Den Nutzen von SIEM-Lösungen verbessern
Zusammenhang von Speicherarchitektur und Security-Effizienz
Der steile Anstieg an Cybersecurity-Daten reißt nicht ab. Die richtige Speicherarchitektur ist der Schlüssel dazu, dass sich die Daten effektiv und schnell genug nutzen lassen, um die Effizienz und Wirksamkeit von SIEM-Systemen (Security Information and Event Management) zu verbessern.
Wenn Cyberangreifer ihre Aktivitäten verstärken, wirkt sich das auch auf die Datenspeicherung aus. Je mehr Versuche die Kriminellen unternehmen, in Netzwerke einzudringen oder Unternehmen zur Zahlung von Lösegeld zu zwingen, desto mehr Vorkommnisse müssen die SIEM-Systeme verwalten. Das führt zu viel mehr Daten – und damit auch zu viel mehr Speicherkapazität für die Daten.
SIEM-Systeme benötigen jedoch nicht irgendeinen Speicher, denn: Selbst die besten SIEMs, die mit ihren eigenen, sofort einsatzbereiten Funktionen ausgestattet sind, bieten nicht immer die Transparenz, die man in seiner Umgebung benötigt und wünscht.
Wichtigkeit von Transparenz
Man kann nicht schützen, was man nicht sehen kann. Man muss in der Lage sein, Anomalien im Netzwerk, an den Endpunkten und bei den Endbenutzern zuzuordnen, um eine potenzielle Bedrohung schnell zu erkennen und eine gezielte Reaktion darauf zu entwickeln. Und wenn der Pool an Daten zu klein, unvollständig oder zu langsam ist, wird man die Angreifer wahrscheinlich nicht rechtzeitig aufspüren.
Unmengen von Daten bedeuten für SIEM-Lösungen nicht viel, wenn sie sich nicht in hoher Geschwindigkeit abrufen und analysieren lassen. Eine interessante Metrik ist die so genannte Breakout Time. Dabei handelt es sich um die Zeitspanne, die vergeht, wenn sich ein Angreifer als normaler Benutzer bei einem Unternehmen anmeldet und dann anschließend seine Berechtigung erhöht, um Administrator oder Admin der Domain in dieser Umgebung zu werden.
Früher hat man die Breakout Time in Stunden gemessen, heute sind es nur noch etwa 90 Minuten. Wenn man versucht, Anomalien in Security Alerts zu erkennen, sollte man sie in diesem Zeitraum der ersten 90 Minuten wahrnehmen – also bevor der Angreifer von einem normalen zu einem privilegierten Benutzer in der Umgebung aufsteigen kann.
Daten müssen sich an vielen verschiedenen Orten sammeln, analysieren und in verwertbare Erkenntnisse umwandeln lassen, damit sie schnell und effizient genug arbeiten. An diesem Punkt ist die richtige Speicherarchitektur sehr wichtig. Big Data Analytics sind hoch skalierbare Systeme, die mit sehr großen Datenmengen zurechtkommen, auf deren Basis sich die Analysen ausführen lassen können, und die zudem in der Lage sind, ein hohes Maß an Gleichzeitigkeit zu unterstützen.
Das besonders besorgniserregende Problem bei SIEM-Lösungen besteht darin, dass sie große Datenmengen schnell aufnehmen und diese Daten gleichzeitig korrelieren müssen, um Anomalien zu identifizieren. Diese lassen sich dann an diejenigen Personen weiterleiten, die für ihre Bekämpfung zuständig sind. Wenn die Speichersysteme nur langsam arbeiten, können sie in der Regel entweder schnell Daten aufnehmen oder schnell verarbeiten – aber nicht beides gleichzeitig. Aus diesem Grund müssen viele Unternehmen Kompromisse bei der Anzahl der Quellen eingehen, aus denen sie Daten einlesen können.
Das Potenzial von Daten ausschöpfen
Michelle Abraham, Research Director bei IDC, berichtete: „Unternehmen müssen nicht nur über ein SIEM verfügen, sondern auch in der Lage sein, es in vollem Umfang zu nutzen", erklärte sie. „Wenn sie das SIEM nur benutzen, um Daten zu sammeln, die sie eventuell für Compliance-Zwecke benötigen, schöpfen sie nicht das volle Potenzial dieser Technologie aus.“
Die wachsende Zahl nicht besetzter Stellen im Bereich der Cybersecurity spricht ebenfalls für die Notwendigkeit von SIEM-Lösungen, um für menschliche Mitarbeiter einzuspringen, wo und wie das möglich ist. Um dies in der Praxis umzusetzen, benötigen SIEM-Produkte Artificial Intelligence (AI) und viele Daten. „In vielen Fällen nutzen SIEMs heute die Verhaltensanalyse von Benutzern und Objekten, um nach diesen Anomalien zu suchen – und diese Algorithmen von Machine Learning (ML) benötigen die Daten, um trainiert zu werden", ergänzte Michelle Abraham.
Die Datenflut reißt nicht ab
Der Ansturm auf Daten im Umfeld von Cybersecurity wird sich nicht verlangsamen, sondern eher noch beschleunigen. Das Datenvolumen wird in den meisten Unternehmen mindestens in den nächsten fünf bis sechs Jahren um 30 bis 40 Prozent jährlich anwachsen. Es ist wahrscheinlich, dass viele dieser Unternehmen über ihre bisherigen Datenarchitekturen hinauswachsen werden.
Das macht deutlich, dass skalierbare Lösungen nötig sind, die diesen besonderen Anforderungen gerecht werden. Dies ist nicht etwas, das nur für SIEMs spezifisch ist. Aufgrund des enormen Datenbedarfs für Analytics wird man im Laufe der Zeit immer mehr Daten sammeln – und je mehr Daten man sammelt, desto bessere Ergebnisse erhält man.
Und bei SIEM braucht man mehr als nur Skalierbarkeit. Es sind Lösungen für den Aufbau von Datenschichten nötig. Eine UFFO-Lösung (Unified Fast File and Object) ist eine Plattform, mit der man diesen Ansatz ohne Unterbrechung und ohne Ausfallzeiten in die Praxis umsetzen kann.
Andy Stone ist CTO Americas bei Pure Storage.
Lesen Sie mehr zum Thema
