Ereigniskorrelation

Kosten einer SIEM-Lösung

| Autor / Redakteur: Raimar Melchior* / Stephan Augsten

Bei der Investition in ein SIEM-System gilt es, auch die Folgekosten im Blick zu haben.
Bei der Investition in ein SIEM-System gilt es, auch die Folgekosten im Blick zu haben. (Bild: Archiv)

Alarme und Events von Sicherheitskomponenten zu ignorieren kann sehr kostspielig werden. Abhilfe und Übersicht schafft eine professionelle SIEM-Lösung. Soll diese effektiv eingesetzt werden, so bindet sie aber interne Ressourcen und verursacht Kosten, derer sich Unternehmen bewusst sein müssen.

Viele Unternehmen setzen auf präventive Sicherheitsmaßnahmen wie Firewall, IPS und Anti-Virus. Jedoch werden diese Sicherheitsschichten durch Phishing Angriffe, „Watering Hole“-Attacken und Schadcode, der unbemerkt ins Unternehmen gelangt, einfach umgangen.

Stehen keine weiteren Mittel zur Verfügung, um intelligente Korrelationen, Angriffsmuster und Anomalien zu erkennen, können sich die Angreifer unbemerkt in der eigenen Infrastruktur bewegen und Daten exfiltrieren. Im Durchschnitt werden Eindringlinge erst nach 170 bis 229 Tagen entdeckt.

Wenn Unternehmen „nichts tun“ und Opfer von Datenmissbrauch werden, können enorme finanzielle Schäden entstehen. Laut Ponemon Institut betragen die durchschnittlichen Kosten für einen gestohlenen Datensatz in Deutschland rund 140 Euro. Ferner können weitere Kosten für die Bereinigung des Schadenfalls hinzukommen, Rufschädigung und einer Kundenabwanderung noch nicht mit eingerechnet.

Es müssen aber nicht unbedingt Daten gestohlen werden. Häufig werden Unternehmen einfach nur ausgespäht oder sie fungieren unwissend als Teil eines Botnetzes oder DDoS-Angriffs. Aber auch Angriffe durch Insider stellen ein immer größeres Risiko dar. Für mehr Intelligenz, Transparenz und Visibilität in der Angriffserkennung kann das Security-Information- und -Event-Management (SIEM) sorgen.

Funktionen eines SIEM

Ein SIEM-System wird dazu verwendet, die Logs von unterschiedlichen Sicherheitskomponenten (z.B. Firewalls, IDS/IPS, Anti-Virus, Active-Directory, Web-Server, etc.) zentral zusammenzuführen und zu korrelieren. Es hilft, fast in Echtzeit sicherheitsrelevante Ereignisse darzustellen, diese zu priorisieren und entsprechend darauf zu reagieren.

Ergänzendes zum Thema
 
Managed SIEM

Weiterhin gibt es Anbieter, die einen Echtzeit Bedrohungschutz („Threat Intelligence“) zur Verfügung stellen, um die Qualität der Erkennungsrate zu erhöhen sowie aufkommende oder gezielte Angriffe zu erkennen. Desweiteren bietet es Analyse, Alerting und Reporting Tools für potenzielle Sicherheitsereignisse.

Eine SIEM-Lösung will aber auch implementiert und gewartet werden. Somit ist die Beschaffung des SIEM-Produktes nur der Anfang. Das Unternehmen muss auch Fachkräfte einstellen, sie trainieren und reibungslose Prozesse definieren. Darüber hinaus muss das Security Information and Event Management ständig optimiert und an aktuelle Bedrohungen angepasst werden.

Ein SIEM ist häufig das zentrale Tool für ein Security Operation Center (SOC) und sollte adäquat geschützt werden, da es viele wichtige Informationen an einer zentralen Stelle enthält und zur Angriffserkennung genutzt wird. Es ist naheliegend, dass es für Angreifer ein attraktives Ziel darstellt.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43192359 / Sicherheitsvorfälle)