Robert Kneschke - Fotolia
SIEM: Basiswissen und die wichtigsten Vorteile im Überblick
In den meisten Netzen fallen heute viele Daten an, die kaum noch auszuwerten sind. Ein SIEM hilft dabei, diese Infos zusammenzutragen und auf gefährliche Ereignisse zu reagieren.
SIEM-Lösungen (Security Information and Event Management) gehören heutzutage zum Arsenal vieler Unternehmen. Sie liefern nicht nur wertvolle Informationen, sondern erlauben es den IT-Mitarbeitern auch, in Echtzeit auf Ereignisse zu reagieren. So werden knappe personelle Ressourcen wieder frei für andere Projekte.
Mit der rasanten Zunahme an Geräten, die in Firmen und ihren Datenzentren zu verwalten sind, ist es für viele IT-Admins aber nahezu unmöglich, auf alle Sicherheitsprobleme zu reagieren, die an den verschiedensten Stellen auftreten. Ein SIEM kann hier helfen, da es die wesentlichen Daten zusammenträgt, normalisiert, analysiert und auf dieser Basis umfassende Berichte erstellt. Dank dieser Funktionen kann mit einer SIEM-Lösung zudem eine Analyse in Echtzeit durchgeführt werden, die dann direkt in geeignete Gegen- oder auch vorbereitende sowie reagierende Schutzmaßnahmen umgemünzt werden kann. Außerdem ermöglicht ein SIEM auch forensische Analysen nach einem Vorfall.
Im Bereich des Sammelns von Daten, Aggregation genannt, arbeitet ein SIEM, indem es auf vorhandene Informationen in so genannten Data Stores zugreift. Das sind zum Beispiel die Log-Files der diversen im Unternehmen eingesetzten Netzwerk-Appliances. Nicht alle diese Geräte erstellen ihre Protokolle jedoch in standardisierten Formaten. Es gibt zwar verbreitete Standards wie SNMP (Simple Network Management Protocol) und zur Verwaltung von Dateien. Viele Hersteller setzen jedoch weiterhin lieber auf ihre proprietären Formate zum Verarbeiten und Abspeichern der von ihnen gesammelten Daten.
Ein modernes SIEM kann diese Daten meist nicht nur zusammentragen, sondern auch normalisieren. Das heißt, dass sie dabei in ein einheitliches Format gebracht werden, so dass sie anschließend schneller und leichter analysiert werden können. Viele SIEM-Lösungen können darüber hinaus auch selbst Daten in Echtzeit sammeln und auswerten, die von Tools zur Deep Packet Inspection oder auf Basis eigener Datenstrom-Analysen erstellt werden.
Diese Aggregation ist enorm wichtig für ein SIEM, da nur danach nach bestimmten Mustern über alle gesammelten Daten hinweg gesucht werden kann. Das so genannte Pattern Matching ist eine der bedeutendsten Eigenschaften von SIEM-Lösungen – allerdings nur, wenn es sorgfältig und zuverlässig ausgeführt wird. Durch die Erkennung bestimmter Muster kann ein SIEM Erkenntnisse darüber sammeln, was wirklich in dem gesamten Netzwerk geschieht. Das funktioniert sowohl, wie bereits erwähnt, in Echtzeit, aber auch mit bereits früher gesammelten Daten. Auf Basis dieser Erkenntnisse können dann geeignete Gegenmaßnahmen ergriffen werden.
Wie SIEM-Lösungen Ereignisse erkennen
Ist Ihnen bekannt, wie Virenscanner mit einer großen Signatur-Datenbank arbeiten? Eingehende Dateien werden mit diesen Signaturen verglichen. Wenn ein Treffer gefunden wird, dann wird die Datei entweder für eine weitere Bearbeitung in Quarantäne verschoben oder gelöscht, wenn sie eindeutig als Malware identifiziert wurde. Diese Maßnahmen sind aber rein reaktiv und funktionieren nur etwa beim Empfang von E-Mails und anderen nicht in Echtzeit zu verarbeitenden Daten zufriedenstellend. In einem Netzwerk mit einem hohen Durchsatz reicht dieser Schutz bei weitem nicht mehr aus.
Die meisten SIEM-Lösungen verfügen ebenfalls über Mechanismen zur Überprüfung von Signaturen. Trotzdem müssen sie mit modernen Bedrohungen umgehen können, die heutzutage teilweise auch Virenscanner erkennen sollten: Beispiele dafür sind etwa polymorphe Angriffe oder Zero-Day-Exploits, aber auch DDoS-Attacken (Distributed Denial of Service) und Angriffe per Brute Force. Aus diesen Gründen benötigen SIEM-Lösungen auch heuristische Algorithmen, die auf der Basis von Wahrscheinlichkeiten arbeiten. Außerdem müssen sie über Möglichkeiten verfügen, interne oder Nutzer-basierte Richtlinien zu verarbeiten, die letztendlich bestimmen, was mit einer bösartigen Datei geschehen soll.
Nehmen wir als Beispiel eine DDoS-Attacke: Viele verschiedene Netzwerkadressen aus unterschiedlichsten IP-Blöcken greifen ein bestimmtes Netzwerk an und versuchen, das System so lange mit Anfragen zu überfluten, bis es nicht mehr reagieren kann. Die Trennung von erwünschtem und unerwünschtem Traffic ist in solchen Fällen keine leichte Aufgabe.
Die meisten SIEM-Tools verfügen deswegen über eingebaute Fähigkeiten, um vergleichsweise simple DDoS-Attacken zu erkennen und zu bekämpfen. Außerdem können sie auf andere ungewöhnliche Ereignisse im Netzwerk eines Unternehmens hinweisen. Aus diesen Gründen werden SIEM-Werkzeuge auch eingesetzt, um zunächst zu erfahren, was zum normalen Betrieb eines Netzwerkes gehört. Auf dieser Basis lässt sich dann schneller erkennen, wenn ungewöhnliche und vor allem unerwünschte Ereignisse auftreten.
Abhängig von der Schwere der Ereignisse entscheidet ein SIEM anschließend, welche Maßnahmen ergriffen werden sollten. Dazu gehört, bestimmte Aktivitäten einzugrenzen, Bandbreiten zu beschränken, schädliche Datenpakete in eine andere Umgebung umzuleiten oder komplett zu blockieren. Einzelne Instanzen oder Ereignisse im Netzwerk, die als normal eingestuft werden, sind davon aber nicht betroffen und laufen ohne Einschränkung weiter. Darüber hinaus kann ein SIEM bestimmte Ereignisse hervorheben, so dass sich anschließend ein Admin damit beschäftigt kann.
Forensische Analysen im Data Center
Kein Werkzeug ist fehlerfrei. Nicht davon überzeugt zu sein, bedeutet, dass ein Unternehmen nicht ausreichend auf Datendiebstähle vorbereitet ist. Gehen Sie deswegen jederzeit davon aus, dass Einbrüche in ihre IT-Systeme möglich und sogar unvermeidbar sind.
Durch den Aufbau eines aggregierten und normalisierten Datenspeichers mit Hilfe einer SIEM-Lösung, erhalten Unternehmen auch die Möglichkeit, umfangreiche forensische Analysen nach einem Vorfall durchzuführen. Dazu gehört zum Beispiel, herauszufinden, was vor einem Einbruch geschehen ist, woher die Täter gekommen sind und welche Systeme möglicherweise noch betroffen sind. Nachdem die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union wirksam ist, sollte nahezu jedes Unternehmen heutzutage über solche Fähigkeiten verfügen.
Ein SIEM kann zusammenfassen, was früher durch einzelne Lösungen erledigt werden musste. Außerdem bietet es nützliche Werkzeuge zum Management der Sicherheit eines Unternehmens. Durch die mit einem SIEM mögliche Automatisierung können zudem viele kleinere Sicherheitsgefahren ohne manuelle Einwirkung eines Admins erledigt werden.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!