Startseite > Security > SIEM ist nicht genug

Kombiniertes Security-Monitoring

SIEM ist nicht genug

28. Februar 2023, 7:00 Uhr | Gregor Erismann/am

Häufig sind die Begriffe Security-Monitoring und SIEM (Security-Information- und Event-Management) synonym in Verwendung, doch aufgrund des großen manuellen Aufwands können SIEM-Lösungen bestenfalls eine Basis für ein umfassendes Security-Monitoring mit kurzen Erkennungs- und Reaktionszeiten sein. NDR-Lösungen (Network Detection and Response) können SIEM-Systeme ergänzen und die Funktionalität eines umfassenden Alarmsystems realisieren.

Moderne SIEM-Systeme sind sehr hilfreiche Tools für die Sammlung von Daten und Logs, die für Überwachung, Compliance und Forensik wichtig sind. Die Aufgabe eines SIEM ist es, Daten über das gesamte Netzwerk zu erfassen, bekannte Malware zu identifizieren und Alerts an Sicherheits- und IT-Teams zu senden.

SIEM-Systeme generieren allerdings viel manuellen Aufwand für Analysten, um die sicherheitsrelevanten Vorfälle im System zu konfigurieren. Da sie Unmengen an Daten ohne weitere Erkenntnisse sammeln, erfordern sie zudem in der Regel viel internes Cybersicherheitswissen und entsprechende Ressourcen, um die Daten zu analysieren sowie die Regeln zur Bedrohungserkennung überhaupt zu definieren. Zudem ist die Analyse von Daten in SIEM-Systemen gerade in großen Unternehmen oft auch ein nicht zu unterschätzender Kostentreiber.

Die Angriffsflächen der IT-Umgebungen sind in der jüngeren Vergangenheit erheblich gewachsen, was eine zusätzliche Herausforderung für das SIEM ist. Dieses ist kaum in der Lage, sich an die aktuelle Bedrohungslage anzupassen und komplexe Angriffe zu erkennen. Begrenzte Skalierbarkeit und Visibility, der erhebliche Overhead und meist hohe Kosten für die Datensammlung sind weitere Schwachpunkte herkömmlicher SIEM-Lösungen. Ein umfassendes Security-Monitoring, das eine schnelle Erkennung von Anomalien und eine unverzügliche Reaktion darauf ermöglicht, lässt sich daher mit SIEM-Lösungen allein nicht realisieren.

NDR als Lösung

Hier können NDR-Lösungen helfen, die an Stelle von oder gemeinsam mit SIEM-Systemen eingesetzt sind, um ein leistungsfähiges Alarmsystem für das gesamte Netzwerk zu schaffen. NDR-Lösungen basieren auf ausgefeilten KI-Algorithmen, um sicherheitsrelevante Daten aus zahlreichen Quellen zu analysieren. So ermöglichen sie eine sehr genaue und schnelle Erkennung von Anomalien, die auf Cyberangriffe hindeuten. Moderne NDRs lassen sich als reine Softwarelösung ausführen und die Komponenten der bestehenden Infrastruktur als Sensoren nutzen, was die Kosten reduziert und die Implementierung erheblich vereinfacht. Solche NDR-Lösungen eignen sich auch gut für den Einsatz in Managed-Service-Umgebungen.

Beim gemeinsamen Einsatz von SIEM und NDR kann die NDR-Lösung Daten sowohl aus dem SIEM als auch direkt von Netzwerkquellen wie etwa Firewalls, Gateways oder Switches verarbeiten. Die Erstellung von Regeln zur Überwachung des Netzwerkverkehrs erfolgt damit automatisiert, was den manuellen Aufwand deutlich reduziert.

Zero-Day-Angriffe erkennen

Da NDR-Lösungen bei der Erkennung von Bedrohungen nicht auf vorprogrammierte Signaturen angewiesen sind, können sie anomalen Netzwerkverkehr und unbekannte Bedrohungen erkennen, die herkömmliche Tools oft übersehen. So können NDRs auch unbekannte Zero-Day-Angriffe erkennen, für die noch keine Signaturen existieren. Dies ist deshalb zentral, weil gemäß einer Untersuchung des Ponemon Instituts der Anteil von Zero-Day-Angriffen bei über 80 Prozent aller Cyberangriffen liegt.

Da die Machine-Learning-Algorithmen von NDRs normales Netzwerkverhalten lernen, dafür zahlreiche Daten korrelieren und dabei auch das Whitelisting der Analysten einbeziehen, generieren NDR-Lösungen deutlich weniger Fehlalarme, wie andere Security-Tools. Dies ermöglicht es den Security-Analysten, bösartiges Verhalten sofort zu erkennen und Bedrohungen zu identifizieren, die herkömmliche Lösungen nicht erkennen würden. Wenn sich beispielsweise ein Client plötzlich mit Admin-Zugängen durchs Netzwerk bewegt, könnte dies ein Hinweis auf eine Cyberbedrohung sein, die man untersuchen sollte. NDR unterstützt solche Untersuchungen, da es nicht einfach nur einzelne Warnmeldungen generiert, sondern ein ganzheitliches, kontextualisiertes Bild der Bedrohungslandschaft erstellt. Darüber hinaus ermöglicht NDR nicht nur die Überwachung des Netzwerkverkehrs zwischen bekannten Netzwerkgeräten, sondern identifiziert und überwacht auch unbekannte Geräte. Solche Lösungen sind daher ein wirksames Mittel gegen die Gefahren einer unkontrollierten Schatten-IT.