Nutzen Sie unser Angebot

SIEM inklusive User Behavior Analytics

Das zentrale Element für Ihre IT-Sicherheit

Security Information und Event Management / SIEM

Erkennen und analysieren: Analysegestützte SIEM-Lösung

Security Information und Event Management von heute korreliert in Echtzeit alle sicherheitsrelevante Daten, reichert sie an (Threat Intelligence), gibt verwertbare Informationen aus und ermöglicht so eine schnelle Reaktion bei Incidents.

Was ist ein SIEM?

Im Security Information und Event Management werden zwei grundsätzliche Konzepte in einem zentralen Instrument zusammengeführt (Security Information Management und Security Event Management), um die generelle IT-Sicherheit eines Unternehmens oder einer Organisation zu verbessern oder überhaupt erst zu ermöglichen.

Ein SIEM sammelt Informationen aus verschiedensten Quellen (Netzwerkinfrastruktur, IT-Security-Komponenten, Logfiles, Active Directory, …), bereitet diese auf und stellt die Ergebnisse effizient zur Verfügung.

Unter Einbeziehung auch externer Bedrohungen werden Sicherheitslücken in Echtzeit aufgezeigt und mögliche Gegenmaßnahmen angeregt bzw. angestoßen.

Was ist ein SIEM Security Information und Event Management?

Um außergewöhnliche Verhaltensmuster erkennen zu können, muss das ‚gewöhnliche‘ Verhalten aller Nutzer bekannt sein. Gerade gestohlene oder schwache Kennwörter ermöglichen einem Angreifer oftmals, sich überhaupt erst Zugang zu einem IT-System zu verschaffen. Als normaler Benutzer getarnt kann er sich dann nahezu frei bewegen. Auch Malware machen sich Angreifer bei der Übernahme einzelner Assets zunutze und können sich von dort lateral zwischen Assets bewegen, indem sie beispielsweise Netzwerkverkehr mithören, auswerten und die Informationen daraus missbrauchen. Mit der richtigen Benutzer-Verhaltensanalyse können selbst Angreifer, die sich als Mitarbeiter zu tarnen versuchen, entlarvt werden.

Wir kennen sehr viele Angriffsszenarien, sobald aber neue Angriffsmethoden bekannt werden, werden diese analysiert, um zukünftige Angriffe noch schneller und präziser zu erkennen. Dabei werden zusätzlich Deception Technologien (s.dort) eingesetzt, um Angreifer auf falsche Spuren zu locken, um sie möglichst lange ohne Schadenspotenzial zu beschäftigen und damit den implementierten Verfahren die notwendige Zeit zur adäquaten Reaktion zu verschaffen. Dabei ist immer klar, auf Basis welcher Kriterien ein Alarm ausgelöst wurde.

Die überwiegende Zahl der Einbrüche in IT-Systeme starten am Endgerät, weshalb es besonders wichtig ist, Informationen über genau diese sensiblen Stellen zu sammeln. Die Ergebnisse aus Benutzer- und Angreifer-Verhaltensanalyse werden zusammen mit Threat Intelligence eingesetzt, um frühzeitig fragwürdige Aktionen zu erkennen und anzuzeigen. Fragwürdige Aktionen auf einem Endgerät könnten beispielsweise das Löschen lokaler Logfiles oder das Ausführung privilegierter Aktionen sein.

Auch nach einem abgewehrten Angriff stehen alle Informationen zur Verfügung, um analysieren zu können, was vor, während und auch nach dem Angriff geschehen ist. Endpoint Detection ist in Echtzeit möglich.

Zeigt detaillierte Einblicke in die Aktivitäten des Netzwerks und der damit verbundenen Geräte.

Dadurch können mögliche Angriffe gegen Ihre IT-Infrastruktur frühzeitig erkannt und Gegenmaßnahmen eingeleitet werden. Informationen zur späteren Analyse eines Angriffs oder Angriffsversuche stehen dadurch ebenfalls zur Verfügung.

Viele unterschiedliche Systeme, Assets und User führen zu unzähligen unterschiedlichen Logfiles mit täglich Millionen von Einträgen. Diese werden analysiert, korrelierende Informationen werden zusammengeführt und auf mögliche Sicherheits- oder auch Compliance-Verstöße untersucht.

Ereignisse mit hoher Relevanz (z. B. mögliche Bedrohungslage) werden entsprechend zur umgehenden Überprüfung vorgelegt.

Mit der Analyse, Erkennung und Verhinderung von Angriffen ist es nicht getan. Schafft es ein Angreifer, die IT-Infrastruktur zu kompromittieren, ist es wichtig, ihn zum Bleiben zu animieren. Spezielle Technologien – z.B. Honeypots, Honey Users, Honey Credentials und auch Honey Files – gaukeln dem Angreifer dazu ein mögliches lukratives Ziel vor. Gleichzeitig wird der Angreifer so bereits frühzeitig darin gehindert, tiefer in die Infrastruktur vorzudringen. Während er beschäftigt ist, wird der Angriff analysiert, bis der Angreifer gefunden, entfernt und möglicherweise auch identifiziert werden konnte.

Kritische Dateien und Informationen müssen vor unbefugten Änderungen geschützt und jegliche autorisierte Änderung zuverlässig protokolliert bzw. auditiert werden.

Diverse Standards erzwingen ein derartiges Vorgehen:

  • PCI Requirement 10: Audit logging and log management
  • NIST CSF Detect: User Monitoring
  • PCI, HIPAA, GDPR: File Integrity Monitoring (FIM)
  • Automation

Eine Vielzahl an Tätigkeiten lässt sich automatisieren:

  • Eindämmung von Bedrohungen auf Endpoints
  • Stilllegung/Reaktivierung von Benutzerkonten
  • Integration in Ticketsysteme