É«¿Ø´«Ã½

SIEM steht f¨¹r ?Security Information and Event Management¡°. In der Praxis kombinieren SIEM-Softwarel?sungen die Vorteile von Sicherheitsinformationsmanagement (SIM) und Sicherheitsereignismanagement (SEM) in einer umfassenden Sicherheitsl?sung, die von Ihren Anwendungen und Ihrer Hardware generierte Sicherheitswarnungen in Echtzeit analysieren kann.

Wie funktioniert SIEM?

SIEM sammelt Informationen aus Protokollen und Ereignisdaten, die von einer Organisation ¨¹ber ihre Anwendungen, Sicherheitssysteme und Hardware generiert werden. Durch den Abgleich von Ereignissen mit Regeln und Analyse-Engines k?nnen SIEM-Systeme Sicherheitsbedrohungen in Echtzeit erkennen und analysieren. Noch besser: Alles wird f¨¹r die Suche indiziert, um Sicherheitsteams bei ihren Analysen, der Protokollverwaltung und der Berichterstellung zu unterst¨¹tzen.

Beispiele f¨¹r Bedrohungen, die eine SIEM-L?sung erkennen kann

Unbefugter Zugriff

Eine Handvoll fehlgeschlagener Anmeldeversuche ist verst?ndlich. W?chst diese Zahl aber auf 100, f¨¹hrt wahrscheinlich gerade jemand einen Brute-Force-Angriff durch. SIEM-Software kann das Benutzerverhalten ¨¹berwachen und ungew?hnliche Zugriffsversuche erkennen.

Bedrohungen durch Insider

Durch die st?ndige ?berwachung des Mitarbeiterverhaltens k?nnen SIEM-Systeme sowohl zuf?llige als auch b?swillige Insider-Bedrohungen erkennen. Von ehemaligen Mitarbeitern, denen ihre Zugriffsrechte noch nicht entzogen wurden, ¨¹ber b?swillige Insider, die m?glicherweise versuchen, vertrauliche Informationen zu stehlen oder weiterzugeben, bis hin zu versehentlichen Sicherheits?nderungen kann SIEM-Software anomales Verhalten erkennen und es zur Analyse an einen Sicherheitsanalysten weiterleiten.

Phishing

Phishing-Angriffe zielen darauf ab, Menschen dazu zu bringen, freiwillig pers?nliche oder sensible Informationen preiszugeben, indem sich der Angreifer als vertrauensw¨¹rdige Instanz ausgibt. Die h?ufigste Form von Phishing sind E-Mails mit b?sartigen Links oder Anh?ngen von Angreifern, die sich als Anbieter, Manager oder Mitarbeiter ausgeben. Zus?tzlich zu Sicherheitsschulungen kann eine SIEM-L?sung auch Dinge wie Anmeldungen von Mitarbeitern von verd?chtigen Standorten aus zu ungew?hnlichen Zeiten erkennen, was ein Zeichen f¨¹r ein kompromittiertes Mitarbeiterkonto sein kann. Sie k?nnen dann dieses Benutzerprofil sperren, um Schaden zu verhindern, bis der Mitarbeiter den Zugriff best?tigt hat.

DoS- und DDoS-Angriffe

DoS-Angriffe (Denial of Service) unterbrechen Services, indem sie Netzwerke mit so viel Datenverkehr ¨¹berfluten, dass Systemressourcen ¨¹berlastet sind und es zu einem Absturz kommt. Die H?ufigkeit solcher Bedrohungen nimmt zu, da Botnets die Netzwerkger?te nichtsahnender Benutzer leicht in ihre eigenen Schw?rme aufnehmen k?nnen, um verteilte Denial-of-Service-Angriffe (DDoS) durchzuf¨¹hren. Durch die ?berwachung Ihrer Webserver-Protokolle kann SIEM-Software anomale Verkehrsereignisse erkennen, die auf einen DoS- oder DDoS-Angriff hindeuten k?nnen. Durch das fr¨¹hzeitige Erkennen solcher Angriffe hat Ihr Sicherheitsteam Zeit, Abwehrma?nahmen zu ergreifen und die Wiederherstellung der Services zu planen.

Code-Injektion

Bei der Code-Injektion wird b?sartiger Code in clientseitige Eingabekan?le wie z.?B. Online-Formulare eingeschleust, mit dem Ziel, Zugriff auf die Datenbank oder die Systeme einer Anwendung zu erhalten. Das h?ufigste Beispiel hierf¨¹r ist die SQL-Injektion, bei der SQL-Befehle in nicht bereinigte Eingaben eingef¨¹gt werden, sodass der Angreifer Daten direkt in der Datenbank ?ndern oder l?schen kann. Die ?berwachung der Aktivit?ten von Webanwendungen macht es m?glich, anomale Ereignisse zu markieren und mithilfe der Ereigniskorrelation festzustellen, ob ?nderungen an Ihrem System vorgenommen wurden.

Ransomware und andere Malware

Bei Ransomware, Viren, W¨¹rmern, Trojanern und anderen Arten von Malware handelt es sich um Software, die darauf ausgelegt ist, in Computersysteme einzudringen und sch?dliche Programme auszuf¨¹hren. Die beste Verteidigung gegen solche Angriffe ist Vorbeugung, und SIEM-Systeme bieten Ihnen die ?berwachungsfunktionen, die Sie ben?tigen, um Sicherheitsprotokolle sinnvoll auszuwerten, Angriffsvektoren zu identifizieren und anomales Verhalten zu erkennen, das zu einem Angriff f¨¹hren k?nnte. Nach einer Besch?digung kann SIEM Ihnen auch dabei helfen, das Schadensausma? eines Malware-Angriffs zu ermitteln und Ihrem Sicherheitsteam dadurch die Informationen zur Verf¨¹gung zu stellen, die es zur Behebung des Problems ben?tigt.

MITM-Angriffe

Ein Man-in-the-Middle-Angriff (MITM) liegt vor, wenn eine b?swillige dritte Partei die Kommunikation zwischen zwei Hosts abh?rt, um Informationen zu stehlen oder zu manipulieren. Nachdem die Kommunikation abgefangen wurde, kann der Angreifer eine Reihe von Techniken einsetzen, vom Kapern von Benutzersitzungen durch das Aussp?hen von Passworteingaben bis hin zum Einschleusen b?sartiger Pakete in Datenkommunikationsstr?me. H?ufige Verbindungen oder Verbindungsabbr¨¹che zu unbekannten Orten k?nnen auf einen MITM-Angriff hindeuten, weshalb SIEM ein unsch?tzbares Werkzeug sein kann, um Lauschangriffe zu erkennen, bevor es zu sp?t ist.

Wann SIEM zum Einsatz kommen kann, mit Beispielen

SIEM-Systeme sind eine Kernkomponente jeder Unternehmenssicherheitsinfrastruktur. Sehen wir uns einige Beispiele f¨¹r SIEM-Anwendungsf?lle an.

Einhaltung von Datenstandards

SIEM-Systeme fassen Daten aus Ereignisprotokollen, Sicherheitstools und Ger?ten im gesamten Unternehmen zusammen. Sie sind das perfekte Tool zur Unterst¨¹tzung beim Erstellen von Berichten zur Einhaltung von Vorschriften und Bestimmungen.

Hier ein paar Beispiele:

• DSGVO: Die Datenschutz-Grundverordnung (DSGVO) wurde von der Europ?ischen Union (EU) erlassen, um die personenbezogenen Daten von EU-B¨¹rgern zu sch¨¹tzen.
• HIPAA: Der Health Insurance Portability and Accountability Act (HIPAA) wurde vom US-Gesetzgeber zum Schutz sensibler Gesundheitsdaten von Patienten erlassen.
• PCI: Der Payment Card Industry Data Security Standard (PCI DSS) ist ein Informationssicherheitsstandard, der von gro?en Kreditkartenunternehmen zum Schutz ihrer Kunden vorgeschrieben wird.
• Konformit?t mit SOX: Der Sarbanes-Oxley Act (SOX) ist eine US-amerikanische Vorschrift zur Bek?mpfung von Abrechnungsbetrug. Er gilt f¨¹r die Vorsitzenden, das Management und die Wirtschaftspr¨¹fungsgesellschaften von Aktiengesellschaften und verlangt eine genaue Berichterstattung dar¨¹ber, wo sensible Informationen gespeichert sind, wer Zugriff darauf hat und wie sie verwendet werden.

Da SIEM einen strukturierten Zugriff auf Protokollinformationen und Sicherheitsdaten im gesamten Unternehmen bietet, k?nnen detaillierte Berichte f¨¹r Aufsichtsbeh?rden und einzelne Dateneigent¨¹mer gleicherma?en erstellt werden.

Erkennung ausgekl¨¹gelter Sicherheitsbedrohungen

Wie im vorangegangenen Abschnitt ?Beispiele f¨¹r Bedrohungen, die eine SIEM-L?sung erkennen kann¡° n?her erl?utert, wurden SIEM-Systeme f¨¹r die Erkennung ausgekl¨¹gelter Sicherheitsbedrohungen entwickelt. Sehen wir uns einige allgemeinere Beispiele daf¨¹r an, wie SIEM-Systeme das aktive Threat Hunting unterst¨¹tzen.

• Erkennung von Anomalien: Verhaltensanalysen und Ereigniskorrelation k?nnen Anomalien aufzeigen, die von Sicherheitsteams genauer untersucht werden m¨¹ssen.
• Datenexfiltration: Wenn Sie einen ?berblick ¨¹ber die Verwendung Ihrer Daten haben, k?nnen Sie auf Insider-Bedrohungen und andere Versuche aufmerksam werden, vertrauliche Informationen unbefugt au?erhalb Ihrer Organisation zu ¨¹bertragen.
• Reaktion auf neue Schwachstellen: Wenn ein neuer Zero-Day-Angriff oder eine Systemschwachstelle erkannt wird, kann eine SIEM-L?sung Ihnen helfen, den Umfang der Schwachstelle schnell zu ermitteln, damit Sie sie schlie?en k?nnen.
• Von fr¨¹heren Vorf?llen lernen: Wenn ein Vorfall eintritt, k?nnen Sie schnell ¨¹berpr¨¹fen, ob er schon einmal vorgekommen ist. Fr¨¹here Erfahrungen im Umgang mit dem Problem k?nnen Ihnen dabei helfen, k¨¹nftige Vorf?lle zu vermeiden oder schneller mit wiederholt auftretenden Vorf?llen umzugehen.
• Threat Intelligence: Erkennen Sie auf intelligente Weise Angriffe auf IT-Systeme, indem Sie KI auf Sicherheitsdaten und Protokolle anwenden. Gleichen Sie die Muster bekannter Angriffssignaturen mit historischen Daten ab.
• Untersuchungen lenken: Geben Sie Analysten die M?glichkeit, Hypothesen durch Datenexploration ¨¹ber eine SIEM-Plattform zu testen.

IoT-Implementierungen sichern

Das Internet der Dinge (IoT) besteht aus einer Flotte von verteilten Netzwerkger?ten, von denen jedes seine eigenen Ereignisprotokolle in Echtzeit ¨¹bertr?gt. SIEM-Systeme sind ideal f¨¹r das Sichern von IoT-Implementierungen.

• ?berwachung von IoT-Ger?ten: IoT-Ger?te sind ein ideales Ziel f¨¹r das Kapern f¨¹r Botnets zum Durchf¨¹hren von DDoS-Angriffen. Bei st?ndiger ?berwachung durch ein SIEM-System kann dieses Sie auf anomales Verhalten hinweisen, das auf ein kompromittiertes Ger?t hindeutet.
• ?berwachung von Datenfl¨¹ssen: IoT-Ger?te kommunizieren h?ufig ¨¹ber unverschl¨¹sselte Protokolle miteinander. Eine SIEM-L?sung kann ungew?hnliche Datenverkehrsmuster zwischen Knoten in Ihrem IoT-Netzwerk erkennen und Sicherheitsteams alarmieren, wenn sensible Informationen gef?hrdet sind.
• Zugriffskontrolle: Wenn ¨¹berwacht wird, wer wann auf Ihre IoT-Ger?te zugreift, k?nnen Sie auf verd?chtige Aktivit?ten oder Verbindungen hingewiesen werden.
• Schwachstellenmanagement: Eine SIEM-L?sung kann Ihnen dabei helfen, veraltete Betriebssysteme und ungepatchte Sicherheitsl¨¹cken in den IoT-Ger?ten Ihrer Flotte zu erkennen. Sie kann Ihnen auch dabei helfen, die Ger?te zu isolieren, die am ehesten angegriffen werden k?nnten, z.?B. Ger?te mit Zugang zu sensiblen Daten oder kritischen Funktionen.

Worin unterscheidet sich ein SIEM-System von einem IDS?

Der Hauptunterschied zwischen einem SIEM-System und einem Intrusion Detection System (IDS) besteht darin, dass ein SIEM-System pr?ventiv arbeitet, w?hrend ein IDS darauf optimiert ist, Bedrohungsereignisse zu erkennen und zu melden, sobald sie auftreten. Zwar erstellen beide Tools Warnmeldungen und Protokolle, aber nur das SIEM-System kann diese Protokollinformationen zentralisieren und ¨¹ber verschiedene Ger?te und Systeme hinweg korrelieren, um einen ?berblick ¨¹ber die Sicherheit Ihres Unternehmens zu erhalten.

Organisationen verwenden h?ufig SIEM und IDS gemeinsam. Das IDS hilft w?hrend eines Angriffs. Die SIEM-L?sung nimmt diese IDS-Protokolle auf und stellt sie zusammen mit anderen Systeminformationen zur Verf¨¹gung, sodass Sicherheitsteams Compliance-Berichte erstellen und k¨¹nftige Angriffe verhindern k?nnen.

SIEM versus SOAR: Worin besteht der Unterschied?

Security Orchestration, Automation and Response (SOAR) gibt es noch nicht sehr lange. Es erweitert die F?higkeiten von SIEM, indem es Ihnen auch die Automatisierung von Untersuchungspfad-Workflows erm?glicht. Dadurch verringert sich der Zeitaufwand f¨¹r die Bearbeitung von Warnmeldungen.

SIEM identifiziert Bedrohungen, indem es Informationen aus verschiedenen Quellen korreliert, einschlie?lich Firewalls, Anwendungen, Servern und Ger?ten. Die SIEM-L?sung versucht, dem Sicherheitsteam die wichtigsten Informationen sowie Vorschl?ge f¨¹r Abhilfema?nahmen bereitzustellen, aber es ist Sache des Sicherheitsteams, die Quelle einer potenziellen Bedrohung ausfindig zu machen und zu beseitigen.

Die SOAR-Plattform bietet all dies und noch mehr, indem sie den zus?tzlichen Schritt zur Automatisierung des Untersuchungspfads durchf¨¹hrt. Sie geht ¨¹ber das blo?e Warnen des Sicherheitsteams vor einer potenziellen Bedrohung hinaus, indem sie KI einsetzt, um Verhaltensmuster zu erlernen und Bedrohungen durch Orchestrierung automatisch anzugehen.

G?ngige SIEM-Cybersicherheitsanbieter

Einige beliebte SIEM-Tools auf dem Markt sind:

Fazit

Kurz gesagt: SIEM steht f¨¹r ?Security Information and Event Management¡°. SIEM-Tools k?nnen verwendet werden, um eine Vielzahl von Bedrohungen zu erkennen und zu verhindern, einschlie?lich Code-Injektion, Ransomware-Angriffe und DDoS-Angriffe. Sie sind besonders n¨¹tzlich bei der Erkennung von Anomalien, wie z.?B. unbefugtem Zugriff, verd?chtigen Anmeldeversuchen und ungew?hnlichen Datenstr?men. Wenn Sie eine Sicherheitsplattform ben?tigen, die Protokolle aus verschiedenen Quellen f¨¹r die Sicherheitsanalyse an einem zentralen Ort zusammenf¨¹hren kann, kann eine SIEM-L?sung helfen.