Security Information and Event Management
Schnelle Reaktion auf Sicherheitsvorfälle ermöglichen
(pressebox) Niederkassel, 11.04.2014 - Der Betrieb von IT-Systemen ist heute mehr denn je mit Risiken behaftet. Seit einigen Jahren sehen Betreiber ihre IT immer komplexeren Angriffen von Außen ausgesetzt. Dies gilt nicht nur für Anbieter von Online-Diensten, sondern auch für den normalen Mittelständler, dessen Geschäftsprozesse zu einem Großteil auf Informationstechnologie basieren. IT ist omnipräsent und Cyber-Angriffe sind längst keine harmlosen Streiche mehr, sondern werden zur bewussten Schädigung von Staaten und Organisationen eingesetzt. Ein Beispiel hierfür ist der Angriff auf das Sony Playstation Network im Jahr 2011, bei dem Angreifer unter anderem auf die Kreditkartendaten von 77 Millionen Kunden zugreifen konnten (Quelle: heise.de/-1233136).Das Regierungen und Geheimdienste ebenfalls auf digitale Angriffe setzten, ist spätestens nach den Veröffentlichungen um Stuxnet und Flame bekannt (Quelle: heise.de/-1621770).
Um diesen Entwicklungen zu begegnen, reichen die bisherigen Sicherheitsmaßnahmen für die IT nicht mehr aus. Vor allem durch das ständige Anwachsen von heterogenen Netzwerken ist es heutzutage leichter den Überblick über die Sicherheitslage im Netzwerk zu verlieren. Firewalls, Virenscanner und Proxyserver haben auch weiterhin ihre Daseinsberechtigung. Allerdings müssen sie von globaleren Mechanismen unterstützt werden, um zielgerichtete Attacken auf Netzwerkinfrastrukturen abwehren zu können. Eine Klammer über bestehende Sicherheitssysteme bilden so genannte Security Information and Event Management Produkte.
SIEM setzt sich zusammen aus SIM (Security Information Management) und SEM (Security Event Management). Alle drei Begriffe werden in der Praxis oft synonym verwendet, bezeichnen aber eigentlich unterschiedliche Funktionen. Ein SEM ist als Echtzeitsicht auf die aktuellen Ereignisse einer IT-Landschaft zu verstehen, wogegen sich ein SIM mit Reporting, Auswertung und Langzeitspeicherung von Sicherheitsdaten befasst. Ein SIEM-System fasst diese beiden Einzelrollen zusammen und bietet so eine Echtzeiterfassung von Ereignis-, Bedrohungs- sowie Risikodaten und somit eine Möglichkeit zur schnellen Reaktionen auf Sicherheitsvorfälle. Die erfassten Daten stehen neben einer Echtzeitanzeige auch für periodische Auswertungen oder zu Audit-Zwecken zur Verfügung. Darüber hinaus kombinieren sie die Datenerfassung mit Alarmierungssystemen um im Angriffsfall schnell reagieren zu können. Die Korrelation vermeidlich harmloser Einzelvorfälle hilft dabei, den Blick auf das Gesamtbild zu wahren und großflächige Angriffe auch dann zu erkennen, wenn sie verdeckt laufen. Dies lässt sich an einem einfachen Beispiel verdeutlichen: Ein Angriff auf einen einzelnen Arbeitsplatz-PC mag unkritisch sein - vor allem dann, wenn er erkannt und blockiert wird. Erfolgen derartige Zugriffsversuche aber systematisch auf mehrere Arbeitsplätze, so steckt vermutlich ein zielgerichteter Angriff dahinter.
Weitere gängige Funktionen und Datenquellen für SIEM-Systeme sind etwa
- Anbindung an ein Identity and Access Management
- Auswertung der Protokolle (Log-Dateien) von Datenbanken, Anwendungen und Verzeichnisdiensten
- Vulnerability Management
- Auswertung externer Bedrohungsberichte (beispielsweise CERT, CVE)
Für SIEM-Produkte gibt es einen nicht unerheblichen Markt - denn auch die Softwarehersteller haben dieses Potential erkannt. Auf dem Markt findet man unter anderem renommierte Hersteller mit ihren Produkten, wie IBM QRadar, RSA Security Analytics oder HP ArcSight ESM. Allerdings gibt es auch einige kleinere Player und sogar Open Source-Produkte, was diesen Markt recht interessant macht.
Das Thema SIEM wird, über kurz oder lang, für nahezu jeden Betreiber einer eigenen, komplexen Netzwerkumgebung relevant werden. Produkte zur Umsetzung sind reichlich vorhanden. Allerdings ist klar, dass ein SIEM-Produkt keine Out-of-the-box-Lösung darstellt. Zur Bestimmung der notwendigen Datenquellen und zur Auswahl eines Softwareproduktes sind eine kompetente Beratung und eine umfassende Anforderungsanalyse unumgänglich. Mit langjähriger Erfahrung in der Durchführung von IT-Projekten und in der Aufnahme von Anforderungen ist die ACT ein kompetenter Partner für eine SIEM-Einführung. Im Zuge der Implementierung des neuen Systems können die Berater der ACT auf das Wissen aus über 30 Jahren Erfahrung in der Implementierung von Systems Management und IT-Sicherheits-Systemen zurückgreifen.
Um diesen Entwicklungen zu begegnen, reichen die bisherigen Sicherheitsmaßnahmen für die IT nicht mehr aus. Vor allem durch das ständige Anwachsen von heterogenen Netzwerken ist es heutzutage leichter den Überblick über die Sicherheitslage im Netzwerk zu verlieren. Firewalls, Virenscanner und Proxyserver haben auch weiterhin ihre Daseinsberechtigung. Allerdings müssen sie von globaleren Mechanismen unterstützt werden, um zielgerichtete Attacken auf Netzwerkinfrastrukturen abwehren zu können. Eine Klammer über bestehende Sicherheitssysteme bilden so genannte Security Information and Event Management Produkte.
SIEM setzt sich zusammen aus SIM (Security Information Management) und SEM (Security Event Management). Alle drei Begriffe werden in der Praxis oft synonym verwendet, bezeichnen aber eigentlich unterschiedliche Funktionen. Ein SEM ist als Echtzeitsicht auf die aktuellen Ereignisse einer IT-Landschaft zu verstehen, wogegen sich ein SIM mit Reporting, Auswertung und Langzeitspeicherung von Sicherheitsdaten befasst. Ein SIEM-System fasst diese beiden Einzelrollen zusammen und bietet so eine Echtzeiterfassung von Ereignis-, Bedrohungs- sowie Risikodaten und somit eine Möglichkeit zur schnellen Reaktionen auf Sicherheitsvorfälle. Die erfassten Daten stehen neben einer Echtzeitanzeige auch für periodische Auswertungen oder zu Audit-Zwecken zur Verfügung. Darüber hinaus kombinieren sie die Datenerfassung mit Alarmierungssystemen um im Angriffsfall schnell reagieren zu können. Die Korrelation vermeidlich harmloser Einzelvorfälle hilft dabei, den Blick auf das Gesamtbild zu wahren und großflächige Angriffe auch dann zu erkennen, wenn sie verdeckt laufen. Dies lässt sich an einem einfachen Beispiel verdeutlichen: Ein Angriff auf einen einzelnen Arbeitsplatz-PC mag unkritisch sein - vor allem dann, wenn er erkannt und blockiert wird. Erfolgen derartige Zugriffsversuche aber systematisch auf mehrere Arbeitsplätze, so steckt vermutlich ein zielgerichteter Angriff dahinter.
Weitere gängige Funktionen und Datenquellen für SIEM-Systeme sind etwa
- Anbindung an ein Identity and Access Management
- Auswertung der Protokolle (Log-Dateien) von Datenbanken, Anwendungen und Verzeichnisdiensten
- Vulnerability Management
- Auswertung externer Bedrohungsberichte (beispielsweise CERT, CVE)
Für SIEM-Produkte gibt es einen nicht unerheblichen Markt - denn auch die Softwarehersteller haben dieses Potential erkannt. Auf dem Markt findet man unter anderem renommierte Hersteller mit ihren Produkten, wie IBM QRadar, RSA Security Analytics oder HP ArcSight ESM. Allerdings gibt es auch einige kleinere Player und sogar Open Source-Produkte, was diesen Markt recht interessant macht.
Das Thema SIEM wird, über kurz oder lang, für nahezu jeden Betreiber einer eigenen, komplexen Netzwerkumgebung relevant werden. Produkte zur Umsetzung sind reichlich vorhanden. Allerdings ist klar, dass ein SIEM-Produkt keine Out-of-the-box-Lösung darstellt. Zur Bestimmung der notwendigen Datenquellen und zur Auswahl eines Softwareproduktes sind eine kompetente Beratung und eine umfassende Anforderungsanalyse unumgänglich. Mit langjähriger Erfahrung in der Durchführung von IT-Projekten und in der Aufnahme von Anforderungen ist die ACT ein kompetenter Partner für eine SIEM-Einführung. Im Zuge der Implementierung des neuen Systems können die Berater der ACT auf das Wissen aus über 30 Jahren Erfahrung in der Implementierung von Systems Management und IT-Sicherheits-Systemen zurückgreifen.
