Mit Security Information und Event Management (SIEM) Bedrohungen aufspüren und beseitigen

Mit SIEM IT-Gefahren erkennen

| Autor / Redakteur: Oliver Bareiss, AlienVault / Peter Schmitz

SIEM soll Unternehmen dabei helfen, ein Auge auf den Datenstrom im eigenen Netzwerk zu haben und so zur Erkennung und Beseitigung von IT-Bedrohungen beitragen.
SIEM soll Unternehmen dabei helfen, ein Auge auf den Datenstrom im eigenen Netzwerk zu haben und so zur Erkennung und Beseitigung von IT-Bedrohungen beitragen. (Bild: Sergej Khackimullin, Fotolia)

Datendiebstahl verursacht wirtschaftlichen Schaden und Image-Probleme bei betroffenen Unternehmen. Auch die beste Sicherheitstechnik hilft aber nichts, wenn die Gefahren nicht erkannt werden. Dabei soll Security Information und Event Management (SIEM) helfen.

Jeden Tag kommt ein neuer schwerwiegender Verstoß in puncto IT-Security ans Tageslicht. Darüber hinaus gibt es nahezu stündlich Hunderte unbemerkte Datenbetrugsfälle. Die Verluste können enorm ausfallen; nicht nur aus finanzieller Sicht, sondern auch, was das Ansehen und den Ruf des Datendiebstahlopfers betrifft. Damit es gar nicht erst soweit kommt, sollte Cyber-Gefahren frühzeitig eine Abfuhr erteilt werden.

Dies erledigt das Security Information und Event Management (SIEM). Es unterstützt Unternehmen auf dem Weg vom Erkennen einer Bedrohung bis zu dessen Beseitigung aus dem System. Darüber hinaus steht mit dem Unified Security Management (USM) noch eine weitere Waffe gegen IT-Bedrohungen bereit.

Um neuartige IT-Bedrohungen rechtzeitig zu erkennen, müssen Unternehmen ungewöhnliche Vorkommnisse in ihren Netzwerken identifizieren und überwachen. Sie sollten demnach jederzeit wissen, was in ihren Systemen und bei Arbeitsprozessen im Netzwerk passiert. Dies treibt die Nachfrage an sofortigen und aktuellen Informationen zu eventuellen Bedrohungen an.

Die Nadel im Heuhaufen finden

Eine bestimmte Technologie ist für solche Prozesse von hohem Nutzen: Security Information und Event Management, kurz SIEM. Diese setzt verschiedene, relevante Informationen in Verbindung zueinander und bildet dadurch die notwendigen Zusammenhänge, um Bedrohungen zu erkennen.

Dabei besteht eine Herausforderung darin, dass die IT-Umgebungen und die Sicherheitskontrollen zum Schutze von Daten und Infrastrukturen zunehmend komplexer werden. Dies liegt z.B. an Netzwerken, die über mehrere Standorte verteilt sind. Hier sind entsprechende Security-Lösungen schwerer zu integrieren, und meist wird ihre Verwaltung im Laufe der Zeit zunehmend komplex. Eine weitere Herausforderung ist die „Operationalisierung“, also das Messbar-machen von Bedrohungsinformationen (Threat Intelligence). Dies hilft Firmen, präzise vorauszusagen, was zu tun ist, wenn eine Gefahr erkannt wird. Sie erhalten Informationen über den oder die Entwickler der Bedrohung, die Absicht dahinter und die beste Taktik, die Bedrohung zu beseitigen (Remediation).

Traditionelles SIEM benötigt noch Hilfe

Die erste Welle von SIEM-Anbietern fokussierte sich hauptsächlich auf die Analyse-Ebene („Event Correlation Engine“); vorausgesetzt, die meisten Unternehmen konnten ein Security-Monitoring vor Ort bereits mit anderen Produkten abdecken. Da es so viele unterschiedliche Tools gibt, die man in das SIEM integrieren kann, war es in den meisten IT-Umgebungen noch umständlich, SIEM-Lösungen zu implementieren. Zudem konnten entsprechende Alarmrufe und Berichte nicht so schnell ausgelöst bzw. produziert werden, und die Administration wurde mit der Zeit immer komplizierter. Daraus resultiert: Traditionelle SIEM-Produkte haben einen üppigen Preis. Neben dem Produkt selbst müssen Nutzer zudem viel Geld in professionelle Services und Integratoren investieren.

Auf der nächsten Seite lesen Sie 6 Tipps für einen erfolgreichen SIEM-Einsatz.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42247372 / Monitoring und KI)