Suchen

Mit Security Information und Event Management (SIEM) Bedrohungen aufspüren und beseitigen Mit SIEM IT-Gefahren erkennen

| Autor / Redakteur: Oliver Bareiss, AlienVault / Peter Schmitz

Datendiebstahl verursacht wirtschaftlichen Schaden und Image-Probleme bei betroffenen Unternehmen. Auch die beste Sicherheitstechnik hilft aber nichts, wenn die Gefahren nicht erkannt werden. Dabei soll Security Information und Event Management (SIEM) helfen.

Firma zum Thema

SIEM soll Unternehmen dabei helfen, ein Auge auf den Datenstrom im eigenen Netzwerk zu haben und so zur Erkennung und Beseitigung von IT-Bedrohungen beitragen.
SIEM soll Unternehmen dabei helfen, ein Auge auf den Datenstrom im eigenen Netzwerk zu haben und so zur Erkennung und Beseitigung von IT-Bedrohungen beitragen.
(Bild: Sergej Khackimullin, Fotolia)

Jeden Tag kommt ein neuer schwerwiegender Verstoß in puncto IT-Security ans Tageslicht. Darüber hinaus gibt es nahezu stündlich Hunderte unbemerkte Datenbetrugsfälle. Die Verluste können enorm ausfallen; nicht nur aus finanzieller Sicht, sondern auch, was das Ansehen und den Ruf des Datendiebstahlopfers betrifft. Damit es gar nicht erst soweit kommt, sollte Cyber-Gefahren frühzeitig eine Abfuhr erteilt werden.

Dies erledigt das Security Information und Event Management (SIEM). Es unterstützt Unternehmen auf dem Weg vom Erkennen einer Bedrohung bis zu dessen Beseitigung aus dem System. Darüber hinaus steht mit dem Unified Security Management (USM) noch eine weitere Waffe gegen IT-Bedrohungen bereit.

Um neuartige IT-Bedrohungen rechtzeitig zu erkennen, müssen Unternehmen ungewöhnliche Vorkommnisse in ihren Netzwerken identifizieren und überwachen. Sie sollten demnach jederzeit wissen, was in ihren Systemen und bei Arbeitsprozessen im Netzwerk passiert. Dies treibt die Nachfrage an sofortigen und aktuellen Informationen zu eventuellen Bedrohungen an.

Die Nadel im Heuhaufen finden

Eine bestimmte Technologie ist für solche Prozesse von hohem Nutzen: Security Information und Event Management, kurz SIEM. Diese setzt verschiedene, relevante Informationen in Verbindung zueinander und bildet dadurch die notwendigen Zusammenhänge, um Bedrohungen zu erkennen.

Dabei besteht eine Herausforderung darin, dass die IT-Umgebungen und die Sicherheitskontrollen zum Schutze von Daten und Infrastrukturen zunehmend komplexer werden. Dies liegt z.B. an Netzwerken, die über mehrere Standorte verteilt sind. Hier sind entsprechende Security-Lösungen schwerer zu integrieren, und meist wird ihre Verwaltung im Laufe der Zeit zunehmend komplex. Eine weitere Herausforderung ist die „Operationalisierung“, also das Messbar-machen von Bedrohungsinformationen (Threat Intelligence). Dies hilft Firmen, präzise vorauszusagen, was zu tun ist, wenn eine Gefahr erkannt wird. Sie erhalten Informationen über den oder die Entwickler der Bedrohung, die Absicht dahinter und die beste Taktik, die Bedrohung zu beseitigen (Remediation).

Traditionelles SIEM benötigt noch Hilfe

Die erste Welle von SIEM-Anbietern fokussierte sich hauptsächlich auf die Analyse-Ebene („Event Correlation Engine“); vorausgesetzt, die meisten Unternehmen konnten ein Security-Monitoring vor Ort bereits mit anderen Produkten abdecken. Da es so viele unterschiedliche Tools gibt, die man in das SIEM integrieren kann, war es in den meisten IT-Umgebungen noch umständlich, SIEM-Lösungen zu implementieren. Zudem konnten entsprechende Alarmrufe und Berichte nicht so schnell ausgelöst bzw. produziert werden, und die Administration wurde mit der Zeit immer komplizierter. Daraus resultiert: Traditionelle SIEM-Produkte haben einen üppigen Preis. Neben dem Produkt selbst müssen Nutzer zudem viel Geld in professionelle Services und Integratoren investieren.

Auf der nächsten Seite lesen Sie 6 Tipps für einen erfolgreichen SIEM-Einsatz.

(ID:42247372)