SIEM steht für „Security Information and Event Management“. In der Praxis kombinieren SIEM-Softwarelösungen die Vorteile von Sicherheitsinformationsmanagement (SIM) und Sicherheitsereignismanagement (SEM) in einer umfassenden Sicherheitslösung, die von Ihren Anwendungen und Ihrer Hardware generierte Sicherheitswarnungen in Echtzeit analysieren kann.
SIEM sammelt Informationen aus Protokollen und Ereignisdaten, die von einer Organisation über ihre Anwendungen, Sicherheitssysteme und Hardware generiert werden. Durch den Abgleich von Ereignissen mit Regeln und Analyse-Engines können SIEM-Systeme Sicherheitsbedrohungen in Echtzeit erkennen und analysieren. Noch besser: Alles wird für die Suche indiziert, um Sicherheitsteams bei ihren Analysen, der Protokollverwaltung und der Berichterstellung zu unterstützen.
Unbefugter Zugriff
Eine Handvoll fehlgeschlagener Anmeldeversuche ist verständlich. Wächst diese Zahl aber auf 100, führt wahrscheinlich gerade jemand einen Brute-Force-Angriff durch. SIEM-Software kann das Benutzerverhalten überwachen und ungewöhnliche Zugriffsversuche erkennen.
Bedrohungen durch Insider
Durch die ständige Überwachung des Mitarbeiterverhaltens können SIEM-Systeme sowohl zufällige als auch böswillige Insider-Bedrohungen erkennen. Von ehemaligen Mitarbeitern, denen ihre Zugriffsrechte noch nicht entzogen wurden, über böswillige Insider, die möglicherweise versuchen, vertrauliche Informationen zu stehlen oder weiterzugeben, bis hin zu versehentlichen Sicherheitsänderungen kann SIEM-Software anomales Verhalten erkennen und es zur Analyse an einen Sicherheitsanalysten weiterleiten.
Phishing
Phishing-Angriffe zielen darauf ab, Menschen dazu zu bringen, freiwillig persönliche oder sensible Informationen preiszugeben, indem sich der Angreifer als vertrauenswürdige Instanz ausgibt. Die häufigste Form von Phishing sind E-Mails mit bösartigen Links oder Anhängen von Angreifern, die sich als Anbieter, Manager oder Mitarbeiter ausgeben. Zusätzlich zu Sicherheitsschulungen kann eine SIEM-Lösung auch Dinge wie Anmeldungen von Mitarbeitern von verdächtigen Standorten aus zu ungewöhnlichen Zeiten erkennen, was ein Zeichen für ein kompromittiertes Mitarbeiterkonto sein kann. Sie können dann dieses Benutzerprofil sperren, um Schaden zu verhindern, bis der Mitarbeiter den Zugriff bestätigt hat.
DoS- und DDoS-Angriffe
DoS-Angriffe (Denial of Service) unterbrechen Services, indem sie Netzwerke mit so viel Datenverkehr überfluten, dass Systemressourcen überlastet sind und es zu einem Absturz kommt. Die Häufigkeit solcher Bedrohungen nimmt zu, da Botnets die Netzwerkgeräte nichtsahnender Benutzer leicht in ihre eigenen Schwärme aufnehmen können, um verteilte Denial-of-Service-Angriffe (DDoS) durchzuführen. Durch die Überwachung Ihrer Webserver-Protokolle kann SIEM-Software anomale Verkehrsereignisse erkennen, die auf einen DoS- oder DDoS-Angriff hindeuten können. Durch das frühzeitige Erkennen solcher Angriffe hat Ihr Sicherheitsteam Zeit, Abwehrmaßnahmen zu ergreifen und die Wiederherstellung der Services zu planen.
Code-Injektion
Bei der Code-Injektion wird bösartiger Code in clientseitige Eingabekanäle wie z. B. Online-Formulare eingeschleust, mit dem Ziel, Zugriff auf die Datenbank oder die Systeme einer Anwendung zu erhalten. Das häufigste Beispiel hierfür ist die SQL-Injektion, bei der SQL-Befehle in nicht bereinigte Eingaben eingefügt werden, sodass der Angreifer Daten direkt in der Datenbank ändern oder löschen kann. Die Überwachung der Aktivitäten von Webanwendungen macht es möglich, anomale Ereignisse zu markieren und mithilfe der Ereigniskorrelation festzustellen, ob Änderungen an Ihrem System vorgenommen wurden.
Ransomware und andere Malware
Bei Ransomware, Viren, Würmern, Trojanern und anderen Arten von Malware handelt es sich um Software, die darauf ausgelegt ist, in Computersysteme einzudringen und schädliche Programme auszuführen. Die beste Verteidigung gegen solche Angriffe ist Vorbeugung, und SIEM-Systeme bieten Ihnen die Überwachungsfunktionen, die Sie benötigen, um Sicherheitsprotokolle sinnvoll auszuwerten, Angriffsvektoren zu identifizieren und anomales Verhalten zu erkennen, das zu einem Angriff führen könnte. Nach einer Beschädigung kann SIEM Ihnen auch dabei helfen, das Schadensausmaß eines Malware-Angriffs zu ermitteln und Ihrem Sicherheitsteam dadurch die Informationen zur Verfügung zu stellen, die es zur Behebung des Problems benötigt.
MITM-Angriffe
Ein Man-in-the-Middle-Angriff (MITM) liegt vor, wenn eine böswillige dritte Partei die Kommunikation zwischen zwei Hosts abhört, um Informationen zu stehlen oder zu manipulieren. Nachdem die Kommunikation abgefangen wurde, kann der Angreifer eine Reihe von Techniken einsetzen, vom Kapern von Benutzersitzungen durch das Ausspähen von Passworteingaben bis hin zum Einschleusen bösartiger Pakete in Datenkommunikationsströme. Häufige Verbindungen oder Verbindungsabbrüche zu unbekannten Orten können auf einen MITM-Angriff hindeuten, weshalb SIEM ein unschätzbares Werkzeug sein kann, um Lauschangriffe zu erkennen, bevor es zu spät ist.
SIEM-Systeme sind eine Kernkomponente jeder Unternehmenssicherheitsinfrastruktur. Sehen wir uns einige Beispiele für SIEM-Anwendungsfälle an.
Einhaltung von Datenstandards
SIEM-Systeme fassen Daten aus Ereignisprotokollen, Sicherheitstools und Geräten im gesamten Unternehmen zusammen. Sie sind das perfekte Tool zur Unterstützung beim Erstellen von Berichten zur Einhaltung von Vorschriften und Bestimmungen.
Hier ein paar Beispiele:
Da SIEM einen strukturierten Zugriff auf Protokollinformationen und Sicherheitsdaten im gesamten Unternehmen bietet, können detaillierte Berichte für Aufsichtsbehörden und einzelne Dateneigentümer gleichermaßen erstellt werden.
Erkennung ausgeklügelter Sicherheitsbedrohungen
Wie im vorangegangenen Abschnitt „Beispiele für Bedrohungen, die eine SIEM-Lösung erkennen kann“ näher erläutert, wurden SIEM-Systeme für die Erkennung ausgeklügelter Sicherheitsbedrohungen entwickelt. Sehen wir uns einige allgemeinere Beispiele dafür an, wie SIEM-Systeme das aktive Threat Hunting unterstützen.
IoT-Implementierungen sichern
Das Internet der Dinge (IoT) besteht aus einer Flotte von verteilten Netzwerkgeräten, von denen jedes seine eigenen Ereignisprotokolle in Echtzeit überträgt. SIEM-Systeme sind ideal für das Sichern von IoT-Implementierungen.
Der Hauptunterschied zwischen einem SIEM-System und einem Intrusion Detection System (IDS) besteht darin, dass ein SIEM-System präventiv arbeitet, während ein IDS darauf optimiert ist, Bedrohungsereignisse zu erkennen und zu melden, sobald sie auftreten. Zwar erstellen beide Tools Warnmeldungen und Protokolle, aber nur das SIEM-System kann diese Protokollinformationen zentralisieren und über verschiedene Geräte und Systeme hinweg korrelieren, um einen Überblick über die Sicherheit Ihres Unternehmens zu erhalten.
Organisationen verwenden häufig SIEM und IDS gemeinsam. Das IDS hilft während eines Angriffs. Die SIEM-Lösung nimmt diese IDS-Protokolle auf und stellt sie zusammen mit anderen Systeminformationen zur Verfügung, sodass Sicherheitsteams Compliance-Berichte erstellen und künftige Angriffe verhindern können.
Security Orchestration, Automation and Response (SOAR) gibt es noch nicht sehr lange. Es erweitert die Fähigkeiten von SIEM, indem es Ihnen auch die Automatisierung von Untersuchungspfad-Workflows ermöglicht. Dadurch verringert sich der Zeitaufwand für die Bearbeitung von Warnmeldungen.
SIEM identifiziert Bedrohungen, indem es Informationen aus verschiedenen Quellen korreliert, einschließlich Firewalls, Anwendungen, Servern und Geräten. Die SIEM-Lösung versucht, dem Sicherheitsteam die wichtigsten Informationen sowie Vorschläge für Abhilfemaßnahmen bereitzustellen, aber es ist Sache des Sicherheitsteams, die Quelle einer potenziellen Bedrohung ausfindig zu machen und zu beseitigen.
Die SOAR-Plattform bietet all dies und noch mehr, indem sie den zusätzlichen Schritt zur Automatisierung des Untersuchungspfads durchführt. Sie geht über das bloße Warnen des Sicherheitsteams vor einer potenziellen Bedrohung hinaus, indem sie KI einsetzt, um Verhaltensmuster zu erlernen und Bedrohungen durch Orchestrierung automatisch anzugehen.
Einige beliebte SIEM-Tools auf dem Markt sind:
Kurz gesagt: SIEM steht für „Security Information and Event Management“. SIEM-Tools können verwendet werden, um eine Vielzahl von Bedrohungen zu erkennen und zu verhindern, einschließlich Code-Injektion, Ransomware-Angriffe und DDoS-Angriffe. Sie sind besonders nützlich bei der Erkennung von Anomalien, wie z. B. unbefugtem Zugriff, verdächtigen Anmeldeversuchen und ungewöhnlichen Datenströmen. Wenn Sie eine Sicherheitsplattform benötigen, die Protokolle aus verschiedenen Quellen für die Sicherheitsanalyse an einem zentralen Ort zusammenführen kann, kann eine SIEM-Lösung helfen.
Haben Sie eine Frage oder einen Kommentar zu Produkten oder Zertifizierungen von Pure? Wir helfen Ihnen gerne!
Vereinbaren Sie einen Termin für eine Live-Demo und sehen Sie selbst, wie Pure Ihnen helfen kann, Ihre Daten in überzeugende Ergebnisse zu verwandeln.
Presse: pr@purestorage.com
Pure Storage Germany GmbH
Mies-van-der-Rohe-Straße 6
80807 München
Deutschland