Suchen

Security Information and Event Management als Eckpfeiler der Security-Strategie

Mit SIEM-Lösungen gegen die NSA

Seite: 2/3

Bergler: Können Sie näher auf die Leistungsfähigkeit solcher Tool-Sets eingehen?

Neumann: SIEM hat mittlerweile enorm an Reife und Funktionalität zugelegt. Aktuelle, leistungsfähige SIEM-Lösungen wie Arcsight von HP halten nicht nur umfassende Funktionen zur Überwachung und Protokollierung von System Logs und Events mit einer schnellen Alarmierung im Bedarfsfall vor. Sie steuern zudem viele Funktionen zur Analyse und Bewertung von System-Logs und -Events bei. SIEM ist somit zu einem unverzichtbaren Tool-Set für das unternehmensinterne Risikomanagement geworden. Es bringt mehr Transparenz in die unternehmenseigene IT-Architektur und geht parallel möglichen Angriffen von Innen und Außen auf den Grund. So können mittels festgelegter Regeln unter anderem unerwünschte Kommunikationsprozesse und abweichende Nutzungsverhaltensweisen ebenso aufgedeckt werden wie ein unerlaubtes Abzapfen von Geschäftsdaten und andere unübliche Verkehrsmuster. Gerade mit Blick auf potenzielle Ausspähungen ist es extrem wichtig, Anomalien bereits bei ihrer Entstehung auf die Spur zu kommen, um sofort zu alarmieren und schnellstens geeignete Gegenmaßnahmen einzuleiten. Alle Unregelmäßigkeiten werden an der SIEM-Konsole sofort gemeldet beziehungsweise als Alarm dargestellt, parallel für Recherchen oder Prüfungen automatisch protokolliert.

Bildergalerie

Bergler: Herr Biermann, was sind die wesentlichen Impulse für diese leistungssteigernde SIEM-Evolution?

Biermann: Gründe für die Evolution vom einfachen Sichtbarmachen von Ereignissen hin zu einer tiefgehenden Bewertung der erhobenen Daten für ein professionelles Risikomanagement gibt es viele. Da ist einmal die Tatsache, dass die Hersteller von SIEM-Lösungen neue Releases in immer kürzeren Zeitintervallen einspielen. Auf diese Weise wird die SIEM-Software vor allem um immer mehr Funktionen zur Analyse und Bewertung von System-Logs und -Events erweitert. Die notwendige Intelligenz dafür verschaffen sich die Hersteller, indem sie Angriffe in der ganzen Welt beobachten, mögliche Schwachstellen analysieren und die SIEM-Software im Rahmen von Kunden-Abos durch neue, intelligente Funktionen und Regeln für ein professionelles Risikomanagement anreichern. Die Kunden profitieren durch diese wertvollen Zusatzservices der SIEM-Hersteller. Im Unternehmen kann via SIEM-Konsole durchgespielt werden, inwieweit die Abwehr verbessert werden kann, indem bestimmte Regeln beispielsweise innerhalb der Firewall implementiert und anschließend die Logs und Events überwacht, analysiert und bewertet werden.

Bergler: Wie findet das Unternehmen zu seinem individuellen SIEM-Lösungszuschnitt?

Biermann: Das Unternehmen, allen voran die Top-Manager, müssen sich darüber im Klaren sein, welche Geschäftsprozesse und Geschäftsdaten besonders schützenswert sind. An diesen Stellen innerhalb der IT-Architektur ist das Unternehmen für technische Probleme sowie für Angriffe von innen und außen besonders empfänglich. Solche Probleme und Angriffe führen zwangsläufig für das Unternehmen zu Reputations- oder betriebswirtschaftlichen Schäden. Diese Teile der IT-Architektur gilt es mittels des SIEM-Werkzeug-Sets besonders abzuschirmen, indem die Logs und Events dieser Systeme – Komponenten, Dienste, Applikationen, Datenbestände, Verbindungen – permanent überwacht, analysiert und bewertet werden, um bei Bedarf sofort an der Konsole zu alarmieren.

Warum Fachabteilungen in SIEM-Projekte einbezogen werden sollten, lesen Sie auf der nächsten Seite.

(ID:42657093)