Security Information and Event Management
Cloud-basiertes SIEM: Aus Daten werden Informationen
Angriffsflächen sind erheblich gewachsen
Sicherheitsteams stehen heute vor der Herausforderung, ständig in Technologien zu investieren, mit denen sie angemessen auf neue und sich entwickelnde Bedrohungen reagieren können. Gerade in jüngster Zeit hat sich die Zahl der Endpunkte dramatisch erhöht – sie müssen ebenso abgesichert werden wie die steigende Zahl von VPNs und Cloud-Anwendungen, die Remote-Arbeitskräfte unterstützen. Die Angriffsfläche ist erheblich gewachsen, doch die SIEM-Lösungen (Security Information and Event Management) haben in vielen Unternehmen nicht Schritt halten können.
"In den meisten Netzwerken werden heute Technologien eingesetzt, die bei der Einführung traditioneller SIEMs noch nicht einmal existierten", betont Georgeta Toth, Regional Director DACH bei Rapid7 . "Sie sind daher prinzipiell kaum in der Lage, sich an die aktuelle Bedrohungslage anzupassen und komplexe Angriffe zu erkennen."
Herkömmliche SIEMs konzentrieren sich meist auf den Import und die Analyse einer Vielzahl von Log-Dateien. Doch Daten allein bedeuten nichts – verwertbare Informationen erhält man erst durch ihren Kontext und Korrelation. Dies gilt auch für die Daten, die für das Verständnis von Sicherheitsbedrohungen am relevantesten und zuverlässigsten sind. In herkömmlichen SIEM-Lösungen ist es daher aufwändig und schwierig, den Sicherheitsteams greifbare Ergebnisse zu liefern.
Cloud-native SIEMs wie InsightIDR von Rapid7 integrieren daher typischerweise unterschiedliche Datenquellen in einer Lösung. Dies ermöglicht es, wichtige Informationen an einem Ort anzuzeigen sowie Logs (und mehr) in nutzbare Information umzuwandeln.
Integration und Cloud als Schlüssel
Früher mussten SIEM-Tools über lokales Storage verfügen, um Daten aus verschiedenen, weit entfernten Quellen zu sammeln, die nicht auf natürliche Weise miteinander kommunizierten. Selbst dann mussten die Benutzer zwischen diesen Quellen hin- und herschalten, um ihre eigenen praktikablen Lösungen zu finden – ein zeitaufwändiger Prozess, der umso schwieriger wird, je stärker die Infrastruktur wächst.
Im Gegensatz dazu komprimieren heutige Lösungen Protokolldaten in der Cloud. Dies führt zu erhöhter Sichtbarkeit und ermöglicht es, erweiterte Abfragen auszuführen, die die Benutzeraktivitäten besser korrelieren. Damit können Security-Teams zuverlässigere Berichte erstellen, ohne viele Ressourcen und viel Zeit zu benötigen. Neuere SIEMs tauschen auch schwerfällige Vor-Ort-Agenten gegen ihre agileren, Cloud-nativen Gegenstücke aus, die Einblicke in Echtzeit bieten, ohne die Systemintegrität zu beeinträchtigen.
Weniger False Positives
Angreifer sind oft nicht nur kreativ, sondern auch hartnäckig. Im Zeitalter des Homeoffice finden sie noch mehr Möglichkeiten, sich über unzureichend geschützte Remote-Endpunkte einzuschleichen und ihre Aktionen harmlos erscheinen zu lassen. Die manuelle Überwachung aller Zugangspunkte wie VPNs, Endpunkte, Firewall-Protokolle, DNS-Tools, Switches oder Router ist nicht nur sehr zeitaufwändig, sondern führt nahezu zwangsläufig auch zu einer großen Zahl von Fehlalarmen. Um diese Zahl drastisch zu verringern, aggregieren moderne SIEMs Daten über Kernsammelpunkte. Die Idee besteht darin, Ermüdungserscheinungen bei der Alarmüberwachung zu vermeiden, indem den Sicherheitsexperten tiefere Einblicke in die Funktionsweise von Angriffsmustern ermöglicht werden. Dabei geht es darum, Protokolldaten in umsetzbare Erkenntnisse zu übersetzen, um die eigenen Daten zu schützen. Allerdings ist es auch eine Kernaufgabe der Sicherheitsteams, die eigenen Schwachstellen im Vorfeld von Angriffen zu erkennen und zu beheben, denn nichts ist für böswillige Akteure attraktiver als ein schlecht verteidigtes System.
Wie schwierig es auch sein mag, die obskuren Motive hinter den meisten Angriffen zu erkennen, einige wichtige Erkenntnisse über Angriffsvektoren lassen sich aus der zentralisierten Protokollüberwachung gewinnen. Wer beispielsweise die Angriffsmuster untersuchen kann, wird feststellen, dass Würmer und sonstige Malware eher auf Hacktivisten hindeuten, während Datendiebe Phishing und Trojanische Pferde bevorzugen. Korrelierte Daten vereinfachen diese Analyse erheblich und helfen dabei, Angriffen effizient und effektiv zu begegnen.