:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/50/d7/50d7fe52fecf5c07fbb17b637be4a279/0115138647.jpeg "Der Datenschutz möchte und wird ein gewichtiges Wort bei der Gestaltung und Nutzung von KI mitreden. Neben dem AI Act der EU werden die Vorgaben der DSGVO eine zentrale Rolle spielen. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6f/c8/6fc89f7ea3b729aac10a382de00a5f90/0115140486.jpeg "Sysdig stellt neue Benchmark für Cloud-Sicherheit vor (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c1/54c16a567692f949cac390626820b34e/0115102427.jpeg "Die Balance zwischen fortschrittlicher Technologie und dem Schutz unserer menschlichen Identität zu wahren ist eine Gratwanderung. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6f/44/6f442605378b21b6a1ad080455818d7e/0115182398.jpeg "Unternehmen sollten wirksames Risikomanagement zeitnah umsetzen, bevor sie von der endgültigen deutschen Gesetzgebung zur NIS2-Richtlinie noch überrascht werden. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/2e/d92e5468b41274136166ffb7127b6d61/0115141779.jpeg "Mitarbeitende müssen über aktuelle Schwachstellen und Bedrohungen aufgeklärt werden und ein Sicherheitsbewusstsein entwickeln, um verhaltensabhängige Einfallstore zu minimieren. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/27/d9/27d93d4db274659ea08f4acf24d690c9/0113633997.jpeg "Ein Passkey ist ein auf dem Public-Key-Verfahren basierendes, sicheres Anmeldeverfahren ohne Passwort. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Analyse aus der Cloud SIEM as a Service und Threat Intelligence Networks
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Sicherheitsanalysen können nicht nur mit Daten aus der Cloud angereichert werden, sie können auch vollständig in der Wolke ablaufen. SIEM aus der Cloud senkt die Eintrittsbarrieren für kleine und mittlere Unternehmen und macht die Security Intelligence noch schlauer.
Umfragen zeigen, dass viele Unternehmen darauf verzichten, die Ausrichtung und Priorisierung ihrer IT-Sicherheitsmaßnahmen auf aktuelle und individuelle Sicherheitsanalysen zu stützen, sie setzen noch keine SIEM-Lösung ein. Dahinter steckt aber keine Gleichgültigkeit gegenüber der Bedrohungslage, sondern mangelnde Aufklärung über die Bedeutung von SIEM und die Schwierigkeit, selbst ein SIEM-System aufzusetzen.
Security Intelligence wird immer häufiger als Cloud-Service angeboten. Das Spektrum an Services beginnt bei der Erweiterung der lokalen Sicherheitsinformationen und Sicherheitsanalysen durch Security Intelligence oder Threat Intelligence Networks. Unternehmen, die sicherheitsrelevante Informationen aus diesen Networks beziehen, liefern in aller Regel im Gegenzug selbst Sicherheitsdaten an das jeweilige Netzwerk zurück.
:quality(80)/p7i.vogel.de/wcms/5b/be/5bbe743c4c2b3622655f05da67191a27/48908041.jpeg "SIEM-Lösungen bieten übersichtliche Dashboards zur aktuellen Sicherheits- und Bedrohungslage und unterstützen so die Entscheidungsfindung in der IT-Security.")
:quality(80)/p7i.vogel.de/wcms/5f/25/5f257c4e4b85655ca1432558821b49f0/48908039.jpeg "Abweichungen von internen Richtlinien oder Auffälligkeiten bei Nutzer-, Anwendungs- oder Netzwerkaktivitäten führen zu Warnmeldungen. Je nach Einstellung und SIEM-System können auch automatisch Folgeprozesse für die Gefahrenabwehr initiiert werden.")
:quality(80)/p7i.vogel.de/wcms/5a/50/5a50f3670643b00b431d29cdcfb3226b/48908040.jpeg "In SIEM-Lösungen lassen sich individuelle Berichte erzeugen. Zudem können Compliance-Vorgaben wie PCI DSS als Grundlage des Monitorings und Reportings gewählt werden.")
Die teilnehmenden Unternehmen sind gleichzeitig Empfänger und Sender von Sicherheitsinformationen. Die überwachten IT-Systeme bilden die Gefahrensensoren des Security Intelligence Networks und werden im Gegenzug vor den Bedrohungen gewarnt, die bei anderen Teilnehmern sichtbar werden.
Beispiele für Threat oder Security Intelligence Networks sind BT Assure Threat Monitoring-Service, BrightCloud IP Reputation Service, Check Point ThreatCloud Managed Security Service, Cisco Cognitive Threat Analytics, Dell SecureWorks Advanced Endpoint Threat Detection,, Panda Advanced Protection Service oder Trustwave Threat Correlation Service.
Security Intelligence Networks zuerst unter die Lupe nehmen
Welches Security Intelligence Network zum eigenen Unternehmen passt, kommt insbesondere auf die verfügbaren Schnittstellen und Formate an, denn die aus dem Netzwerk gelieferten Datenströme, Security Intelligence Feeds genannt, müssen sich im eigenen SIEM-System einlesen lassen. Unterschiede gibt es auch in der Zahl der Teilnehmer und damit in der Datenbasis sowie in den Dashboards und Reportings, die die Sicherheitsanalysen den Nutzern präsentieren.
Viele dieser cloudbasierten Dienste bieten einen Testzugang, der in jedem Fall bei der Lösungssuche genutzt werden sollte. Einer Prüfung unterziehen sollte man auch die jeweilige Datenschutzerklärung, um zu erfahren, welche Art von Daten bei den Teilnehmern erhoben und wie diese genau verwendet wird. Nutzerdaten sollten in jedem Fall nur anonymisiert in die zentraten Sicherheitsanalysen einfließen.
Nur Management oder SIEM aus der Cloud
Unternehmen können sich auch dafür entscheiden, ein lokales SIEM-System über die Cloud verwalten und pflegen zu lassen. Managed SIEM wird von zahlreichen Dienstleistern angeboten, darunter auch SIEM-Anbieter wie IBM, HP und Trustwave.
Während SIEM-Anbieter in aller Regel das Management ihrer eigenen SIEM-Lösung anbieten, offerieren ausgesprochene Managed Security Provider teils auch die Verwaltung von SIEM-Lösungen nach Wahl. Unternehmen, die bereits ein SIEM-System für interne Sicherheitsanalysen einsetzen und Unterstützung bei der Administration und Wartung suchen, finden dort also Hilfe.
Möglich ist es aber auch, ein Security Information and Event Management komplett aus der Cloud zu beziehen. Das Anwenderunternehmen erhält bei SIEM as a Service alle Warnungen und Berichte auf definierten Wegen, wie zum Beispiel als E-Mail an den internen IT-Administrator.
Dabei sollte man allerdings darauf achten, dass die SIEM-Meldungen aus der Cloud das Unternehmen auch auf sicherem Weg erreichen, also nicht durch Unbefugte eingesehen oder manipuliert werden können. Sonst könnten gefährliche Einsichten in Schwachstellen möglich werden oder die Unterdrückung einer wichtigen Sicherheitsmeldung. Zusätzlich zu den Meldungen stehen den internen Administratoren in der Regel Web-Zugänge zu SIEM-Portalen zur Verfügung, in denen sich Dashboards abrufen und individuelle Berichte generieren lassen.
Auch SIEM as a Service stellt Anforderungen an die Anwender
Angebote für SIEM aaS gibt es inzwischen reichlich, auch wenn sie nicht immer so heißen, wie zum Beispiel die Services von Alert Logic, CloudAccess, Controlware, iT-CUBE SYSTEMS, NCT, NTT Com Security, terralink networks, UBIQUE Technologies oder Virtela. Um sich für einen SIEM-Service entscheiden zu können, sollten potenzielle Anwenderunternehmen nicht nur hinterfragen, welche SIEM-Technologie genau dahintersteckt, also in den Rechenzentren der Provider betrieben wird. Auch die Frage nach den angebotenen Service Levels, den Support- und Hotline-Zeiten und den Datenschutzvorkehrungen sollte nicht fehlen.
Wichtig ist es auch zu klären, wie die sicherheitsrelevanten Daten auf Seiten des Nutzers eingesammelt werden, um sie in der Cloud auszuwerten. In der Regel kommen hier spezielle Datensammler zum Einsatz, die gewisse Systemvoraussetzungen haben, also nicht für jedes Betriebssystem und Gerät verwendet werden können.
Gleichzeitig bleibt der Punkt zu klären, welche Datenquellen ausgewertet werden können und in welchen Datenformaten. Ganz ohne Vorbereitung und Aufwand auf Seiten des Anwenderunternehmens ist ein Security Service auch im Fall von SIEM nicht zu haben.
Fazit
Ob lokal installiert und selbst betrieben, nur eigens verwaltet oder als Service: Die Frage, ob ein SIEM-System genutzt werden soll, sollte immer bejaht werden, um den komplexen Bedrohungen die richtigen Abwehrmechanismen entgegen setzen zu können.
Dieser Beitrag stammt ursprünglich aus unserem eBook „SIEM im Überblick“. Die Links wurden dabei auf den neuesten Stand gebracht und/oder auf Übersichtsseiten ausgerichtet.
(ID:43790112)
:quality(80)/p7i.vogel.de/wcms/84/0d/840d9209f7e086fd4753befe2594de1f/0115093778.jpeg "Ein Managed SOC kann für alle Unternehmen – egal wie groß oder aus welcher Branche – eine gute Lösung sein. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8c/f4/8cf48812665fc59a6d782fa84d4cb33d/0109529267.jpeg "Managed Detection & Response (MDR) Services füllen Lücken in der Cyber-Abwehr. (Bild: frei lizenziert: Buffik)")