Was ist SIEM? Definition und Funktionsweise

SIEM steht für „Security Information and Event Management“. In der Praxis kombinieren SIEM-Softwarelösungen die Vorteile von Sicherheitsinformationsmanagement (SIM) und Sicherheitsereignismanagement (SEM) in einer umfassenden Sicherheitslösung, die von Ihren Anwendungen und Ihrer Hardware generierte Sicherheitswarnungen in Echtzeit analysieren kann.

Wie funktioniert SIEM?

SIEM sammelt Informationen aus Protokollen und Ereignisdaten, die von einer Organisation über ihre Anwendungen, Sicherheitssysteme und Hardware generiert werden. Durch den Abgleich von Ereignissen mit Regeln und Analyse-Engines können SIEM-Systeme Sicherheitsbedrohungen in Echtzeit erkennen und analysieren. Noch besser: Alles wird für die Suche indiziert, um Sicherheitsteams bei ihren Analysen, der Protokollverwaltung und der Berichterstellung zu unterstützen.

Beispiele für Bedrohungen, die eine SIEM-Lösung erkennen kann

Unbefugter Zugriff

Eine Handvoll fehlgeschlagener Anmeldeversuche ist verständlich. Wächst diese Zahl aber auf 100, führt wahrscheinlich gerade jemand einen Brute-Force-Angriff durch. SIEM-Software kann das Benutzerverhalten überwachen und ungewöhnliche Zugriffsversuche erkennen.

Bedrohungen durch Insider

Durch die ständige Überwachung des Mitarbeiterverhaltens können SIEM-Systeme sowohl zufällige als auch böswillige Insider-Bedrohungen erkennen. Von ehemaligen Mitarbeitern, denen ihre Zugriffsrechte noch nicht entzogen wurden, über böswillige Insider, die möglicherweise versuchen, vertrauliche Informationen zu stehlen oder weiterzugeben, bis hin zu versehentlichen Sicherheitsänderungen kann SIEM-Software anomales Verhalten erkennen und es zur Analyse an einen Sicherheitsanalysten weiterleiten.

Phishing

Phishing-Angriffe zielen darauf ab, Menschen dazu zu bringen, freiwillig persönliche oder sensible Informationen preiszugeben, indem sich der Angreifer als vertrauenswürdige Instanz ausgibt. Die häufigste Form von Phishing sind E-Mails mit bösartigen Links oder Anhängen von Angreifern, die sich als Anbieter, Manager oder Mitarbeiter ausgeben. Zusätzlich zu Sicherheitsschulungen kann eine SIEM-Lösung auch Dinge wie Anmeldungen von Mitarbeitern von verdächtigen Standorten aus zu ungewöhnlichen Zeiten erkennen, was ein Zeichen für ein kompromittiertes Mitarbeiterkonto sein kann. Sie können dann dieses Benutzerprofil sperren, um Schaden zu verhindern, bis der Mitarbeiter den Zugriff bestätigt hat.

DoS- und DDoS-Angriffe

DoS-Angriffe (Denial of Service) unterbrechen Services, indem sie Netzwerke mit so viel Datenverkehr überfluten, dass Systemressourcen überlastet sind und es zu einem Absturz kommt. Die Häufigkeit solcher Bedrohungen nimmt zu, da Botnets die Netzwerkgeräte nichtsahnender Benutzer leicht in ihre eigenen Schwärme aufnehmen können, um verteilte Denial-of-Service-Angriffe (DDoS) durchzuführen. Durch die Überwachung Ihrer Webserver-Protokolle kann SIEM-Software anomale Verkehrsereignisse erkennen, die auf einen DoS- oder DDoS-Angriff hindeuten können. Durch das frühzeitige Erkennen solcher Angriffe hat Ihr Sicherheitsteam Zeit, Abwehrmaßnahmen zu ergreifen und die Wiederherstellung der Services zu planen.

Code-Injektion

Bei der Code-Injektion wird bösartiger Code in clientseitige Eingabekanäle wie z. B. Online-Formulare eingeschleust, mit dem Ziel, Zugriff auf die Datenbank oder die Systeme einer Anwendung zu erhalten. Das häufigste Beispiel hierfür ist die SQL-Injektion, bei der SQL-Befehle in nicht bereinigte Eingaben eingefügt werden, sodass der Angreifer Daten direkt in der Datenbank ändern oder löschen kann. Die Überwachung der Aktivitäten von Webanwendungen macht es möglich, anomale Ereignisse zu markieren und mithilfe der Ereigniskorrelation festzustellen, ob Änderungen an Ihrem System vorgenommen wurden.

Ransomware und andere Malware

Bei Ransomware, Viren, Würmern, Trojanern und anderen Arten von Malware handelt es sich um Software, die darauf ausgelegt ist, in Computersysteme einzudringen und schädliche Programme auszuführen. Die beste Verteidigung gegen solche Angriffe ist Vorbeugung, und SIEM-Systeme bieten Ihnen die Überwachungsfunktionen, die Sie benötigen, um Sicherheitsprotokolle sinnvoll auszuwerten, Angriffsvektoren zu identifizieren und anomales Verhalten zu erkennen, das zu einem Angriff führen könnte. Nach einer Beschädigung kann SIEM Ihnen auch dabei helfen, das Schadensausmaß eines Malware-Angriffs zu ermitteln und Ihrem Sicherheitsteam dadurch die Informationen zur Verfügung zu stellen, die es zur Behebung des Problems benötigt.

MITM-Angriffe

Ein Man-in-the-Middle-Angriff (MITM) liegt vor, wenn eine böswillige dritte Partei die Kommunikation zwischen zwei Hosts abhört, um Informationen zu stehlen oder zu manipulieren. Nachdem die Kommunikation abgefangen wurde, kann der Angreifer eine Reihe von Techniken einsetzen, vom Kapern von Benutzersitzungen durch das Ausspähen von Passworteingaben bis hin zum Einschleusen bösartiger Pakete in Datenkommunikationsströme. Häufige Verbindungen oder Verbindungsabbrüche zu unbekannten Orten können auf einen MITM-Angriff hindeuten, weshalb SIEM ein unschätzbares Werkzeug sein kann, um Lauschangriffe zu erkennen, bevor es zu spät ist.

Wann SIEM zum Einsatz kommen kann, mit Beispielen

SIEM-Systeme sind eine Kernkomponente jeder Unternehmenssicherheitsinfrastruktur. Sehen wir uns einige Beispiele für SIEM-Anwendungsfälle an.

Einhaltung von Datenstandards

SIEM-Systeme fassen Daten aus Ereignisprotokollen, Sicherheitstools und Geräten im gesamten Unternehmen zusammen. Sie sind das perfekte Tool zur Unterstützung beim Erstellen von Berichten zur Einhaltung von Vorschriften und Bestimmungen.

Hier ein paar Beispiele:

• DSGVO: Die Datenschutz-Grundverordnung (DSGVO) wurde von der Europäischen Union (EU) erlassen, um die personenbezogenen Daten von EU-Bürgern zu schützen.
• HIPAA: Der Health Insurance Portability and Accountability Act (HIPAA) wurde vom US-Gesetzgeber zum Schutz sensibler Gesundheitsdaten von Patienten erlassen.
• PCI: Der Payment Card Industry Data Security Standard (PCI DSS) ist ein Informationssicherheitsstandard, der von großen Kreditkartenunternehmen zum Schutz ihrer Kunden vorgeschrieben wird.
• Konformität mit SOX: Der Sarbanes-Oxley Act (SOX) ist eine US-amerikanische Vorschrift zur Bekämpfung von Abrechnungsbetrug. Er gilt für die Vorsitzenden, das Management und die Wirtschaftsprüfungsgesellschaften von Aktiengesellschaften und verlangt eine genaue Berichterstattung darüber, wo sensible Informationen gespeichert sind, wer Zugriff darauf hat und wie sie verwendet werden.

Da SIEM einen strukturierten Zugriff auf Protokollinformationen und Sicherheitsdaten im gesamten Unternehmen bietet, können detaillierte Berichte für Aufsichtsbehörden und einzelne Dateneigentümer gleichermaßen erstellt werden.

Erkennung ausgeklügelter Sicherheitsbedrohungen

Wie im vorangegangenen Abschnitt „Beispiele für Bedrohungen, die eine SIEM-Lösung erkennen kann“ näher erläutert, wurden SIEM-Systeme für die Erkennung ausgeklügelter Sicherheitsbedrohungen entwickelt. Sehen wir uns einige allgemeinere Beispiele dafür an, wie SIEM-Systeme das aktive Threat Hunting unterstützen.

• Erkennung von Anomalien: Verhaltensanalysen und Ereigniskorrelation können Anomalien aufzeigen, die von Sicherheitsteams genauer untersucht werden müssen.
• Datenexfiltration: Wenn Sie einen Überblick über die Verwendung Ihrer Daten haben, können Sie auf Insider-Bedrohungen und andere Versuche aufmerksam werden, vertrauliche Informationen unbefugt außerhalb Ihrer Organisation zu übertragen.
• Reaktion auf neue Schwachstellen: Wenn ein neuer Zero-Day-Angriff oder eine Systemschwachstelle erkannt wird, kann eine SIEM-Lösung Ihnen helfen, den Umfang der Schwachstelle schnell zu ermitteln, damit Sie sie schließen können.
• Von früheren Vorfällen lernen: Wenn ein Vorfall eintritt, können Sie schnell überprüfen, ob er schon einmal vorgekommen ist. Frühere Erfahrungen im Umgang mit dem Problem können Ihnen dabei helfen, künftige Vorfälle zu vermeiden oder schneller mit wiederholt auftretenden Vorfällen umzugehen.
• Threat Intelligence: Erkennen Sie auf intelligente Weise Angriffe auf IT-Systeme, indem Sie KI auf Sicherheitsdaten und Protokolle anwenden. Gleichen Sie die Muster bekannter Angriffssignaturen mit historischen Daten ab.
• Untersuchungen lenken: Geben Sie Analysten die Möglichkeit, Hypothesen durch Datenexploration über eine SIEM-Plattform zu testen.

IoT-Implementierungen sichern

Das Internet der Dinge (IoT) besteht aus einer Flotte von verteilten Netzwerkgeräten, von denen jedes seine eigenen Ereignisprotokolle in Echtzeit überträgt. SIEM-Systeme sind ideal für das Sichern von IoT-Implementierungen.

• Überwachung von IoT-Geräten: IoT-Geräte sind ein ideales Ziel für das Kapern für Botnets zum Durchführen von DDoS-Angriffen. Bei ständiger Überwachung durch ein SIEM-System kann dieses Sie auf anomales Verhalten hinweisen, das auf ein kompromittiertes Gerät hindeutet.
• Überwachung von Datenflüssen: IoT-Geräte kommunizieren häufig über unverschlüsselte Protokolle miteinander. Eine SIEM-Lösung kann ungewöhnliche Datenverkehrsmuster zwischen Knoten in Ihrem IoT-Netzwerk erkennen und Sicherheitsteams alarmieren, wenn sensible Informationen gefährdet sind.
• Zugriffskontrolle: Wenn überwacht wird, wer wann auf Ihre IoT-Geräte zugreift, können Sie auf verdächtige Aktivitäten oder Verbindungen hingewiesen werden.
• Schwachstellenmanagement: Eine SIEM-Lösung kann Ihnen dabei helfen, veraltete Betriebssysteme und ungepatchte Sicherheitslücken in den IoT-Geräten Ihrer Flotte zu erkennen. Sie kann Ihnen auch dabei helfen, die Geräte zu isolieren, die am ehesten angegriffen werden könnten, z. B. Geräte mit Zugang zu sensiblen Daten oder kritischen Funktionen.

Worin unterscheidet sich ein SIEM-System von einem IDS?

Der Hauptunterschied zwischen einem SIEM-System und einem Intrusion Detection System (IDS) besteht darin, dass ein SIEM-System präventiv arbeitet, während ein IDS darauf optimiert ist, Bedrohungsereignisse zu erkennen und zu melden, sobald sie auftreten. Zwar erstellen beide Tools Warnmeldungen und Protokolle, aber nur das SIEM-System kann diese Protokollinformationen zentralisieren und über verschiedene Geräte und Systeme hinweg korrelieren, um einen Überblick über die Sicherheit Ihres Unternehmens zu erhalten.

Organisationen verwenden häufig SIEM und IDS gemeinsam. Das IDS hilft während eines Angriffs. Die SIEM-Lösung nimmt diese IDS-Protokolle auf und stellt sie zusammen mit anderen Systeminformationen zur Verfügung, sodass Sicherheitsteams Compliance-Berichte erstellen und künftige Angriffe verhindern können.

SIEM versus SOAR: Worin besteht der Unterschied?

Security Orchestration, Automation and Response (SOAR) gibt es noch nicht sehr lange. Es erweitert die Fähigkeiten von SIEM, indem es Ihnen auch die Automatisierung von Untersuchungspfad-Workflows ermöglicht. Dadurch verringert sich der Zeitaufwand für die Bearbeitung von Warnmeldungen.

SIEM identifiziert Bedrohungen, indem es Informationen aus verschiedenen Quellen korreliert, einschließlich Firewalls, Anwendungen, Servern und Geräten. Die SIEM-Lösung versucht, dem Sicherheitsteam die wichtigsten Informationen sowie Vorschläge für Abhilfemaßnahmen bereitzustellen, aber es ist Sache des Sicherheitsteams, die Quelle einer potenziellen Bedrohung ausfindig zu machen und zu beseitigen.

Die SOAR-Plattform bietet all dies und noch mehr, indem sie den zusätzlichen Schritt zur Automatisierung des Untersuchungspfads durchführt. Sie geht über das bloße Warnen des Sicherheitsteams vor einer potenziellen Bedrohung hinaus, indem sie KI einsetzt, um Verhaltensmuster zu erlernen und Bedrohungen durch Orchestrierung automatisch anzugehen.

Gängige SIEM-Cybersicherheitsanbieter

Einige beliebte SIEM-Tools auf dem Markt sind:

• Elastic SIEM
• SolarWinds SIEM
• Datadog
• Splunk Enterprise SIEM
• McAfee ESM
• Micro Focus ArcSight
• LogRhythm
• AT&T Cybersecurity SIEM (früher AlienVault USM)
• RSA NetWitness
• Netsurion EventTracker

Fazit

Kurz gesagt: SIEM steht für „Security Information and Event Management“. SIEM-Tools können verwendet werden, um eine Vielzahl von Bedrohungen zu erkennen und zu verhindern, einschließlich Code-Injektion, Ransomware-Angriffe und DDoS-Angriffe. Sie sind besonders nützlich bei der Erkennung von Anomalien, wie z. B. unbefugtem Zugriff, verdächtigen Anmeldeversuchen und ungewöhnlichen Datenströmen. Wenn Sie eine Sicherheitsplattform benötigen, die Protokolle aus verschiedenen Quellen für die Sicherheitsanalyse an einem zentralen Ort zusammenführen kann, kann eine SIEM-Lösung helfen.