Thought Leadership
Mit der Integration von KI-Algorithmen erleben Security-Anwendungen eine deutliche Aufwertung und machen sie für IT-Experten noch wertvoller als bisher. Wie genau kann KI bei der Gefahrenabwehr helfen und welche Kriterien sind bei der Auswahl von Security-Anwendungen wie SIEM hilfreich?
Software-Plattformen für das Security Information und Event Management (SIEM) sind ein zentraler Baustein bei der Gefahrenabwehr. Sie richten sich an IT-Security-Experten und umfassen eine Vielzahl von Werkzeugen. Diese Tools analysieren beispielsweise Log- oder Reporting-Daten und liefern dem Sicherheitsteam strukturierte Informationen, die bei der Analyse von Sicherheitsvorfällen helfen. Diese Daten geben einen Überblick darüber, was in einer IT-Landschaft gerade geschieht, informieren also beispielsweise über den Status von Netzwerken, Anwendungen, Servern oder anderen Endpunkten.
SIEM unterstützt die Security-Experten insbesondere dabei, selbst größte Datenmengen aus Log-Dateien zu verarbeiten, die sich aufgrund der Menge und der Aktualisierung in Echtzeit gar nicht mehr manuell bearbeiten lassen. Somit können IT-Experten eventuelle Abweichungen vom Normalbetrieb schneller erkennen, Bedrohungen der eigenen IT-Landschaft rasch identifizieren und mit Maßnahmen frühzeitig bekämpfen, bevor sich die Angriffe auf die eigene Organisation auswirkt.
Die passende Lösung finden
Bei der Auswahl einer SIEM-Plattform gibt es einige Kriterien, die IT-Verantwortliche beachten sollten. Am Anfang steht die Schätzung der benötigten Investitionen: Neben den Lizenzkosten gilt es die Aufwände für die eigenen Mitarbeiter zu betrachten. So verfügen manche SIEM-Lösungen über eigene Abfragesprachen und Systemarchitekturen sowie Anwenderkonferenzen und Lern- und Karrierepfade. Für eine praxisnahe Ausbildung ist es beispielsweise sinnvoll, wenn ein Mitarbeiter zunächst als Security-Analyst anfängt und dann, wenn er in eine höhere Position aufsteigt, seine Kenntnisse gezielt erweitert, die für die Verwaltung einer SIEM-Architektur, der Komponenten oder weiterer Funktionen erforderlich sind.
Die Einarbeitung in eine spezifische SIEM-Abfragesprache ist ähnlich aufwändig wie das Erlernen einer Programmier- oder Datenbankabfragesprache. Der lohnt sich der Aufwand: IT-Experten können anschließend eigene Suchen, Warnungen oder Abfragen definieren, die im Laufe der Zeit den Funktionsumfang der Plattform erhöhen. Der dafür benötigte Zeit- und Kostenaufwand ist es wert, da das Security-Team langfristig effizienter arbeiten wird. Doch Vorsicht: Selbst, wenn ein Team mit der SIEM-Sprache einer Plattform vertraut ist, kann der Übergang zu einer anderen Lösung erneut einen hohen Aufwand bedeuten.
Weitere Kosten
Oftmals wird von Unternehmen der Aufwand übersehen, der im Laufe der Zeit für das Datenmanagement anfällt. Daher sollten IT-Verantwortliche schon frühzeitig planen, welche Security-bezogene Datenmengen voraussichtlich anfallen werden, wie und wo diese verarbeitet werden sollen und wie lange welche Daten aufbewahrt werden müssen.
Einige SIEM-Anbieter verfügen über ein volumenabhängiges Preismodell. Die Kosten orientieren sich beispielsweise an dem täglich erfassten Volumen der Statusdaten und der Datenmengen, die auch langfristig gespeichert werden soll. Je mehr Informationen die SIEM-Plattform also verarbeitet, desto höher fallen die Kosten aus. Ein wichtiger Hinweis: Die Kosten bei einem cloudbasierten SIEM können unter Umständen höher ausfallen als bei einer Speicherlösung im eigenen Rechenzentrum. Unabhängige externe Berater helfen, die sinnvollste Variante auszuwählen.
Im nächsten Schritt geht es darum, zu definieren, welche Funktionen das Security-Team im Detail von einer SIEM-Plattform benötigt.
Funktionsumfang
SIEM hat sich von einer eher passiv genutzten Lösung, die Warnungen und Analysen bereitstellt, zu einer Plattform entwickelt, mit der Security-Experten wiederkehrende Abläufe orchestrieren und automatisieren können. So lassen sich selbst zeitaufwändigste Aufgaben automatisieren, wie beispielsweise die Anreicherung von Log-Dateien mit kontextrelevanten Daten, um Entscheidungen präzise und zeitnah treffen zu können.
Schnelle Reaktionszeiten sind in der IT-Sicherheit wichtig. Mit SIEM können Experten schneller und auf Basis aktueller Daten auf Vorfälle reagieren und zum Beispiel in einer Firewall bestimmte IP-Adressen blockieren, die auf schädliche Aktivitäten hinweisen. Dieser Prozess lässt sich auch automatisieren, sodass die SIEM-Lösung ohne manuelle Eingriffe eine solche Aktion durchführen kann.
Ebenfalls wichtig ist die Fähigkeit, dass sich die gewünschte SIEM-Plattform nahtlos mit vorhandenen Tools für die IT-Administration und anderen Security-Lösungen verbinden kann. Ein Datenaustausch zwischen den Lösungen in Echtzeit beschleunigt auch hier wieder das Erkennen und Beheben von Sicherheitsvorfällen.
Die SIEM-Evolution bisher
Wie bereits erwähnt, hat sich SIEM im Laufe der vergangenen Jahre weiterentwickelt. Ursprünglich nutzen Unternehmen die Lösung, um zum Beispiel Compliance-Vorgaben beim Speichern von Logs und Protokollen zu erfüllen. Dann kamen Funktionen für verbessertes Suchen, für die Alarmierung und Analysen dazu. Es folgten Funktionen für die Orchestrierung, Automatisierung und Reaktion auf Vorfälle (SOAR). Die Unterstützung der SOAR-Prozesse ermöglicht es Sicherheitsteams, die Ereignisse aus Log-Dateien mit internen und externen Datenquellen anzureichern, die Überprüfung von Warnungen zu automatisieren und mit geeigneten Maßnahmen über integrierte IT-Management- oder Security-Lösungen zu reagieren.
Die Herausforderung bei der Weiterentwicklung einer SIEM-Plattform besteht heute beispielsweise dabei, Abläufe für die Automatisierung und Reaktion weiter zu verbessern, sodass Aktionen optional komplett ohne menschliche Eingriffe erfolgen. IT-Verantwortliche sollten jedoch untersuchen, welche Auswirkungen es für die gesamte Organisation haben kann, wenn kein IT-Analyst mehr in diese Entscheidungen involviert ist.
Der nächste Schritt: KI-Integration
Die Verwendung von künstlicher Intelligenz (KI) und Large Language Models in einer SIEM-Plattform ist naheliegend, geht es doch im Kern darum, große Datenbestände auszuwerten und basierend auf erkannten Mustern oder Abweichungen Informationen aufzubereiten. So kann KI dazu beitragen, die Aufgaben eines Security-Experten oder eines Detection Engineers nochmals zu erleichtern. Der Analyst könnte zum Beispiel über den KI-Prompt komplexe Anfragen generieren und Ergebnisse erhalten, die sauber formatiert und gut dokumentiert sind – Aufgaben, für die Mitarbeiter meist zusätzliche Zeit aufwenden müssen.
Darüber hinaus könnte KI das Training bzw. die Einarbeitung unterstützen. Denkbar wären geführte Lernmodelle für Analysten und strukturierte Playbooks für Sicherheitsteams, zusammengestellt von KI-Systemen und basierend auf bisherigen Best Practices. Außerdem könnte ein KI-Assistent bei Aufgaben helfen, die sonst von erfahrenen Security-Experten übernommen werden. So sind beispielsweise geführte Suchen nach bekannten Bedrohungen oder standardisierte Reaktionen auf Vorfälle möglich, die entweder komplett automatisiert oder unter Aufsicht auch von weniger erfahrenen Mitarbeitern durchgeführt werden können. Und nach der Identifizierung einer Bedrohung könnte ein Analyst, basierend auf einem von der KI erstellten Template, alle bekannten Angriffspfade abfragen, um die Prioritäten für die Abwehr festzulegen.
Ein weiteres Szenario ist das Datenmanagement bzw. die Aufbereitung von Datensätzen. Automatisierte KI-Funktionen könnten dabei helfen, Feldnamen in Datensätzen zu vereinheitlichen oder eine tabellenunabhängige Suche zu erleichtern. Dies unterstützt Security-Teams dabei, schnell und effizient Informationen über eine Gefahrenlage zusammenzustellen.
Im nächsten Schritt könnten diese Methoden und Verfahren dazu genutzt werden, um die Leistung der SIEM-Plattform, der KI und des Sicherheitsteams auszuwerten. Nach einem Vorfall könnte die KI die durchgeführten Maßnahmen, die erkannten Schwachstellen der IT-Umgebung oder die Sicherheitskonfigurationen überprüfen, um eine Liste von Vorschlägen zu unterbreiten, wie die Aktivitäten in Zukunft auf der Grundlage von Best Practices verhindert werden können. Security-Ereignisse bzw. Log-Events könnte eine KI auch rückwirkend sehr effizient analysieren, um falsch-positive Meldungen zu prüfen. Ebenfalls denkbar wäre es, dass die KI neu auftretende Ereignisse mit Daten und Aktivitäten aus früheren Vorfällen abgleicht und somit latent vorhandene Gefahren identifiziert, die zuvor unentdeckt blieben.
Fazit
Unabhängig davon, wie stark die Automatisierung des IT-Betriebs im eigenen Unternehmen bereits vorangeschritten ist, sollten IT-Verantwortliche großen Wert darauf legen, grundlegende Security-Verfahren zu implementieren und aufrechtzuerhalten. Ziel ist es unter anderem, einen hohen Grad an Transparenz über die Aktivitäten in Netzwerken und der Cloud-Nutzung der Anwender zu erhalten.
Für IT-Verantwortliche ist der IT-Betrieb schon heute eine komplexe Aufgabe. Wirtschaftliche Unsicherheiten, Budgetkürzungen und ständig neue Security-Bedrohungen erhöhen den Effizienzdruck auf die IT-Organisation. KI-gestützte SIEM-Anwendungen können ein Puzzleteil sein, die Security-Anforderungen effizienter zu erfüllen. Ein weiterer wichtiger Baustein sind externe Dienstleister, die gesamtverantwortlich agieren und auch den notwendigen Blick über den Tellerrand bieten. Nur so lassen sich in der IT-Organisation Freiräume schaffen, die die strategische Weiterentwicklung der Business-IT erlauben.
