Analyse aus der Cloud SIEM as a Service und Threat Intelligence Networks

Anbieter zum Thema

Sicherheitsanalysen können nicht nur mit Daten aus der Cloud angereichert werden, sie können auch vollständig in der Wolke ablaufen. SIEM aus der Cloud senkt die Eintrittsbarrieren für kleine und mittlere Unternehmen und macht die Security Intelligence noch schlauer.

Bei Cloud-basierter Security Intelligence profitieren die Kunden von den „Erfahrungen“ anderer.
Bei Cloud-basierter Security Intelligence profitieren die Kunden von den „Erfahrungen“ anderer.
(Bild: freshidea - Fotolia.com)

Umfragen zeigen, dass viele Unternehmen darauf verzichten, die Ausrichtung und Priorisierung ihrer IT-Sicherheitsmaßnahmen auf aktuelle und individuelle Sicherheitsanalysen zu stützen, sie setzen noch keine SIEM-Lösung ein. Dahinter steckt aber keine Gleichgültigkeit gegenüber der Bedrohungslage, sondern mangelnde Aufklärung über die Bedeutung von SIEM und die Schwierigkeit, selbst ein SIEM-System aufzusetzen.

Security Intelligence wird immer häufiger als Cloud-Service angeboten. Das Spektrum an Services beginnt bei der Erweiterung der lokalen Sicherheitsinformationen und Sicherheitsanalysen durch Security Intelligence oder Threat Intelligence Networks. Unternehmen, die sicherheitsrelevante Informationen aus diesen Networks beziehen, liefern in aller Regel im Gegenzug selbst Sicherheitsdaten an das jeweilige Netzwerk zurück.

Bildergalerie

Die teilnehmenden Unternehmen sind gleichzeitig Empfänger und Sender von Sicherheitsinformationen. Die überwachten IT-Systeme bilden die Gefahrensensoren des Security Intelligence Networks und werden im Gegenzug vor den Bedrohungen gewarnt, die bei anderen Teilnehmern sichtbar werden.

Beispiele für Threat oder Security Intelligence Networks sind BT Assure Threat Monitoring-Service, BrightCloud IP Reputation Service, Check Point ThreatCloud Managed Security Service, Cisco Cognitive Threat Analytics, Dell SecureWorks Advanced Endpoint Threat Detection,, Panda Advanced Protection Service oder Trustwave Threat Correlation Service.

Anforderungen an SIEM as a Service
  • Unterstützung der relevanten Datenquellen (Schnittstellen, Datenformate, Datensammler)
  • Geeignete Verfahren für Meldungen und zur Alarmierung
  • Templates für Berichte nach relevanten Compliance-Vorgaben
  • Anpassbarkeit der Berichte auf interne Vorgaben des Anwenderunternehmens
  • Schnittstelle zur Archivierung der Berichte
  • Verschlüsselte Kommunikation zwischen Service-Provider und Anwenderunternehmen
  • Mandantenfähigkeit
  • Erforderliche Service Levels, Hotline- und Support-Zeiten
  • Einhaltung von Datenschutz-Vorgaben

Security Intelligence Networks zuerst unter die Lupe nehmen

Welches Security Intelligence Network zum eigenen Unternehmen passt, kommt insbesondere auf die verfügbaren Schnittstellen und Formate an, denn die aus dem Netzwerk gelieferten Datenströme, Security Intelligence Feeds genannt, müssen sich im eigenen SIEM-System einlesen lassen. Unterschiede gibt es auch in der Zahl der Teilnehmer und damit in der Datenbasis sowie in den Dashboards und Reportings, die die Sicherheitsanalysen den Nutzern präsentieren.

Viele dieser cloudbasierten Dienste bieten einen Testzugang, der in jedem Fall bei der Lösungssuche genutzt werden sollte. Einer Prüfung unterziehen sollte man auch die jeweilige Datenschutzerklärung, um zu erfahren, welche Art von Daten bei den Teilnehmern erhoben und wie diese genau verwendet wird. Nutzerdaten sollten in jedem Fall nur anonymisiert in die zentraten Sicherheitsanalysen einfließen.

(ID:43790112)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung