:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Security-Alerting und -Reporting im Netzwerk Grundlagen der SIEM-Systeme
Security Information und Event Management-Systeme (SIEM) sind aus heutigen Unternehmensumgebungen nicht wegzudenken. Sie bieten eine Echtzeitanalyse der im Netz auftretenden Sicherheitsalarme, erstellen Berichte und helfen beim Einhalten behördlicher Vorschriften. Dieser Beitrag geht auf die wesentlichen Funktionen und die wichtigsten Anbieter von SIEM-Lösungen ein.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Security Information und Event Management-Systeme – kurz SIEM – sind sowohl als Software, als auch als Dienstleistung und als Appliance erhältlich. Manche Produkte – beispielsweise von BlackStratus, Fortinet oder SolarWinds – stehen auch als virtuelle Appliances zur Verfügung. Die Lösung von Rapid7 ist im Gegensatz dazu nur als Service verfügbar.
SIEM-Systeme erfüllen zwei unterschiedliche Aufgaben. Zum einen stellen sie Echtzeitüberwachungsfunktionen bereit, korrelieren Ereignisse, bieten über ihre Management-Konsole einen Überblick über den Sicherheitsstatus und verschicken Benachrichtigungen. Zum anderen speichern sie die Eventdaten über einen längeren Zeitraum, führen Analysen durch, helfen beim Einhalten von Compliance-Vorschriften sowie bei der Forensik und erstellen Berichte.
:quality(80)/images.vogel.de/vogelonline/bdb/1402000/1402048/original.jpg "Die Übersichtsseite der McAfee-Lösung.")
:quality(80)/images.vogel.de/vogelonline/bdb/1402000/1402049/original.jpg "LogRhythm behält das Verhalten der Nutzer im Auge.")
:quality(80)/images.vogel.de/vogelonline/bdb/1402000/1402050/original.jpg "Ein Dashboard von ManageEngines „Log360“.")
:quality(80)/images.vogel.de/vogelonline/bdb/1402000/1402051/original.jpg "RSA stuft die Gefährlichkeit der Incidents ein und hebt sie farblich hervor.")
Die unterschiedlichen auf dem Markt vorhandenen Angebote richten sich sowohl an mittelgroße und große Unternehmen, als auch an Betreiber von Cloud-Infrastrukturen und Service Provider. Viele von ihnen, wie SIEMStorm und LOGStorm von BlackStratus sind mandantenfähig, was vor allem für Service Provider eine große Rolle spielt. Manche Produkte, wie QRadar von IBM oder Splunk und die Lösungen von LogRhythm und Trustwave, können sogar hybride Umgebungen überwachen, wie etwa gleichzeitig IaaS-Infrastrukturen und Server on-premise.
Funktionsweise von SIEM-Systemen
Damit SIEM-Lösungen richtig funktionieren, ist es von großer Bedeutung, dass sie dazu in der Lage sind, möglichst viele Log-Daten und vergleichbare Informationen von einer Vielzahl unterschiedlicher Systeme einzubinden. Sie müssen also Zugriff auf Datenbanken, Server, Netzwerkkomponenten, Anwendungen, die Datenkommunikation, Ereignisprotokolle und NetFlow-Daten (wie sie beispielsweise die RSA-Lösung berücksichtigt) erhalten und die darin befindlichen Meldungen dann in ihre eigene Datenbasis integrieren und normalisieren. Dazu kommen oftmals, wie bei Rapid7, Kollektoren zum Einsatz, die auf den einzelnen Servern laufen. Leistungsfähige SIEM-Produkte berücksichtigen auch Assets, Bedrohungen, bekannte Verwundbarkeiten und Informationen die durch Intrusion Protection-Systeme gewonnen werden sowie Daten über Benutzer (wie die Lösungen von IBM und Rapid7).
Der zweite wichtige Punkt besteht darin, die gesammelten Informationen mit Hilfe von Korrelationstechniken automatisch in sinnvolle Informationen umzuwandeln. Dazu sucht die Software nach Gemeinsamkeiten in Daten aus unterschiedlichen Quellen und verknüpft diese, wenn sie welche findet. Die so gewonnenen Informationen helfen in der Praxis beim Threat Management, bei der Überwachung des Netzes beziehungsweise der Benutzer und beim Reporting. Steigt zum Beispiel in der Nacht auf einem Server die CPU-Last und nimmt gleichzeitig das Volumen des Datenverkehrs auf einem bestimmten Switch-Port zu, so kann das ein Hinweis sein, dass jemand versucht, über diesen Port von dem betroffenen Server Daten abzugreifen.
Wurden einmal wichtige Zusammenhänge gefunden, so muss das SIEM-System dazu in der Lage sein, die verantwortlichen Mitarbeiter schnell und umfassend über die potentiellen Probleme zu informieren. Dazu steht in der Regel ein Dashboard zur Verfügung, das mit Hilfe von Grafiken auf wichtige Entwicklungen und Musterveränderungen hinweist. Solche Dashboards sind teilweise, wie etwa bei EventTracker, auch als Managed Service erhältlich. Eine umfassende Alert-Funktion sorgt bei den meisten SIEMS gleichzeitig dafür, dass alle für das jeweilige Thema relevanten Mitarbeiter automatisch über alle Vorfälle informiert werden, etwa per SMS oder E-Mail. Die "Threat Analytics Platform" (TAP) von FireEye umfasst zum Beispiel zurzeit etwa 2300 vordefinierte Regeln für das Alerting, die der Hersteller kontinuierlich pflegt. SIEMs lassen sich folglich nutzen, um schnell aktuell laufende Angriffe zu erkennen und bei der Abwehr zu helfen.
Besonders wichtig ist es in diesem Zusammenhang, dass die SIEM-Lösung dazu in der Lage ist, sofort Alarme auszulösen, wenn Security Logs manipuliert oder deaktiviert werden. Diese Logs stellen schließlich die Basis dar, die das Auffinden anderer Sicherheitsprobleme erst möglich macht.
Berichte
Um Entwicklungen über längere Zeiträume zu visualisieren, beispielsweise die im Lauf eines Jahres immer langsamer werdenden Antwortzeiten einer Datenbank, muss ein SIEM-Produkt wie gesagt nicht nur dazu in der Lage sein, Zusammenhänge zwischen den Daten herauszufinden, sondern sollte die Informationen auch über einen längeren Zeitraum hinweg speichern. Diese Funktionalität ist vor allem bei Untersuchungen nach dem Erkennen eines erfolgreichen Hackerangriffs auf das Netzwerk von großer Bedeutung. Solche Angriffe werden ja nicht immer sofort erkannt und die gesammelten Daten können später dabei von Nutzen sein, nachträglich den Zeitpunkt des Eindringens der Angreifer herauszufinden. Die Sicherheitslösungen sorgen also nicht nur für Alarme bei aktuellen Störungen, sondern bieten auch Unterstützung bei laufenden forensischen Untersuchungen.
Damit niemand Schindluder mit den gesammelten Daten treiben kann, die ja wesentliche Informationen über das gesamte Netz enthalten, müssen die SIEM-Lösungen außerdem ihre Informationen in einer sicheren Form (am besten manipulations- und revisionssicher) abspeichern. Oft kommen als Datenbasis in diesem Zusammenhang Big Data-Lösungen zum Einsatz, wie auch bei dem Produkt von Securonix und der Exabeam Security Intelligence Platform. Der gleiche Anbieter hat auch Analysefunktionen auf Machine Learning-Basis im Portfolio, genau wie IBM.
Compliance
Wie oben bereits angesprochen, lassen sich SIEM-Tools auch nutzen, um Compliance-Anforderungen zu erfüllen. Das ergibt Sinn, da diese Lösungen sowieso auf einen Großteil der Log-Daten in einem Netzwerk zugreifen und deswegen eine gute Stelle sind, um Netzwerkreports zu verschiedenen Themen zu erzeugen. FortiSIEM von Fortinet deckt beispielsweise mit seinen Reporting-Funktionen eine große Zahl an Compliance-Anforderungen ab. Das gleiche gilt für das Produkt von ManageEngine.
Um die vorhandenen Daten effizient nutzen zu können, verfügen SIEM-Lösungen zudem in der Regel noch über sehr leistungsfähige Suchfunktionen, die sich über den gesamten Datenbestand erstrecken. Damit sich die wesentlichen Informationen in Echtzeit auswerten lassen und die Alarmmeldungen auch bei einem großen Datenbestand mit tausenden von Log-Dateien schnell an ihre Adressaten gelangen, spielt die Leistung des SIEM-Systems ebenfalls eine wichtige Rolle. Administratoren müssen also ein Auge darauf haben, dass die Performance in ihrer Umgebung für alle Anwendungsbereiche genügt.
Marktteilnehmer
Laut Gartner gehören die Unternehmen Alien Vault, BlackStratur, FireEye, EventTracker, Fortinet, ManageEngine, MicroFocus (mit NetIQ), Solarwinds, Trustwave und Venustech zu den Nischen-Playern im SIEM-Markt. Die „Challengers“ sind Dell Technologies (RSA) und MicroFocus (mit ArcSight). Als „Leaders“ gelten IBM, LogRhythm, McAfee und Splunk und die „Visionaries“ sind Exabeam, Rapid7 und Securonix.
Fazit
SIEM-Lösungen sorgen dafür, dass Administratoren schnell über ungewöhnliche Ereignisse in ihren Netzen informiert werden. Außerdem unterstützen sie die IT-Abteilungen beim Reporting, bei der Forensik und beim Einhalten von Compliance-Vorschriften. Bei der Auswahl eines SIEM-Produkts ist darauf zu achten, dass dieses dazu in der Lage ist, alle relevanten Datenquellen in der Unternehmensinfrastruktur zu integrieren und zwar sowohl on-premise als auch in der Cloud. Außerdem gilt es sicher zu stellen, dass genug Leistung vorhanden ist, um die Daten in Echtzeit aufbereiten zu können. Bei Berücksichtigung dieser Punkte bietet eine SIEM-Lösung ein deutliches Plus für das Sicherheitsniveau im Unternehmen.
Über den Autor: Dr. Götz Güttich ist Leiter des Institut zur Analyse von IT-Komponenten (IAIT) und verfügt über mehr als fünfzehn Jahre Branchenerfahrung als IT-Consultant und Fach- beziehungsweise Chefredakteur im IT-Umfeld. Aufgrund seiner langjährigen umfangreichen Testtätigkeit für führende deutsche Netzwerkmagazine beschränken sich seine Fähigkeiten nicht auf die Theorie des IT-Geschäfts.
(ID:45321504)
:quality(80)/p7i.vogel.de/wcms/57/c3/57c30b30342ca95d92884f2e35edc995/0107844392.jpeg "Am Abend des 20. Oktober 2022 überreichten die Chefredakteure der Insider-Portale im Rahmen einer festlichen Gala den drei Gewinnern in jeder Kategorie ihre IT-Awards 2022 in Silber, Gold und Platin! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/a1/16/a11649c32af17e3caebfffeaa2946078/0104760279.jpeg "Unternehmen sollten in der Lage sein, Daten aus SAP in einem SIEM-Tool bzw. -Service zu integrieren, um die Primary Assets des Unternehmens bestmöglich abzusichern. (Bild: pinkeyes - stock.adobe.com)")