Aufbau von SIEM für die heutige Bedrohungslandschaft

Cyber Security News

Sivan Tehila, Cybersicherheitsstratege bei Perimeter 81, bespricht die Elemente, die bei der Erstellung einer modernen SIEM-Strategie für Remote-Arbeit und Cloud-Alles eine Rolle spielen.

Es ist leicht zu erkennen, wie die sich verändernde Sicherheitslandschaft die Entwicklung des Praxisbereichs Security Information and Event Management (SIEM) geprägt hat – und weiterhin prägt. Aber die Architektur eines effektiven SIEM-Ansatzes erfordert eine gut durchdachte Strategie.

Als eine Kombination aus Security Information Management (SIM) und Security Event Management (SEM) war die Entwicklung von SIEM in den letzten 16 Jahren direkt mit den unterschiedlichen Markttreibern und Bedrohungen in einem bestimmten Zeitraum verbunden.

In seinen Anfängen wurde SIEM von neuen Compliance-Treibern geprägt, die die Ära dominierten, wie PCI oder HIPAA. In den letzten Jahren hat sich SIEM weiterentwickelt, um mit der Konvergenz von Plattformen umzugehen und gleichzeitig die Erkennung von Bedrohungen gegen hochentwickelte Ransomware und Malware zu beschleunigen.

Mit der Beschleunigung der Remote-Arbeit, der Einführung der Cloud und anderer Digitalisierungsinitiativen im letzten Jahr ist SIEM wieder in den Fokus gerückt, da Unternehmen ein breiteres Netz mit mehr Skalierbarkeit und Automatisierung suchen. Die Herausforderung besteht dieses Mal darin, dass die Anwender verstehen, wie sie die passende SIEM-Lösung zusammenstellen.

Warum SIEM ein ideales Setup ist, jetzt mehr denn je

SIEM-Software verwendet Analyse-Engines, um Ereignisse mit den Richtlinien eines Unternehmens abzugleichen. Anschließend indexiert sie die Daten und Ereignisse für eine sekundenschnelle Suche, um fortschrittliche Bedrohungen mithilfe global gesammelter Informationen zu erkennen und zu analysieren.

Wenn SIEM eine Bedrohung durch die Überwachung der Netzwerksicherheit identifiziert, generiert es eine Warnung und definiert eine Bedrohungsstufe, die auf vorher festgelegten Regeln basiert. Wenn zum Beispiel jemand versucht, sich innerhalb von 10 Minuten 10 Mal bei einem Konto anzumelden, kann das als normal angesehen werden – aber der Versuch, sich innerhalb von 10 Minuten 100 Mal anzumelden, würde als versuchter Angriff gewertet werden.

Da die Endpunkte jetzt außerhalb des Unternehmensnetzwerks verstreut sind, die Cloud-Nutzung zunimmt und neue Anwendungen neue Anforderungen für Remote-Mitarbeiter erfüllen, ist SIEM zu einem noch nützlicheren Tool geworden, da es Sicherheitsteams einen zentralen Überblick über Erkenntnisse und Aktivitäten innerhalb ihrer IT-Umgebung bietet. Es bietet Datenanalyse, Ereigniskorrelation, Aggregation, Reporting und Log-Management.

Alert Fatigue ist real

Trotz der Vorteile sind nicht alle SIEM-Lösungen einfach zu implementieren, zu warten und zu verwalten. Automatisierung ist entscheidend für die Einführung und fortlaufende Effektivität von SIEM.

Laut der Umfrage “2020 State of SecOps and Automation” sind 92 Prozent der Unternehmen der Meinung, dass eine Automatisierung erforderlich ist, um die wachsende Anzahl von Alarmen sowie die hohe Anzahl von Fehlalarmen zu bewältigen.

Dennoch nutzen 65 Prozent der Unternehmen nur eine teilweise automatisierte Alarmverarbeitung, und 75 Prozent würden nicht weniger als drei zusätzliche Sicherheitsanalysten benötigen, um alle Alarme an einem Tag zu bearbeiten.

Das erzeugt eine Menge zusätzliches Rauschen für ein Security Operations Team.

Das ist auch der Grund, warum Ihre Organisation auf die Funktionen und Integrationen Ihrer SIEM-Lösung achten muss. Um Ermüdungserscheinungen bei Alarmen zu vermeiden, sollten Sie sicherstellen, dass Analysen, Bedrohungsdaten und Verhaltensprofile Teil Ihres SIEM-Mix sind. Dies wird die Erfolgsraten bei der Erkennung von Sicherheitsverletzungen und anderen gezielten Angriffen verbessern.

Der Bedarf an Geschwindigkeit erfordert Add-Ons

Moderne Sicherheitsbedrohungen machen eine mehrschichtige Analyse mit Sicherheitsplattformen erforderlich. KI, maschinelles Lernen und fortschrittliche Analysen können die Erkennung von anomalem Verhalten automatisieren und die Reaktionszeit weiter verbessern, um potenzielle Angriffe auf das Unternehmen in Echtzeit, proaktiv und reaktiv zu stoppen.

Neben der Nutzung von KI und maschinellem Lernen für bessere Korrelationen und Warnungen verfügen die meisten SIEM-Systeme auch über ein Element zur Bedrohungserkennung, das E-Mails, Cloud-Ressourcen, Anwendungen, externe Bedrohungsdatenquellen und Endpunkte überwacht. Dies kann User and Entity Behaviour Analytics (UEBA) beinhalten, das auf abnormes Verhalten achtet, das auf eine Bedrohung hinweisen könnte. Sie kann auch Verhaltensanomalien, seitliche Bewegungen und kompromittierte Konten erkennen.

Jede leistungsfähige SIEM-Lösung wird von Unternehmen immer verlangen, dass sie eine wachsende Anzahl von Datenquellen verwalten. Aufgrund des anhaltenden Mangels an Cybersecurity-Fachkräften ist es wichtig, eine Lösung mit Herstellerunterstützung in Form von laufenden Updates und Best Practices einzusetzen, damit Ihr IT-Team nicht gezwungen ist, SIEM-Experten zu sein.

Zusammen mit UEBA kann Extended Detection and Response (XDR) oder Security Orchestration, Automation and Response (SOAR) helfen, die nötige Transparenz und Flexibilität zu schaffen, die ein SIEM-System benötigt. SOAR umfasst drei Softwarefunktionen – Bedrohungs- und Schwachstellenmanagement, Reaktion auf Sicherheitsvorfälle und Automatisierung des Sicherheitsbetriebs.

Wenn Sie Ihr SIEM heute richtig einrichten, sind Sie für die nächste Entwicklung und die damit verbundenen Herausforderungen gerüstet.

Sivan Tehila ist ein Cybersicherheitsstratege bei Perimeter 81.

Weitere Erkenntnisse der InfoSec Insider-Community von Threatpost finden Sie auf unserer Microsite.

Einige Teile dieses Artikels stammen aus:
threatpost.com