Was ist ein SIEM?
von Svenja Koch
Das Konzept hinter dem Security Information and Event Management (SIEM)
Die Abkürzung SIEM steht für Security Information and Event Management und repräsentiert ein softwarebasiertes Technologiekonzept aus dem Bereich des Sicherheitsmanagements. SIEM kombiniert die zwei Konzepte Security Information Management (SIM) und Security Event Management (SEM) für die Echtzeitanalyse von Sicherheitsalarmen aus den Quellen Anwendungen und Netzwerkkomponenten. Durch die Implementierung eines SIEM soll ein ganzheitlicher Blick auf die IT-Sicherheit erreicht werden, indem Meldungen und Logfiles verschiedener Systeme des Unternehmensnetzwerks gesammelt und ausgewertet werden. Ziel eines SIEM ist, verdächtige Ereignisse oder gefährliche Trends in Echtzeit zu erkennen und eine schnelle Reaktion auf Cyberbedrohungen sicherzustellen.
Was erreiche ich mit dem Einsatz eines SIEM?
Die Aufgabe eines Security Information and Event Management ist es, alle Aktivitäten innerhalb eines Netzwerks in Echtzeit zu erfassen und diese Daten auszuwerten. Die Analyse konzentriert sich dabei auf Aktionen, die auf mögliche IT-Sicherheitsverletzungen hindeuten. Dies sind beispielsweise Kommunikationsvorgänge mit einem Command & Control Server, wie ihn Cyberkriminelle einsetzen, um Netzwerke zu infiltrieren. Das SIEM Konzept zählt mittlerweile in vielen mittelständischen und größeren Unternehmen zum festen Bestandteil ihrer IT Security. Erste Lösungen sind bereits seit etwa 2005 auf dem Markt, nachdem IT-Sicherheitsexperten die Notwendigkeit solcher Lösungen für eine erhöhte Sicherheit von Unternehmensinfrastrukturen aufgezeigt hatten.
Auf dem einfachsten Level kann ein SIEM auf Basis eines regelbasierten Systems oder eines statistischen Korrelationsmodells die Beziehungen zwischen Einträgen in einem Ereignisprotokoll herstellen. Weiterentwickelte Systeme beziehen die Analyse des Nutzerverhaltens ein (User Behaviour Analytics, UBA) oder auch weitergehende Analyseverfahren wie UEBA (User and Entity Behavioral Analytics). Ebenso spielt die Verbindung oder gar Integration von SOAR (Security Orchestration, Automation and Response) eine wichtige Rolle.
Wie arbeitet eine SIEM-Lösung?
Für die Umsetzung eines Security Information and Event Management wird eine spezialisierte Software benötigt, die auch als SIEM-Tool bezeichnet wird. Diese Software dient der Überwachung von Ereignissen und wird entweder lokal installiert oder über die Cloud als Service bereitgestellt. Die SIEM-Software sammelt die Informationen entsprechend vom IT Security Team definierter Vorgaben und übernimmt die Auswertung sowie die Suche nach auffälligen Vorgängen.
Im Mittelpunkt des SIEM-Konzepts steht die Logdaten-Analyse. Mit Sammeln und Interpretation der Logfiles wird ein ganzheitlicher Ansatz verfolgt, um Anomalien im Netzwerk zu identifizieren. Diese Logdaten werden sowohl von Geräten als auch Programmen erzeugt, zudem besitzen auch Netzwerkkomponenten wie Router, Switches und Modems eigene Logdaten. Darüber hinaus erstellen Datenbanken und andere Programme eigene Logdaten. Das SIEM-Tool erhält direkten Zugriff auf alle diese Logdateien und nutzt diese für die Auswertung.
Das Sammeln und die Interpretation der Daten erfolgen in Echtzeit. Sämtliche Informationen sind manipulations- und revisionssicher gespeichert. Typische Quellen für das SIEM sind Firewalls, Server, Router, IDS, IPS und Anwendungen. Das Security Information and Event Management sorgt für die Normalisierung und Strukturierung aller gesammelten Daten. Durch das Korrelieren der Datensätze ist es beispielsweise möglich, Einbruchsversuche durch fehlerhafte Anmeldeversuche und/oder unerlaubte Zugriffe der Firewall zu erkennen. Für das Sammeln der Daten sind in der Regel Software-Agenten zuständig. Diese leiten die Informationen an eine zentrale Management-Station weiter. Die zentrale Station ist für die Speicherung, Normalisierung, Strukturierung und Auswertung der Daten zuständig. Die Analysen verwenden Regeln, Korrelations-Modelle, maschinelles Lernen und Künstliche Intelligenz, um Beziehungen zwischen den Einträgen herzustellen und Auffälligkeiten zu identifizieren.
Durch die Analyse in Echtzeit erhalten IT-Sicherheitsverantwortliche die Information über ein mögliches Sicherheitsrisiko umgehend. Ein SIEM-Tool trägt somit aktiv zu einer höheren Sicherheit im Netzwerk bei, da es die Reaktionszeit beim Auftreten von Anomalien im Netzwerk reduziert sowie Verletzungen von Sicherheitsrichtlinien identifiziert.
Die SIEM-Lösung als Managed Service
Es gibt verschiedene Möglichkeiten für die Umsetzung eines Security Information and Event Management in der eigenen Organisation. Grundsätzlich steht zunächst die Entscheidung zwischen einer lokalen Lösung und einem externen Service an.
Vorteile bei der Entscheidung für ein Managed SIEM ist, dass die Implementierung und Konfiguration von einem Dienstleister übernommen werden. Unternehmen können in diesem Fall davon ausgehen, dass die Anbieter der SIEM-Dienstleistung über einen großen Erfahrungsschatz sowie entsprechende Ressourcen hinsichtlich der Konzeption, Implementierung und Wartung der SIEM-Lösung verfügen. So wird gewährleistet, dass eine SIEM-Lösung aufgesetzt wird, die tatsächlich das gesamte Netzwerk mit allen Geräten, Datenbanken, Programmen sowie Infrastrukturkomponenten erfasst und überwacht. Der Managed Service Provider (MSP) hält also IT-Security-Experten vor und reagiert und handelt in einem Security Incident Fall. Wählt das Unternehmen hingegen eine SIEM-Software selbst aus und installiert diese lokal, liegen Integration und Konfiguration komplett in der Verantwortung der eigenen IT-Abteilung. Die Effektivität des gesamten Systems hängt dann von Know-How und „Performance“ des eigenen IT Security Teams ab.
Wann ist eine SIEM-Lösung erfolgreich?
Im Idealfall integriert eine SIEM-Plattform automatisierte Funktionen zur Incident Response, mit denen ein SOC-Team (Security Operations Center) schnell auf Vorfälle reagieren kann. Zu jedem diagnostizierten Problem sollte ein sogenanntes Playbook mit empfohlenen Maßnahmen existieren, auf das sich ein Incident Response-Team und forensische Analytiker beziehen können. Solche Playbooks basieren auf branchenüblichen Best Practices und integrieren Lösungen von Drittanbietern wie Netzwerksicherheitstools, Endpoint Protection, Scan-Tools, Sicherheits-Orchestrierungs- und Automatisierungsplattformen sowie Threat Intelligence. Ausgehend von einem Alarm werden automatisch genau festgelegte Aktionen ausgeführt - man erfasst etwa sämtliche Maschinen- und Netzwerkprotokolle, nimmt Geräte in Quarantäne, unterbricht Benutzeraktionen o.ä.
Was spricht für ein SIEM – und wann stößt es an seine Grenzen?
Ein zentrales Merkmal des Security Information and Event Managements ist die schnelle Auswertung der zur Verfügung stehenden Informationen. Die SIEM-Tools arbeiten in Echtzeit und werten auch große Datenmengen (Big Data) ohne Verzögerung aus. Diese schnelle Analyse ist unabdingbare Basis für die Identifizierung von Cyberangriffen.
Ein weiteres Argument für den Einsatz eines SIEM ist die geltende EU-Datenschutzgrundverordnung, kurz EU-DSGVO. Diese schreibt einen Schutz der personenbezogenen Informationen von Verbrauchern vor und nimmt die Unternehmen, die im Besitz dieser Daten sind, in die Pflicht. Erbeuten Cyberkriminelle beispielsweise solche persönlichen Kundendaten aus dem Netzwerk einer Organisation, stellt dies eine Verletzung der EU-Datenschutzgrundverordnung dar. Um ein höheres IT-Sicherheitsniveau zu erreichen und somit den Richtlinien der EU-DSGVO gerecht zu werden, stellt ein Security Information and Event Management eine sinnvolle Grundlage für die Auswertung von Datenströmen in Unternehmensnetzwerken dar.
Beim Stichwort „Datenströme“ darf jedoch auch folgender Aspekt nicht vernachlässigt werden: Log- Management und SIEM haben das Ziel, Sicherheitsbedrohungen zu erkennen und jene unter Kontrolle zu halten, die ein maßgebliches Risiko für Ihre Organisation darstellen. Um diese zu identifizieren, müssen für ein Unternehmen jeden Tag Millionen Ereignisse ausgewertet werden.
Die Logfile-Analyse ist damit mit der sprichwörtlichen Suche nach der "Stecknadel im Heuhaufen« vergleichbar – nur dass hier Form, Größe und Beschaffenheit der Stecknadel sogar unbekannt sind: Das permanente Sammeln und die Analyse von Logs ist für IT-Sicherheitsverantwortliche und ihre Teams sehr komplex und zeitaufwendig. Aus einer Vielzahl von Logs die wichtigsten Informationen in kürzester Zeit zu extrahieren, ist kaum möglich, da viele irrelevante Log-Informationen verarbeitet werden und damit einhergehende Datenmengen riesig sind. Eine effektive Analyse auf Basis zugrundeliegender komplexer Zusammenhänge ist dabei eine schwer umsetzbare Herausforderung. Diese Datenmengen werden deshalb meist mithilfe von SIEM-Lösungen (teil-) automatisiert analysiert. Die Regeln hierzu müssen jedoch permanent aktualisiert, weiterentwickelt und getestet werden. Zertifizierungen wie HIPAA, SOX, PCI-DSS zwingen viele Unternehmen zudem faktisch zum Log-Management.
Ausblick: Upgrade Ihres SIEM
Viele IT-Sicherheitsverantwortliche, die ein SIEM im Rahmen ihres IT Security Konzepts betreiben, stellen sich die Frage, wie das zeitaufwendige Sammeln und die komplexe Analyse von Logs zeitlich optimiert werden kann.
Denn: Die Implementierung einer umfassenden SIEM-Lösung ist aufwendig und kostet Zeit. Es ist eine erfolgreiche Integration mit den anderen Sicherheitslösungen im Unternehmen nötig, zudem müssen alle zu überwachenden Systeme ordnungsgemäß eingebunden werden. Auch kann der SIEM-Einsatz durchaus kostspielig sein. Das kann sowohl für den Anschaffungspreis als auch die Unterhaltskosten gelten. Je nach Größe der Organisation kann es sehr komplex sein, eine SIEM-Implementierung immer auf dem aktuellen Stand zu halten.
Unsere IT Security Consultants empfehlen daher ein Upgrade des SIEM Logging durch unseren Active Cyber Defense (ACD) Service.
Damit erreichen IT-Sicherheitsverantwortliche in Unternehmen eine maßgebliche Entlastung ihres IT Security Teams, denn:
- Umfassendes Logging ist durch das hohe Datenvolumen und dem daraus resultierenden zeitintensiven Verarbeitungs- und Analyseaufwand nur schwer realisierbar.
- Eine durchgehende Log-Analyse ist daher häufig nicht effektiv umsetzbar und wird als Folge oft nur reaktiv durchgeführt.
- Eine automatisierte Analyse ist durch die fortwährende Weiterentwicklung der Angriffstechniken eingeschränkt.
- Auf vielen Geräten ist die Log-Analyse gar nicht möglich (IoT, OT, BYOD, Mobile Devices).
- Angreifer haben Möglichkeiten, auf Hosts ihre lokalen Spuren zu verschleiern – der Einsatz eines SIEM ohne weiterführende Ergänzung eines Incident Detection- und Threat Hunting Tools führt damit nicht grundsätzlich zu einem erhöhten IT-Sicherheitsniveau.
Fazit:
Erweitertes Security Information and Event Management als elementarer Teil der IT-Sicherheitsstrategie
Durch die komplexe Bedrohungslage und immer intelligentere Attacken sind Unternehmen einer permanenten Cybergefahr ausgesetzt. Wachsende und immer unübersichtlichere Netzwerkstrukturen verschärfen die Risikosituation. Hinzu kommt der wachsende Druck seitens des Gesetzgebers. Dieser schreibt mit der EU-DSGVO Mindeststandards vor, die Unternehmen mittlerweile nur noch durch die Implementierung einer aktiven Cyberabwehr erfüllen können. Somit steigt die Bedeutung des erweiterten SIEM-Konzepts. Mit dem Managed Security Service Active Cyber Defense von secion findet ein sinnvolles Upgrade des SIEM statt, da der Zeitaufwand, der durch das zeitaufwendige Sammeln und die komplexe Analyse von Logs erheblich optimiert werden kann: Es werden mit ACD alle Systeme in Ihrer Organisation eingebunden - unabhängig von deren Betriebssystem, Gerätetyp oder Logging-Möglichkeiten. Dies gilt auch für IoT-, ICS-, BYOD- bzw. Fremdgeräte usw.
Zudem werden C2 (Command & Control) -Kommunikationsmuster unabhängig von konkreter Schadsoftware oder Signaturen identifiziert.
Haben Sie Fragen zum Upgrade Ihrer SIEM Lösung bzw. der Optimierung Ihrer IT Security Ressourcen?
Kontaktieren Sie uns - unsere IT Security Experten unterstützen Sie gerne!