Sergey Nivens - Fotolia
Was sind typische Anwendungsfälle für SIEM-Lösungen?
Ein System zum Security Informationen and Event Management (SIEM) dient dazu, alle Informationen über sicherheitsrelevante Vorfälle an einer Stelle zu sammeln und auszuwerten.
SIEM-Lösungen (Security Information and Event Management) sammeln automatisch alle in einer IT-Umgebung anfallenden Daten, analysieren sie und lösen darauf basierend Aktionen aus. Traditionell gehören die Erstellung von Berichten aus Log-Dateien und ein besserer Schutz vor Malware zu den wichtigsten Einsatzmöglichkeiten von SIEM-Lösungen. Es ist mit einem SIEM aber auch möglich, die Spur eines Cyberangriffs zu verfolgen.
Unternehmen können die umfangreichen Logging-Fähigkeiten einer SIEM-Lösung dazu nutzen, Daten aus verschiedenen Quellen in einem Netzwerk zusammenzutragen und sie so zu vereinheitlichen. Dadurch werden weitere Analysen erleichtert, so dass sich Probleme innerhalb der IT-Umgebung des Unternehmens schneller identifizieren lassen.
SIEM-Tools lassen sich darüber hinaus einsetzen, um automatisch bestimmte Muster und Belastungen im Netzwerk zu erkennen. Auf diese Weise können Hinweise auf böswillige Absichten oder Aktivitäten schneller erkannt werden. So lassen sich manche Angriffe noch rechtzeitig stoppen, bevor es zu schwereren Auswirkungen kommt. Dieses Einsatzszenario für ein SIEM ist von besonders großer Bedeutung, da signaturbasierte Schutzmechanismen gegen Viren in Anbetracht der aktuellen Flut an neuer Malware zunehmend an ihre Grenzen stoßen.
DoS-Attacken (Denial of Service), Brute-Force-Angriffe auf Passwörter und Nutzer-Accounts sowie andere unerwünschte externe und interne Aktivitäten können die Performance der Unternehmens-IT ansonsten teilweise schwer in Leidenschaft ziehen. Mit aktuellen SIEM-Tools lassen sich die Ursachen für diese Belastungen für das Firmennetz leichter aufspüren, so dass die Leistungsfähigkeit der Infrastruktur gesichert werden kann.
Dank moderner Algorithmen können mit SIEM-Tools gefährliche Muster schneller erkannt, Logs zusammengeführt, fortgeschrittene Analysen durchgeführt und Berichte erstellt werden. Meist verfügen sie zudem über moderne Dashboards, in denen die wichtigsten Informationen übersichtlich aufgeführt werden. Unternehmen können so entstehende Probleme weit schneller identifizieren und beheben als mit traditionellen, meist manuellen Methoden.
Weitere Einsatzmöglichkeiten für SIEM-Lösungen
Die bisher genannten Beispiele sind relativ einfache Einsatzszenarien. Es gibt noch weit ausgefeiltere Möglichkeiten, um eine SIEM-Lösung im Unternehmen sinnvoll zu nutzen. So lassen sich damit wiederkehrende Muster in Cyberangriffen und sogar ihre Ursprungsquellen erkennen. Auch Behörden können damit leichter Übereinstimmungen in mehreren Attacken identifizieren.
Die meisten Anwendungsfälle für eine SIEM-Lösung konzentrieren sich auf externe Angreifer. Die Werkzeuge können aber auch genutzt werden, um unerwünschte Aktivitäten von eigenen Mitarbeitern, Vertragspartnern oder Consultants innerhalb der Organisation aufzudecken.
Ein SIEM kann darüber hinaus eingesetzt werden, um Datenverkehr zu unerwünschten Seiten im Internet oder Servern über häufig eingesetzte, aber auch über weniger akzeptierte Transportmechanismen aufzuspüren. Besonders auffällig ist es etwa, wenn Daten verschlüsselt übertragen werden, wenn für diesen Einsatzzweck eigentlich gar keine Verschlüsselung nötig ist. Eventuell nutzt dann eine Malware heimlich die Übertragung, um Kontakt mit ihrem Steuerserver aufzunehmen.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!