Was haben SIEM und Threat Intelligence miteinander zu tun? Auf den ersten Blick nichts. Doch der erste Eindruck täuscht. Mit Hilfe von SIEM, die Abkürzung für Sicherheitsinformations- und Ereignis-Management, erhalten Unternehmen die ganzheitliche Sicht auf die IT-Sicherheit. Die früher getrennten Bereiche Security Information Management (SIM) und Security Event Management (SEM) sind verschmolzen.
Mittlerweile gibt es weit über ein Dutzend Produkte am Markt. Natürlich mit von der Partie, die großen Anbieter, darunter HP und IBM. Sie zählen zu den leistungsfähigen, aber auch nicht einfachsten, dafür aber teuersten Produkten. Software-Agenten leiten dabei Protokolle, Log-Files, Events, Alerts und Daten der verschiedensten Systeme (Firewalls, AV-Systeme, IDS/IPS etc.) an die zentrale Konsole weiter, die sie, möglichst in Echtzeit analysiert, auswertet und gegebenenfalls Aktionen einleitet.
Gut, dass es Produkte für Unternehmen unterschiedlicher Größe, Bedürfnisse und Geldbeutel gibt. Ein SIEM-System ist also so etwas wie die Kommandozentrale für die IT-Security. In dem eBook werden mehrere Lösungen vorgestellt.
Drei vielversprechende Ansätze aus dem eBook
1) SIEM als Einstieg in ein vernetztes Sicherheitssystem
Da eine wachsende Anzahl Endgeräte immer mehr Einfallstore für Cyber-Angriffe bietet, steigt auch die Zahl der einzelnen Sicherheitslösungen im Unternehmen. Damit verbunden sind lange Reaktionszeiten, während der die Systeme nach einem erfolgreichen Angriff verwundbar sind. Das Grundproblem ist dabei, die Aktivitäten und Auswirkungen eines Angriffs zu identifizieren. Intel Security bietet mit dem McAfee Enterprise Security Manager eine SIEM-Lösung an, die bei der Identifizierung und Einordnung von Sicherheitsvorfällen unterstützt, so dass Reaktionszeiten gesenkt werden können.
In dem eBook ist beschrieben, wie IT-Teams mit SIEM Probleme lösen, die Reaktionszeiten drastisch reduzieren und somit die Effizienz um bis zu 100 Prozent erhöhen. Tipps zum Aufbau eines integrierten Security Frameworks schließen diesen Beitrag ab.
2) Realtime IT Security
SIEM bietet, viele Vorteile, Es gibt aber auch alternative Ansätze, die IT-Sicherheit zu verbessern. Großunternehmen und größere mittelständische Betriebe verfügen in der Regel über weltweite Offices und oft bereits über zahlreiche Komponenten.
Üblicherweise ist ein erheblicher Aufwand notwendig, um ein vollständiges Monitoring des Netzwerks zu gewährleisten. Zudem ist das Erkennen von ungewöhnlichen Verhaltensmustern im Netz vornehmlich nur mit Verzögerung möglich. Hier setzt der neue Security-Ansatz der XSeriesPlattform des Herstellers Vectra Networks an. Die Plattform kann vorinstalliert auf einer Appliance bezogen werden. Anhand von Analysen und Risikopriorisierung gelingt es, mögliche Angriffe oder ungewöhnliche Datenbewegungen anhand von Netzwerkanomalien schnell und zuverlässig zu identifizieren und abzuwenden. Dabei sammelt die Lösung Erfahrungswerte, etwa zu normalen und ungewöhnlichen Vorgängen im Netzwerk und gibt eine Einschätzung des Risikos. Durch diesen „Selbstlerneffekt“ ist die Plattform immer auf dem neuesten Stand, um Anomalien gezielt aufzudecken. Eine grafische Aufbereitung erleichtert es dem IT-Team, die aufgeführten Risiken mit entsprechender Priorität zu bearbeiten.
Im Gegensatz zu gängigen SIEM-Lösungen werden die Datenbewegungen im Netzwerk in Echtzeit ausgewertet. Damit stellt Vectra Networks eine sinnvolle Ergänzung zu vorhandenen Security-Lösungen dar. In dem eBook ist detailliert beschrieben, wie Unternehmen ihr Sicherheitsdenken umstellen müssen und wie Echtzeit-Einblicke zur Stärkung der IT-Sicherheit beitragen.
3) SIEM-Tools und Remote Access VPN im Zusammenspiel
Betroffen von der steigenden Zahl immer raffinierterer Angriffe sind nicht nur Konzerne oder bestimmte Branchen, sondern Unternehmen aller Größen. Dies zeigt, dass die Motivation der Angreifer nicht immer offensichtlich und klar ist.
Welche Daten schützenswert sind und wer Systeme über welchen Weg attackiert, sollte aus Unternehmenssicht unbedingt erfasst werden – zusammen mit definierten Prozessen, die im Angriffsfall ablaufen müssen. Das Problem ist meist nicht, dass keine hilfreichen Daten zu möglichen oder erfolgreichen Attacken vorliegen, sondern eher die schwierige Auswertung einer viel zu großen und unstrukturierten Informationsflut. Die Datenmengen resultieren aus steigenden Zahlen an Nutzern, Endgeräten und Anwendungen, die für Menschen unüberschaubare Berge an Protokolldaten produzieren. SIEM-Systeme zur besseren Analyse und Verwaltung von Angriffsindikatoren setzen genau hier an.
Über Remote-Verbindungen versuchen Angreifer den Zugriff auf Firmendaten zu erlangen.
In diesem Zusammenhang können vor allem Nutzer- und Zugriffsdaten analysiert werden,
um Anomalien im Log-Aufkommen sowie Angriffe aufzudecken. Im ersten Schritt muss allerdings bekannt sein, wie normale Netzaktivitäten aussehen, um Abweichungen in
Echtzeit als solche zu erkennen. Diese unterscheiden sich firmen- oder sogar abteilungsspezifisch. Die weiteren Schritte sind in dem eBook genau beschrieben.
Die Themen des eBooks „SIEM 2016"
- SIEM & Threat Intelligence
- Neue Angriffsvektoren – neue Lösungen: SIEM als Einstieg in ein vernetztes Sicherheitssystem
- NetIQ Sentinel 7: Security Intelligence Made Easy
- SIEM + Realtime IT Security
- Wunderwaffe SIEM: SIEM-Tools und Remote Access VPN im Zusammenspiel
- SIEM: Kostenanalyse On-Premise vs. Managed Services
- SIEM Scopes und Vorgehensweise
- Mehrwert generieren: Security Analytics bringt das Plus
http://www.it-daily.net/ebook-siem-2016
Weitere Informationen: www.it-daily.net