Speicher

Eine alte Speichertechnologie kann SIEM-Systeme ausbremsen

, Pure Storage | Autor: Herbert Wieler

Eine alte Speichertechnologie kann SIEM-Systeme ausbremsen

Pure Storage sieht Zusammenhang zwischen schnellem Speicher und effizienter Security

Moderne SIEM-Systeme erfordern moderne Speicherlösungen. Welche Funktionen bei der Auswahl der richtigen Speicherlösung zur Unterstützung des SIEM-Betriebs auf der „Must-have“-Liste stehen sollten.

SIEM-Sicherheitssysteme schwimmen oder gehen unter – abhängig vom Speicher. Das war schon so, als SIEM (Security Information and Event Management) um 2005 auf den Sicherheitsmarkt kam und gilt heute ganz besonders. 61 Prozent der Unternehmen benötigen laut IDC täglich mindestens ein TB Speicherplatz oder mehr für ihre SIEM-Systeme, was auf die Anzahl der Daten und Protokollquellen zurückzuführen ist, die von den Systemen erfasst werden.

IDC stellte unlängst fest: „Die Leistung einer SIEM-Strategie ist mit den Fähigkeiten des Speichersystems verwoben. Das richtige Speichersystem wird dem Sicherheitsteam helfen, seine Arbeit bestmöglich zu erledigen.“ Diese Feststellung aus dem IDC-Report „How the Right Storage Can Improve SIEM Operations “ untermauert das Argument, dass SIEM-Systeme nur so gut sind wie ihr Speicher.

Pure Storage erläutert, warum modernes und wirksames SIEM auch entsprechend moderne Speichertechnologie erfordert:

Da Angreifer immer aggressiver werden, um in Netzwerke einzudringen oder Lösegeldzahlungen zu fordern, gibt es noch mehr Ereignisse, die von SIEM-Systemen verwaltet werden müssen. Daraus resultieren auch mehr Möglichkeiten, die Ereignisse und Protokolle zu speichern. Nicht jedes Speicherziel ist jedoch ausreichend. Der IDC-Report nennt die folgenden kritischen Speichereigenschaften:

  • Fähigkeit, moderne Datentypen zu verarbeiten und moderne Anwendungen zu unterstützen.
  • Unterstützung von unstrukturierter (datei- und/oder objektbasierter) Speicherung.
  • Hohe Leistung, Verfügbarkeit und kostengünstige Skalierbarkeit.

Viele Unternehmen unterstützen ihre SIEM-Systeme mit Direct Attached Storage (DAS). Dieser Ansatz verursacht jedoch Probleme, wenn die Menge der SIEM-Daten zunimmt. Die bessere Option sind disaggregierte Scale-Out-Speicherarchitekturen, die eine effizientere gemeinsame Nutzung der erworbenen Speicherkapazität auf verschiedenen Servern ermöglichen. Sie machen die Speicherverwaltung und die Skalierung der Speicherkapazität einfacher und kostengünstiger.

Sichtbarkeit hängt von Speicherkapazitäten ab

Die meisten Security-Experten stimmen darin überein, dass selbst die besten SIEM-Lösungen, die über eigene, sofort einsatzbereite Funktionen verfügen, nicht immer die erforderliche Sichtbarkeit in der Umgebung bieten.

Sichtbarkeit ist wichtig, denn Unternehmen können nicht schützen, was sie nicht sehen. Sicherheitsverantwortliche müssen Anomalien in Netzwerken, auf Endgeräten und bei Endbenutzern korrelieren, um Bedrohungen zu erkennen und eine gezielte Reaktion darauf zu entwickeln. Wenn der Datenpool zu klein ist oder unzureichender Speicherplatz zu Verzögerungen führt, haben die Bösewichte mehr Zeit, sich Zugang zu den Netzwerken zu verschaffen.

Schnelle Analyse hängt von der Speicherung ab

Eric Burgener, Director of Technical Strategy bei Pure Storage, stellt fest, dass der Bedarf an schnellem und leistungsfähigem Speicher mit dem Problem der Big-Data-Analyse in Verbindung mit SIEM-Systemen zusammenhängt. Bei SIEM-Lösungen besteht ein eindeutiger Bedarf an Flexibilität, da sie Analysen mit hoher Geschwindigkeit durchführen müssen.

Dieser Bedarf wird in dem IDC-Bericht zusammen mit anderen „Must-haves“ umrissen:

  • Hohe Ingest-Leistung, um relevante Daten zu erfassen, ohne die Fähigkeit zur Informations- und Ereigniserfassung zu beeinträchtigen.
  • Ausreichende Leistung, um Echtzeitsuche, Warnmeldungen und Korrelation zu ermöglichen, umfassende Sicherheit zu bieten, forensische Beweise an Behörden zu liefern und die Compliance, also Einhaltung geltender Regulierungsvorschriften, nachzuweisen.
  • Hohe Verfügbarkeit, um sicherzustellen, dass Ausfälle von Komponenten und/oder Upgrades im Speichersystem die Fähigkeit eines Unternehmens zum Schutz und/oder zur Wiederherstellung seiner Informationsbestände nicht beeinträchtigen.
  • Multi-Petabyte-Kapazität, die skaliert werden kann, um die benötigten Daten aus einer wachsenden Anzahl von Quellen zu sammeln, so dass Unternehmen diese Daten über lange Zeiträume aufbewahren können, um die Genauigkeit zu verbessern.
  • Einheitliche unstrukturierte Speicherfunktionen (Unterstützung von datei- und objektbasierten Daten auf derselben Speicherplattform), die ein System besser für die Erfassung, Speicherung, den Schutz und die Analyse von Sicherheitstelemetrie geeignet machen (da die meisten dieser Daten unstrukturiert sein werden).

Dies ist die „Must-have“-Liste, an der sich auch Pure Storage orientiert. Aus diesem Grund hat Pure FlashBlade//S entwickelt, ein disaggregierte, skalierbare All-Flash-Speichersystem. Dessen Leistung, Verfügbarkeit, Skalierbarkeit und Verwaltbarkeit machen es zur adäquaten Lösung für die Speicherinfrastruktur, die den SIEM-Betrieb erfolgreicher, wachsender Unternehmen unterstützt.

Das Wachstum unstrukturierter Daten nimmt weiter zu, und die Leistungsanforderungen entwickeln sich weiter. Die dynamische Natur unstrukturierter Daten bedeutet, dass Speichersysteme ein Maß an Flexibilität benötigen, welches mit klassischen Speicherlösungen noch nicht verfügbar war. Die Entwicklung unstrukturierter Daten erfordert außerdem einen Ansatz, bei dem die Storage-Lösung kontinuierlich aktualisiert wird, der Zugang zu neuen Hardware- und Softwareinnovationen bietet und bei dem sich das System im Laufe der Zeit nahtlos erweitern lässt.