Next-Gen SIEM wird zur Basistechnik des SOCs
Intelligenz für mehr Sicherheit
Maschinelles Lernen, Automation und Analytik helfen auf vielen Ebenen, die IT effektiver zu verwalten. Sie können auch die Sicherheit erhöhen: SIEM-Lösungen der neuesten Generation haben sich dank dieser Funktionen zu einer tragenden Säule der Cybersecurity entwickelt und helfen den von der Flut an Bedrohungen überwältigten IT-Abteilungen und Security Operations Centers (SOCs) dabei, die Sicherheit ihrer Unternehmen maßgeblich zu erhöhen.
Die Gesellschaft digitalisiert sich, die Netzwerke wachsen und verzweigen sich und deren Verwaltung erreicht eine nie geahnte Komplexität. Um Menschen bei der Mammutaufgabe zu unterstützen, die IT zu bändigen, sind fortschrittliche Tools nötig, die auf maschinellem Lernen und Automatisierung aufbauen. Solche Lösungen kommen bereits in vielen Branchen zum Einsatz, und die Anwendungsfälle für diese schlauen Helfer in der IT sind mannigfaltig. Seit einiger Zeit auch in der IT-Security. Dort werden sie auch dringend benötigt, denn die Angriffsfläche von Unternehmen war nie so groß wie heute, in Zeiten von hybriden Infrastrukturen mit Systemen und Geräten on Premises, in der Cloud und in Home-Offices.
Die IT-Security ist derzeit ein Paradoxon: Obwohl so viel wie noch nie in Sicherheit investiert wird, ist die IT verwundbarer denn je. Dies weist auf fehlende Fokussierung hin. Die Investitionen sind geprägt von Punktlösungen, die nicht das Gesamtbild betrachten und zwischen denen sich ständig Lücken auftun. Eines der grundlegenden Probleme bei der Absicherung von Netzwerken ist die Transparenz. Das heißt, die zuständigen IT-Sicherheitsfachleute benötigen zuerst einmal volle Transparenz darüber, was alles im Netzwerk geschieht. Dies klingt einfach, ist aber selbst für viele professionell aufgestellte Unternehmen nach wie vor eine große Herausforderung.
Die meisten Lösungen können nicht alle Ecken des Netzwerks ausleuchten und machen das Unternehmen anfällig für Angriffe. Offensichtlich sind Lösungen erforderlich, die keine blinden Flecken zulassen. Eine der wichtigsten Techniken dabei ist SIEM (Security- Information- and Event-Management) der neuesten Generation, oft „Next-Gen-SIEM“ betitelt, das gewissermaßen eine Satellitenperspektive auf die IT-Sicherheit von Unternehmen bietet und sich gepaart mit maschinellem Lernen, Analytik und Automation zum Basiswerkzeug von SOCs entwickelt hat.
Definition
SIEM ist eine Security-Lösung, die Sicherheitswarnungen und Daten, die von Endgeräten in einem Netzwerk erzeugt werden, in Echtzeit analysiert. Unternehmen verwenden SIEM-Tools, um Sicherheitsvorfälle in Echtzeit zu identifizieren, Sicherheitsdaten zu protokollieren, die Reaktion auf Vorfälle zu verwalten und zu dokumentieren, dass Vorschriften und Regularien eingehalten werden (Compliance Reporting).
Die Grundprinzipien eines jeden SIEM-Systems sind die Zusammenführung relevanter Daten aus verschiedenen Quellen, die Identifizierung von Norm-Abweichungen und das Ergreifen geeigneter Maßnahmen. SIEMs bieten so proaktive Sicherheit und ergänzen damit andere passive Methoden wie etwa die Netzwerk- oder die Datenverschlüsselung. Ohne SIEM-Systeme müssten sich Sicherheitsexperten tage- oder wochenlang manuell durch Protokolle verschiedener Systeme arbeiten, um Probleme oder Angriffe annähernd so gut zu verstehen oder auch nur zu erkennen. Es wäre praktisch unmöglich, im Detail zu sehen, was in ihren IT-Umgebungen geschah, und verschiedene Quellen in Korrelation zu setzen.
SIEM-Generationen
Wie viele andere Techniken hat auch SIEM viele Evolutionsstufen durchlaufen. Die ersten Lösungen kamen vor rund zwanzig Jahren auf den Markt, und die Technik wurde seitdem regelmäßig an aktuellere Anforderungen angepasst, wie etwa Big Data, Virtualisierung oder Cloud-Konzepte. Obwohl SIEM erstmals die notwendige Transparenz schuf, krankten frühe Generationen von SIEM an der mangelnden Fähigkeit, aus Daten Sinn zu generieren, da die dafür notwendigen Anwendungen noch nicht ausgereift waren. Die Lösungen der ersten Generation sammelten und präsentierten schlichtweg mehr Daten, als es seinerzeit möglich war zu verarbeiten. Viele Lösungen der zweiten SIEM-Generation scheiterten daran, den Daten den richtigen Kontext zuzuordnen. Die Lösungen gaben viel zu viele Warnungen aus, die sich nach manuellen Untersuchungen dann größtenteils als Fehlalarme entpuppten. Sicherheitsanalysten taten nichts anderes mehr, als False Positives abzuarbeiten.
So blieben die Unternehmen weiter Risiken ausgesetzt, da Angriffe mitunter erst bemerkt wurden, wenn die Kill-Chain bereits abgeschlossen war. In einer Welt, in der die Gefahren ständig steigen und IT-Vorfälle die Existenz von Unternehmen gefährden können, führte der Einsatz von SIEM daher in der Praxis vieler Unternehmen auch zu Frustration. Denn: Was nützt die volle Transparenz, wenn man Heerscharen an SOC-Analysten bräuchte, um alle Meldungen zu sichten?
Next-Generation SIEM
Der größte Unterschied eines Next-Gen SIEMs zu früheren Generationen ist, dass die aktuelle Generation im Zeitalter von Big Data neu entwickelt wurde und auf maschinelles Lernen setzt, um die ungeheuer große Menge an Log-Informationen schneller verarbeiten zu können. Die Algorithmen sind dynamisch. Sie lernen dazu und passen sich an das jeweilige Unternehmensnetz an. Die eingebaute Analytik kann Anomalien ohne großen Konfigurationsaufwand automatisch aufdecken. Next-Gen SIEM bietet erstmals eine Einschätzung von Risiken, ohne dafür auf vorkonfigurierte Warnmeldungen zurückgreifen zu müssen. Zuvor basierten Warnungen auf vergleichsweise einfachen Fakten und bereits bekannten Angriffsmustern. Im modernen Sicherheits-Management werden Teams heute jedoch ständig mit bisher unbekannten Bedrohungen (Zero-Day Attacks) über immer neue Angriffsvektoren konfrontiert, und Sicherheitslösungen müssen auch diese erkennen können.
Wie identifiziert ein Next-Gen SIEM solche Gefahren? Die neue, analysebasierende Sicherheitsüberwachung von Next-Gen SIEM wendet statistische Techniken auf Datenmengen an, um Verhalten zu modellieren. Diese Modelle bilden die Grundlage für jeden einzelnen Benutzer und jedes Gerät in einer IT-Umgebung. Diese Technik wird auch als User- und Entity-Verhaltensanalyse (UEBA) bezeichnet. In einem UEBA-System ermöglicht eine „Baseline“ die Definition eines „normalen Verhaltens“ in einer Umgebung: Wer arbeitet wo? Mit welchem Endgerät? Auf welche Applikationen oder Daten greift ein Gerät zu? Wie oft und zu welchen Uhrzeiten? Was passiert mit den Daten? Alle zukünftigen Abweichungen von der Baseline sind mögliche Hinweise auf Risiken für Benutzer und Systeme.
- Intelligenz für mehr Sicherheit
- Beispiele der Analyse
Lesen Sie mehr zum Thema
