Security: SIEM ist kein Projekt!
von Ralph Belfiore
SIEM ist ein kontinuierlicher Optimierungsprozess
Dazu kommt, dass sich die Softwarelandschaft in den Firmen ständig ändert. Windows XP, Windows 7, Windows 8, MAC OSx permanente Rollouts und Patchmanagement sind eine tägliche Herausforderung für Anwender, die einfach nur Ihre Arbeit erledigen wollen und der IT-Abteilung, mit der Aufgabe die PCs stets aktuell und sicher zu halten.
Oft dauern solche Projekte Wochen oder Monate und werden oft durch Verzögerungen und Nacharbeiten begleitet. Dazu kommen Silo-Lösungen wie IDP, IPS und Anti-Virus-Software auf den Endgeräten, die heutzutage ein ungutes Gefühl hinterlassen, den möglichen Angriffsszenarien vorgebeugt zu haben.
Erschwerend kommt im Zeitalter der Mobilität hinzu, dass der Anwender heute nicht mehr nur brav am Schreibtisch sitzt. Im Gegenteil. Anwender arbeiten heute viel von unterwegs, mit Notebooks, Smartphones oder Tablets und greifen von unterschiedlichen Orten auf das Firmennetz zu. Manchmal sogar von der Geschäftsleitung ermutigt, werden soziale Netzwerke für eine effektivere Zusammenarbeit genutzt.
Flexible Arbeitszeiten und mobile Arbeitsplätze führen ebenfalls dazu, dass sensible Daten mit nach Hause genommen werden, um dort weiter zu arbeiten. Im schlimmsten Fall auf einem unverschlüsselten USB-Stick, im allerschlimmsten Fall über Cloud-Dienste wie Drop-Box.
Früher gab es das auch schon - das Mitarbeiter Zuhause gearbeitet hatten. Allerdings wurde dann höchstens eine Akte zur Durchsicht mit nach Hause genommen! Heute passen selbst auf einen billigen USB-Stick ganze Aktenschränke. Ein Datenverlust bekommt dadurch eine ganz neue Quantität. Heute ist die Gefahr groß, dass innerhalb kurzer Zeit diese Informationen durch anonyme Finder im Web zu finden sind. Mit allen Unannehmlichkeiten, die man sich vorstellen kann.
Was ist SIEM?
Security Information und Event Management - kurz SIEM. Systeme, die mehr können, als ein- und ausgehenden Datenverkehr rudimentär zu analysieren und zu klassifizieren.
Und da viele Firmen bereits viele Geräte und teure Sicherheitssoftware auf allen möglichen firmeneigenen Endgeräten im Einsatz haben, bietet es sich an, Ordnung in diese generierte Datenflut zu bringen, um evtl. von den anderen Sicherheitssystemen unentdeckte externe Angriffe oder böswillige Aktionen von Mitarbeitern zu erkennen.
So etwas hinterlässt ja in der Regel irgendwelche Spuren - man muss sie eben nur erkennen können.
Es geht nicht nur darum zu erkennen, dass Ereignis A oder B stattgefunden hat, sondern auch die richtigen Schlüsse daraus zu ziehen. Das ist besonders wichtig, da die Komplexität der Angriffe heute extrem zugenommen hat.
SIEM ist ein Frühwarnsystem und verbindet Wissen was sich in der Welt außerhalb des Unternehmens tut, wie sich Nutzer und Geräte innerhalb des Firmennetzwerkes verhalten und welchen Wert Daten und Informationen haben.
Damit lassen sich zielgerichtete Angriffe zwar nicht verhindern, aber die Reaktionszeit und die Transparenz werden enorm verbessert, um einem möglichen Sicherheitsvorfall auf Augenhöhe angemessen reagieren zu können.