Thought Leadership
Die Cybersicherheitslandschaft wird zusehends komplexer. Hacker warten ständig mit neuen Ideen auf. Parallel dazu generieren Business-Technologien Unmengen an Daten.
Das bringt traditionelle SIEM-Lösungen (Security Information and Event Management) an ihre Grenzen: Sie sind nicht skalierbar und verwenden beim Erkennen von Bedrohungen lediglich regelbasierte Techniken. Es gibt einige entscheidende Merkmale, die eine moderne von einer traditionellen SIEM-Lösung unterscheiden. Wie die im Einzelnen aussehen dazu fragen wir Ralph Kreter von Securonix.
Was unterscheidet traditionelle SIEM-Plattformen von modernen Ansätzen und warum braucht man überhaupt neue Wege beim SIEM?
Ralph Kreter: Die Datenmenge, die wir heutzutage über verschiedene Quellen im Unternehmensnetz sammeln ist immens. Daten von Endpunkten, Anwendungen, Netzwerkgeräten, VPNs, Servern, Cloud-Apps. Es steht mehr Netzwerkkapazität zur Verfügung und die Cloud-Akzeptanz ist deutlich gestiegen. Das hat bereits zu einem exponentiellen Datenwachstum geführt. Dieser Datenfluss selbst erzeugt weitere Daten. Die sind zum einen sicherheitsrelevant kommen aber auch in anderen Anwendungen zum Tragen. Ältere SIEMs sind mit ihren datenbankbasierten Speichern für aktuelle Anforderungsprofile nicht ausreichend skalierbar. Eine proprietäre, tendenziell ineffiziente Architektur hat neben der mangelnden Leistungsfähigkeit noch den Nachteil eines potenziellen Vendor Lock-In.
Moderne SIEM-Lösungen verwenden eine offene Big-Data-Architektur, die Kunden Vorteile hinsichtlich der Datenportabilität und der laufenden Updates durch die Community bringen. Solche Lösungen nutzen einen grundlegend anderen Datenspeicher – nämlich einen, der auf offenen Big-Data-Prinzipien beruht – um die enormen Datenmengen, die ein Unternehmen produziert überhaupt verarbeiten zu können. Erst dann kann man Hunderte Terabyte an Daten kontextsensitiv, effektiv und in Echtzeit analysieren. Im Idealfall sollte man die SIEM-Lösung über gängige Hardwareplattformen bereitstellen und integrieren können.
Ältere Ansätze verlassen sich üblicherweise auf eine regelbasierte Korrelation, die sich ihrerseits an bekannten Mustern orientiert. Welche Alternativen gibt es angesichts einer Bedrohungslandschaft, die sich grundlegend verändert hat, und angesichts eines gefährlich lauten Grundrauschens falscher Positivalarme?
Ralph Kreter: Eine Alternative bieten Technologien, die maschinelles Lernen nutzen um die riesigen Datenmengen zu sichten. Eine verhaltensbasierte Sicherheitsanalyse in Echtzeit ist eine Kombination aus unbeaufsichtigt, beaufsichtigt und statistisch arbeitenden Algorithmen. Sie wurden speziell für die Cybersicherheit entwickelt und haben das Potenzial nicht nur vor bekannten Bedrohungen zu schützen, sondern auch vor solchen, die bis dato unbekannt waren. Das tun sie, indem sie das Verhalten von Benutzern und Entitäten auf Abweichungen und Anomalien hin untersuchen, anstatt sich auf bekannte Signaturen zu verlassen. Mithilfe von maschinellem Lernen ist es möglich Grundprofile des Benutzerverhaltens zu erstellen und Ereignisse miteinander zu korrelieren.
Eine Warnmeldung ohne zusätzlichen Kontext geht nicht selten in der Flut von Warnmeldungen unter. Sicherheitsanalysten müssen dann manuell intervenieren. Das ist aufwendig, fehleranfällig und ineffizient. Eine SIEM-Lösung sollte aber die gesammelten Daten mit Kontextinformationen anreichern. Kontext zu Benutzern, Assets, IP-Adressen, Geolokalisierung, Bedrohungsinformationen, Ergebnissen von Schwachstellenscans und so weiter. Wird dann ein Alarm ausgelöst, helfen die Kontextinformationen den Schweregrad einzuschätzen und zu verstehen. Die Priorität des Alarms wird dementsprechend automatisch angepasst.
SIEM-Lösungen sind geradezu berüchtigt für ausufernde Projektlaufzeiten. Etwa, wenn neue Sicherheitsplattformen integriert oder zusätzliche Datenformate aufgenommen werden sollen…
Ralph Kreter: Eine zeitgemäße SIEM unterstützt eine breite Palette von Integrationen und eine robuste Community-Umgebung. Korrelationsregeln aufzustellen ist mühsam und zeitaufwändig. Selbst geschulte Fachleute, die sich mit Verwaltung und Feinabstimmung auskennen, haben Schwierigkeiten mit Bedrohungen Schritt zu halten, die sich im Sekundentakt ändern. In einer kürzlich durchgeführten Umfrage gaben 34 % der Sicherheitsexperten an, dass das nötige manuelle Erstellen oder Verfeinern von Regeln eine der größten Hürden für die Maximierung des Werts ihrer SIEM-Plattform darstellt. Aktuelle SIEM-Plattformen bieten sogenannten „pre-packed“ Content, sie können aber auch dynamisch Content aufnehmen, der aktuelle Bedrohungen widerspiegelt. Alle diese Daten fließen in die Sicherheitsanalysen ein, und man kann Art und Umfang der Bedrohung eingrenzen und klassifizieren. Die Bereitstellung individuellen Anforderungen anzupassen ist dann wesentlich einfacher. Eine aktive Community ist sozusagen der Bonus-Track.
Neben der Komplexität sind die Kosten für die Pflege von Ereignisdaten eine große Hürde auf dem Weg zu einer grundlegenden besseren Sicherheitslage. Ältere SIEMs werden in der Regel nach Durchsatz (Ereignisse pro Sekunde (EPS)) oder Speicher (GB) berechnet. Was heißt das für die Anwender?
Ralph Kreter: Bei Investitionen in die IT-Sicherheit spielt die Kostenstruktur, die mit dem wachsenden Datenvolumen einhergeht, eine große, wenn nicht zu große Rolle. Der Kostendruck zwingt Sicherheitsanalysten zu prognostizieren welche Daten wichtig sind. Große Datenmengen sind aber die Gewähr für eine gut funktionierende Sicherheitslösung. Die Preisgestaltung darf aber einen Kunden nicht aufgrund des Datenvolumens benachteiligen. Die Anzahl der Benutzer liefert eine deutlich bessere Metrik als das Datenvolumen. Und sie ist ein besserer Indikator für Art und Umfang einer Bedrohung. Die Kosten sind dann nicht zwangsläufig an die Menge der Informationen gekoppelt, die man für ein optimales Ergebnis braucht.
Wenn man eine Bedrohung identifiziert hat, kommt es darauf an möglichst schnell zu reagieren. Das fällt nicht zwangsläufig in das Aufgabengebiet einer SIEM-Lösung?
Ralph Kreter: Im Idealfall integriert eine SIEM-Plattform automatisierte Funktionen zur Incident Response, mit denen ein SOC-Team (Security Operations Center) schnell auf Vorfälle reagieren kann. Zu jedem diagnostizierten Problem sollte ein sogenanntes Playbook mit empfohlenen Maßnahmen existieren, auf das sich Incident-Response-Team und forensische Analytiker beziehen können. Solche Playbooks basieren auf branchenüblichen Best Practices und integrieren Lösungen von Drittanbietern wie Netzwerksicherheitstools, Endpoint Protection, Scan-Tools, Sicherheits-Orchestrierungs- und Automatisierungsplattformen sowie Threat Intelligence. Ausgehend von einem Alarm werden automatisch genau festgelegte Aktionen ausgeführt.
Man erfasst etwa sämtliche Maschinen- und Netzwerkprotokolle, nimmt Geräte in Quarantäne, unterbricht Benutzeraktionen und so weiter.
37 % der Cybersecurity-Experten betrachten die Überwachung von Cloud-Infrastrukturen als die größte Herausforderung für ihr Sicherheitsteam….
Ralph Kreter: Das Problem betrifft auch und gerade SIEM-Lösungen. Die älteren arbeiten gerätebasiert und werden häufig auf proprietärer Hardware im lokalen Rechenzentrum ausgeführt. Lokale Lösungen sind ganz klar für die Ära Perimeter-Sicherheit konzipiert, nicht mit Blick auf die Hybrid- und Cloud-Bereitstellungen. Angesichts einer Vielzahl verfügbarer Optionen sollten SIEM-Bereitstellungen zur gesamten IT-Strategie eines Unternehmens passen. Dem Kunden eine Hardwarelösung aufzuzwingen macht wenig Sinn, wenn er die Vorteile einer Hybrid- und Cloud-IT-Strategie für sich nutzen will. Eine moderne SIEM-Lösung sollte Bereitstellungsoptionen für traditionelle Unternehmenshardware / -software sowie für virtuelle und cloudbasierte Umgebungen einschließen.
Bei traditionellen SIEM-Lösungen ist das Erkennen, Untersuchen und Beheben von Bedrohungen ein aufwendiger manueller Prozess. Sicherheitsanalysten nutzen häufig mehrere Sicherheitsprodukte und müssen umständlich von Bildschirm zu Bildschirm wechseln, wenn sie sich ein vollständiges Bild von der Bedrohung machen wollen. Sind diese Szenarien noch zeitgemäß?
Ralph Kreter: Soll eine SIEM-Lösung umfassenden Datenschutz gewährleisten, enthält sie zusätzliche Funktionen, die unter den Oberbegriffen Security Orchestration and Automation Response (SOAR), Network Traffic Analysis (NTA) sowie User and Entity Behavior Analytics (UEBA) zusammengefasst werden. Gerade die Analyse des Benutzerverhaltens erlaubt uns ein tiefergreifendes Verständnis von Bedrohungen wie sie etwa von Social Engineering und kompromittierten Konten ausgehen. Sie hilft Sicherheitsanalysten, Bedrohungen zu visualisieren und ihren Kontext zu verstehen. NTA-Lösungen überwachen den Netzwerkverkehr, den Datenstrom sowie Verbindungen und Objekte. SOAR gestattet es, Fehler zeitnah zu beheben. Laut Gartner gehören UEBA, NTA und SOAR zu den Funktionen, die schrittweise in einer SIEM-Plattform zusammenfließen sollten und die eine State-of-the-Art-Lösung ausmachen.
