Anzeige

Security Tablet

In den letzten Jahren hat nicht nur die Anzahl, sondern vor allem auch die Komplexität von Cyber-Angriffen zugenommen. Denn Hackern haben es mittlerweile sehr leicht: Öffentlich verfügbare Tools arbeiten weitestgehend automatisiert. Sie verfügen über Funktionen zur Verteilung und Anonymisierung. So bleiben Hacker oft unter dem Radar. 

Cyberangriffe dennoch aufzuspüren ist eine große Herausforderung für Unternehmen. Viele Sicherheitsverantwortliche werden überhäuft von Sicherheitswarnungen und sind zunehmend überfordert. Sie sind erschöpft von der übermächtigen Flut von Warnungen – „Alert Fatigue“ stellt sich ein. Eine Umfrage von Imperva bestätigt, dass mehr als ein Viertel der IT-Experten täglich mindestens eine Million Warnhinweise erhalten. Traditionelle Verteidigungssysteme haben es versäumt, sich der weiterentwickelnden Cyberkriminalität zu stellen. Sicherheitsteams sind nicht mehr in der Lage, die Vielzahl der Warnungen zu bewältigen und ertrinken einfach unter der täglichen Welle an möglicherweise unbedeutenden Sicherheitswarnungen.

Abhilfe schafft Security Information und Event Management (SIEM). Das System ermöglicht eine Echtzeit-Aggregation und -Analyse von Sicherheitswarnungen. Durch SIEM werden alle Sicherheitswarnungen an einer zentralen Stelle über ein oder mehrere Dashboards gesammelt und visualisiert. Vordefinierte Regeln und Korrelationen sind dafür die Basis. Doch viel zu oft kämpfen Sicherheitsverantwortliche damit, aus den SIEM-Dashboards wertvolle Erkenntnisse zu gewinnen.

Imperva hat im Laufe der Zeit einige der wichtigsten SIEM-Herausforderungen identifiziert:

SIEM ist ein Basissystem und benötigt Konfiguration

Die grundlegende Auffassung zu SIEM ist, dass das System täglich Millionen von Sicherheitslogs sammelt und darin Angriffe effektiv erkennt und aussagekräftige Erkenntnisse liefert. Doch diese Annahme ist falsch. In Wirklichkeit enthält ein SIEM nur ein Basissystem von allgemeinen Einstellungen. Doch jede Unternehmens-IT ist individuell gestaltet. Verallgemeinerte Regeln lassen sich hingegen nur bedingt zuschneiden. Das Sicherheitsteam muss die SIEM-Software daher zunächst soweit wie möglich konfigurieren und an die Anforderungen des Unternehmens anpassen – ein oft sehr frustrierender Prozess.

SIEM ist ein fortwährender Prozess

Der anfängliche Konfigurationsprozess reicht nicht aus. Das Sicherheitsteam muss kontinuierlich Regeln, Korrelationen und Anwendungsfälle definieren, die sich aus Änderungen in den Daten und ihren Quellen ergeben. Das bedeutet: SIEM ist ein dynamisches System, welches sich ständig mit dem Wandel der Daten ändert.

SIEM benötigt SIEM-Experten

SIEM ist ein komplexes System, für dessen Betrieb ein Experte erforderlich ist. Über die Hälfte der deutschen Unternehmen (56 Prozent) berichtete jedoch über einen Mangel an Fachkräften in der IT-Sicherheit.

SIEM generiert eine große Anzahl von Warnungen – die meisten sind irrelevant

Relevante Daten und nutzbringende Erkenntnisse in einem SIEM zu finden, kann womöglich sehr schwierig sein. Da SIEMs aggregiert sind, ist es innerhalb des Systems vordefiniert, wie die Software Daten clustert. Sicherheitsverantwortliche können Angriffe im SIEM beispielweise nach IP-Adresse oder Subnetz sortieren. Das Problem dabei: Hat ein Angriff einen auf mehrere IP-Adressen verteilten Ursprung, wird dieser vom System nicht erkannt. Wenn Sicherheitsverantwortliche nach Warnmeldungen für dieselbe URL suchen, der Angreifer aber verteilte Server nutzt, wird SIEM kaum fündig werden.

Jede Cyberattacke sieht anders aus. Es ist schwierig, ein Regelwerk zu definieren, das nach den einzelnen Angriffsformen sucht. Die Datenaggregation in SIEM konzentriert sich auf einige wenige Dimensionen des Angriffs. Andere hingegen bleiben außen vor. Die Bestimmung darüber, über welche Parameter diese Warnungen zusammengebracht werden sollen, ist von entscheidender Bedeutung. Denn legitime und illegitime Daten sowie Warnungen vor verschiedenen Cyberangriffen können womöglich zum gleichen Muster gezählt werden.

SIEM liefert oft weder Kontext noch Priorität

Klassische SIEMs setzen auf reine Datenerfassung statt auf Log-Anreicherung. Daher neigen sie oft dazu, den Kontext in den Daten zu unterschlagen. Doch für IT-Verantwortliche kommt es genau auf relevante, sofort nutzbare Informationen an. Bei der Untersuchung eines Angriffs kann das kritisch sein – vor allem, wenn diese Informationen nicht schnell einsehbar und nachvollziehbar sind. Ohne die nötigen Hintergrundinformationen bleibt es Sicherheitsteams verwehrt, schnell zu entscheiden. Sie können nicht erkennen, ob sie es beispielsweise mit einer bereits bekannten bösartigen IP-Adresse zu tun haben oder ähnliche Angriffe bereits in anderen Organisationen entdeckt wurden.

Um dies herauszufinden, müssen Sicherheitsverantwortliche andere Tools verwenden. Software-Lösungen mit künstlicher Intelligenz (KI) und maschinellem Lernen unterstützen dabei. IT-Verantwortliche sind mithilfe von KI in die Lage, echte Bedrohungen schnell zu identifizieren und gezielt darauf zu reagieren.

SIEM hat mich alarmiert – ohne Handlungsempfehlung

Sicherheitsteams haben eine Warnung vom SIEM-System erhalten und die Untersuchung abgeschlossen. Nun müssen sie die nötigen Schritte unternehmen, um Sicherheitsrisiken und Fremdzugriffen entgegen zu wirken. Doch es bleibt unklar, was die nächsten Schritte sind. Administratoren könnten eine bestimmte IP-Adresse oder besser gleich das ganze Subnetz blockieren. Sie könnten auch die Sicherheit für gezieltere Parameter erhöhen. Doch welche ist die richtige Entscheidung? Die Rolle eines Standard-SIEM ist abgeschlossen, sobald es den Alarm ausgelöst hat. Es liegt nun an dem Sicherheitsteam, zu entscheiden, welche Schritte als nächstes einzuleiten sind. Das SIEM-System selbst liefert keine Anweisungen oder Hilfestellungen dazu.

KI-gestützte Analysen schaffen echten Mehrwert

Hacker machen es SIEM-Systemen sehr schwer. Sie variieren ihre IP-Adresse alle paar Minuten. Außerdem versuchen sie oft während des Angriffs eine niedrige Anzahl an Anfragen pro Sekunde beizubehalten. So entfällt auch Zeit als möglicher Parameter zur Aufbereitung für SIEM-Systeme. Fortschrittliche Sicherheitssysteme wie Imperva‘s WAF können die Client-Anwendungen des Angreifers Schritt für Schritt nachverfolgen.

Amit Leibovitz, Data Scientist bei Imperva, www.imperva.com/de/


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

RemoteWork Sicherheit

In drei Schritten zu mehr Netzwerksicherheit im Remote-Umfeld

Die Corona-Pandemie zwang im Frühjahr viele Unternehmen quasi über Nacht zur Digitalisierung. Dies gelang mal besser, mal schlechter, doch so langsam ist der Großteil von ihnen in der neuen Realität von Fernarbeit und Onlinekonferenzen angekommen.
Cybercrime

Effizienter Schutz vor Credential Stuffing

Die globale Coronavirus-Pandemie hat das Problem von Credential Stuffing noch verschärft. Bei dieser Angriffsmethode probiert ein Cyberkrimineller eine große Anzahl gestohlener Anmeldedaten bei mehreren Websites aus. Damit möchte er sich unbefugten Zugang zu…
Weihnachten Kalender

Der Adventskalender für mehr IT-Sicherheit

Die Weihnachtszeit naht und für Viele ist das Öffnen von 24 Adventskalender-Türchen eines der am meisten geschätzten Dezember-Rituale. Passend dazu startet zum zweiten Mal die Aktion “Sicher im Advent”
Business Continuity Management

Business Continuity Management: Überlebenswichtig in Corona-Zeiten

Die Corona-Pandemie stellt zahlreiche Unternehmen auf eine harte Probe. In dieser unsicheren Wirtschaftslage können Systemausfälle oder Ähnliches nicht nur Zeit, Geld und die Reputation kosten, sondern auch die Existenz.
E-Mails

E-Mail-Kommunikation mittels Blockchain: totemomail Verified

Die E-Mail ist gerade im Geschäftsleben nach wie vor das universelle Kommunikationsmittel, obwohl ihren Vorteilen auch Nachteile wie Phishing-Risiken oder die fehlende Revisionssicherheit gegenüberstehen.
Netzwerk-Sicherheit

Das Netzwerk sichern wie den Firmen-Komplex

Ransomware-Angriffe nehmen mehr und mehr zu, nicht zuletzt begünstigt durch die fortschreitende Digitalisierung, Cloudmigration und breit angelegte Tele-Arbeit. Nun gilt es, die Strategie für Netzwerksicherheit ebenfalls zu adaptieren. Mehr Homeoffice. Mehr…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!