Was ist SIEM?
Beim Security Information and Event Management (SIEM) handelt es sich um einen Ansatz des Sicherheitsmanagements. Er zielt darauf ab, eine möglichst detaillierte Sicht auf die Sicherheit der Netzwerk- und Informationstechnologien eines Unternehmens oder einer Organisation bereitzustellen.
Die Entwicklungsgeschichte
Die technologische Basis für Security Information and Event Management-Systeme gibt es seit Mitte der 2000er-Jahre. Sie wurde zunächst bei der Verwaltung von Protokolldaten eingesetzt. Dabei ging es in erster Linie um das Einsammeln von Logdaten, die innerhalb von IT-Umgebungen erzeugt werden. Der Begriff Security Information and Event Management wurde erstmals in der IT-Studie „Improve IT Security with Vulnerability Management“ erwähnt. In diesem Bericht schlugen IT-Experten vor, ein neuartiges Sicherheitssystem zu entwickeln, das auf Basis von SEM (Security Event Management) und SIM (Security Information Management) aufbaut. Durch die Kombination dieser beiden Systeme schufen die Anbieter SIEM.
Security Information and Event Management im Detail
SIEM basiert auf dem Prinzip, dass alle relevanten Daten über die Sicherheit eines Unternehmens an unterschiedlichen Stellen anfallen. Demzufolge ist es wesentlich einfacher, Muster und Trends zu identifizieren, die von dem geläufigen Schema abweichen, wenn all diese Daten an einer zentralen Stelle analysiert und betrachtet werden können. Das Security Information and Event Management konsolidiert alle Funktionen von SIM (Security Information Management) und SEM (Security Event Management) in einem zentralen System. Wenn zum Beispiel eine potenzielle Schwachstelle identifiziert wird, kann eine SIEM-Software sämtliche Zusatzinformationen aufzeichnen, eine Warnmeldung herausgeben und andere Sicherheitslösungen aktivieren. Ein SIEM-System lässt sich auf dem einfachsten Level auf Basis eines regelbasierten Systems erstellen, in dem die Beziehungen zwischen Einträgen in einem Ereignisprotokoll hergestellt werden. Moderne Systeme beziehen auch eine detaillierte Analyse des Nutzerverhaltens ein.
Die Funktionsweise moderner Security Information and Event Management-Systeme basiert auf der Verteilung verschiedener Softwareagenten in einer hierarchischen Struktur. Diese werden auf Endgeräte, Server und Netzwerkgeräte installiert, um sicherheitsrelevante Ereignisse aufzuzeichnen. Die Softwareagenten versorgen eine zentralisierte Managementkonsole mit allen Ereignissen, die gewisse Anomalien aufweisen. Um den Agenten die Identifizierung interessanter Vorfälle zu ermöglichen, muss ein SIEM-Administrator zuerst ein exaktes Profil des Systems erstellen, wie es sich unter normalen Umständen verhält. Bei einigen SIEM-Systemen wird die Vorverarbeitung bereits lokal an der Stelle eingeleitet, an der die Daten gesammelt werden. Konkret bedeutet das, dass nur bestimmte Vorfälle an die zentrale Managementkonsole weitergeleitet werden. Auf diese Weise lässt sich das Volumen an zu übermittelnden Daten wesentlich verringern. Durch den Einsatz von künstlicher Intelligenz (KI) können SIEM-Systeme Anomalien zunehmend präziser identifizieren. Dennoch ist maschinelles Lernen kein Ersatz für ein Security-Team und aus diesem Grund ist eine kontinuierliche Rückkoppelung mit der IT-Security nötig.
Wie funktionieren moderne SIEM-Lösungen?
Eine SIEM-Software sammelt alle relevanten Protokoll- und Ereignisdaten von verschiedenen Systemen. Dazu können zum Beispiel folgende Kategorien gehören:
– Anwendungen
– Sicherheitssoftware wie Firewalls oder Antivirenlösungen
Die Informationen werden in der gesamten IT-Infrastruktur einer Organisation gesammelt und anschließend von den SIEM-Tools automatisch identifiziert und in verschiedene Kategorien sortiert, wie zum Beispiel Viren-Aktivitäten oder Fehlermeldungen. Sobald potenzielle Sicherheitsrisiken identifiziert werden, generiert die SIEM-Software entsprechende Sicherheitsmeldungen. SIEM-Admins können über vordefinierte Regeln die Sicherheitswarnungen als hoch oder niedrig einstufen. Falls beispielsweise auf einem Benutzerkonto 10 fehlgeschlagene Anmeldeversuche innerhalb von 15 Minuten erfolgen, kann dies als verdächtige Aktivität mit niedriger Priorität markiert werden. Hier kann man davon ausgehen, dass die Anmeldeversuche mit hoher Wahrscheinlichkeit von dem Benutzer unternommen wurden, der sein Passwort vergessen hat. Ein Benutzerkonto, bei dem hingegen innerhalb von 2 Minuten 100 fehlgeschlagene Anmeldeversuche registriert werden, wird als Ereignis von hoher Priorität eingestuft. Hier ist es wahrscheinlich, dass es sich um eine laufende Brute-Force-Attacke handelt.
Warum ist ein SIEM-System wichtig?
Der Einsatz einer modernen Security Information and Event Management-Lösung bringt Unternehme eine Vielzahl an Vorteilen. Ein SIEM-System erleichtert das Sicherheitsmanagement massiv, indem es die gigantischen Datenmengen filtert und nach Priorität sortiert. Eine solche Software bietet Unternehmen die Möglichkeit, Vorfälle zu identifizieren, die andernfalls unentdeckt geblieben wären. Die Software analysiert rund um die Uhr Protokolldaten, um verdächtige Aktivitäten zu erkennen. Da ein solches System Ereignisse aus vielen unterschiedlichen Quellen in der IT-Infrastruktur einsammelt, ist es möglich, den genauen zeitlichen Verlauf eines Cyberangriffs zu erstellen. Das Sicherheitsteam kann mit diesen Informationen die Art des Angriffs und die Auswirkungen auf den Geschäftsbetrieb bestimmen.
Darüber hinaus unterstützt eine performante SIEM-Software Unternehmen und Organisationen bei der Erfüllung diverser Compliance-Anforderungen. Eine SIEM-Lösung ist in der Lage, automatische Berichte zu erstellen, die alle aufgezeichneten Auffälligkeiten aus den eingebundenen Quellen enthalten. Ohne ein entsprechendes Softwaresystem müssten Unternehmen diese Informationen manuell zusammentragen und die Berichte per Hand anfertigen, was eine gigantische Aufgabe darstellen würde. Eine Security Information and Event Management-Software kann auch bei der Reaktion auf Vorfälle gute Dienste leisten. Das Sicherheitsteam kann beispielsweise die Route eines Cyberangriffs auf das Netzwerk schneller aufdecken und die Angriffsart präziser nachvollziehen.
Moderne Security Information and Event Management-Lösungen haben die Sicherheit in IT-Infrastrukturen stark verbessert. Durch den Einsatz von SIEM-Anwendungen können Ereignis- und Protokolldaten in Echtzeit analysiert werden, wodurch die Reaktion auf Vorfälle schnell und präzise erfolgt.
- Was ist ein Captcha? - 10. August 2023
- CUI – Moderne Kommunikation zwischen Mensch und Maschine - 4. August 2023
- Was bedeutet Zero Trust Modell? - 17. Juli 2023