauf angewiesen, auf teure Consultants und Architekten zurückzugreifen.

Sie kümmern sich z.B. um Design und Implementierung der Integration, das „Fein-Tuning“ der Datenquellen sowie das Planen der Importe aller externen Datenquellen. Zudem empfiehlt sich, dass die Spezialisten ebenfalls die Regeln zur Korrelation von Ereignissen („event correlation rules“) einrichten, sodass sie die Anforderungen und Security-Prioritäten eines einzelnen Unternehmens erfüllen und Alarme damit individuell relevant sind.

Hinsichtlich der Investitionen ist festzuhalten, dass Consulting-Gebühren oftmals die Lizenzierungskosten der Software überschreiten. Daher sollten Unternehmen in etwa mit den doppelten Kosten der Software rechnen, um letztlich aussagekräftige Informationen mittels ihres SIEM-Systems zu erhalten. Die obige Tabelle lässt sich nun noch um die Lizenzierungskosten erweitern.

(Bild: AlienVault)
Es erwarten Unternehmen also Kosten von mehr als einer Million Euro, wenn sie SIEM-Lösungen plus die relevanten Security-Komponenten anschaffen möchten. Möglicherweise blinken diesbezüglich in puncto Investitionsbereitschaft die Warnleuchten, ähnlich wie beim nächsten Vorurteil:

4. Das SIEM schlägt zu oft Alarm

Hinsichtlich Warnmeldungen bedeutet „mehr“ nicht gleichzeitig auch „besser“. Typischerweise geben nicht individuell konfigurierte SIEM-Systeme Fehlalarme in Bezug auf Dinge ab, die ein Unternehmen als nicht relevant oder wichtig einstuft. Wenn plötzlich alles die Aufmerksamkeit des IT-Administrators verlangt, wird nichts sie wirklich erlangen. Stattdessen sollten SIEM-Lösungen erst Warnmeldungen ausgeben, sobald es tatsächlich nötig ist, Maßnahmen zu ergreifen.

Davon abgesehen fehlt bei dieser Art von Alarmen meist die nötige „Intelligence Security“, die die Analysten jedoch benötigen, um adäquat reagieren und den Vorgang untersuchen zu können. Es ist nicht hilfreich, dass das Personal weiß, dass etwas vorgefallen ist, ohne jedoch zu wissen, wie es handeln soll. Professionelle SIEM-Lösungen sollten daher vorschlagen, was wie zu tun ist und warum dies von Bedeutung ist.

Nur bedingt „Cloud-freundlich“

Ob geplant oder nicht: Manche bis viele Inhalte haben Unternehmen bereits in die Cloud ausgelagert. Je nach aktuellem Stand der Cloud-Entwicklung ist dabei meist ein Mix aus privater Wolke im eigenen Rechenzentrum sowie einer Public Cloud von einem externen Anbieter vorhanden.

Eine öffentliche Datenwolke kann für eine SIEM-Lösung allerdings zum Problem werden, sofern das Security-System die „fremde“ Struktur des Cloud-Providers nicht einsehen und dadurch nicht in das gesamte Überwachungsnetzwerk einbinden kann. Es fehlt also der Einblick in eine wichtige Komponente der Infrastruktur.

Auch wenn die Public Cloud zu diesem Zeitpunkt keine geschäftskritischen oder sensiblen Daten enthält: Das könnte sich im Laufe der Zeit ändern, weshalb bei der Sichtbarkeit keine Abstriche gemacht werden sollte. Letztlich sollte das SIEM-System allen installierten Komponenten und „Datenstraßen“ folgen können, unabhängig davon, ob der Weg in die Cloud, in das Data Center oder zu mobilen Geräten führt.

Damit die Selektion und Evaluation einer SIEM-Lösung nicht dazu führt, dass letztlich ein unpassendes System installiert wird, sollten sich Unternehmen im Vorfeld genau informieren. Dabei können diese Fragen an den Händler des Vertrauens weiterhelfen:

  • Wie lange ist der Zeitraum zwischen Installation und den ersten Einblicken per SIEM in die Infrastruktur?
  • Wie viele Mitarbeiter werden für die Integration benötigt?
  • Was ist machbar, falls nicht alle externen Security-Technologien verfügbar sind, die die SIEM-Lösung mit Daten beliefern (z.B. IDS, Schwachstellenscanner, Netflows etc.)?
  • Wie verhalten sich voraussichtlich die Kosten der Lizenzierung zu Consulting- und Implementierungsgebühren?
  • Geben die Warnmeldungen des jeweiligen Systems Schritt-für-Schritt-Anleitungen an, wie auf Ermittlungsergebnisse reagiert werden soll?
  • Ist die SIEM-Lösung Cloud-tauglich?

(Bild: AlienVault)
Wer sich letztlich für eine All-in-one-Lösung entscheidet, die SIEM integriert – wie z.B. die Unified Security Management-Plattform von AlienVault –, kann enorm Kosten sparen, wie diese Aufstellung verdeutlicht.

Fazit

Um ein wachsames Auge in Form einer SIEM-Lösung im Netzwerk zu platzieren, ist die eingehende Prüfung der in Frage kommenden Systeme entscheidend. Dabei sollten Unternehmen insbesondere darauf achten, dass ihre individuellen Anforderungen berücksichtigt werden können.

Jedes Netzwerk ist anders, ebenso wie die Maßnahmen, die das IT-Personal im Falle von Störungen, Ausfällen oder virtuellen Bedrohungen durchführen soll. Mittels einer gründlichen Analyse im Voraus (sowie im besten Fall eines Testlaufs der gewünschten Lösung) stellen Unternehmen die Weichen richtig, um ein adäquates SIEM-System zu erhalten.

Dabei lohnt sich auch der Blick auf Plattformen, die mehrere Funktionen in sich vereinen und SIEM dabei integrieren, wie z.B. Schwachstellenprüfung, Threat Management und Verhaltensüberwachung. Damit steht dem Anwender eine All-in-one-Plattform für den kompletten Überblick des IT Security Stack zur Verfügung.

Über den Autor

Oliver Bareiss ist Regional Director DACH and Central Europe bei AlienVault.

(ID:39035540)