Sicherheitsarchitekturen für komplexe Bedrohungen: Wie können SIEM-Lösungen helfen?

Unternehmen müssen ihre Sicherheitsarchitekturen weiterentwickeln, um mit neuen Bedrohungen Schritt zu halten. Vor allem bei multi-dimensionalen Attacken kommt heute häufig das Thema SIEM (Security Information and Event Management) ins Spiel. Wie können SIEM-Lösungen bei der Abwehr komplexer Bedrohungen helfen? Unsere Security-Spezialisten beantworten die wichtigsten Fragen.

 

Cyberangriffe werden immer ausgefeilter, komplexer und zielgerichteter. Sogenannte „Advanced Persistent Threats“ können Unternehmen erheblichen Schaden zufügen. Was macht diese neue Art von Bedrohung so gefährlich?

Angreifer und Schadsoftware dringen heute oft sehr lautlos und vorsichtig in Unternehmensnetzwerke ein. Möglicherweise klickt ein Anwender in einer E-Mail auf einen Link zu einer manipulierten Webseite – und es passiert auf den ersten Blick zunächst einmal gar nichts. Im Hintergrund wird lediglich eine kleine Datei auf dem Rechner des Anwenders gespeichert. Erst nach Tagen oder Wochen wird die Schadsoftware aktiv und beginnt Informationen zu sammeln, um tiefer in das Netzwerk eindringen zu können. Das Ziel dieser Attacken ist, möglichst lange unentdeckt zu bleiben, um so viele wertvolle Daten wie möglich erbeuten zu können und immer mehr Kontrolle über interne Systeme zu gewinnen.

 

Warum ist es für Unternehmen so schwer, diese Attacken zu identifizieren?

Die Angreifer verhalten sich sehr unauffällig und nutzen unterschiedliche Strategien und Techniken, um die Angriffe als zulässige Aktivitäten im Netzwerk zu tarnen. Damit unterlaufen sie oft sehr erfolgreich die Kontrollmechanismen klassischer Sicherheitsprodukte. Auch die zeitlichen Abstände zwischen den einzelnen Phasen eines Angriffs machen es für IT-Abteilungen schwerer, die Attacken zu erkennen. Laut aktuellen Gartner-Studien werden Sicherheitsvorfälle in Unternehmen heute im Durchschnitt erst nach 256 Tagen entdeckt. Noch erschreckender: In vier von fünf Fällen erkennt das Unternehmen nicht einmal selbst, dass es angegriffen wurde, sondern wird durch externe Partner, Dienstleister oder Auditoren darauf hingewiesen.

 

Mit welcher Strategie sollten Unternehmen dieser neuen Herausforderung begegnen?

Ein wichtiger Ansatz ist sicherlich, die einzelnen Security-Komponenten stärker miteinander zu vernetzen – wie es Fortinet mit der Security Fabric tut. Authentifizierung, Endpunktsicherheit, Firewall und weitere Komponenten müssen in Echtzeit miteinander kommunizieren und Informationen austauschen, um möglichst schnell auf verteilte, mehrdimensionale Angriffe reagieren zu können. Letztlich sollten Sicherheitskonzepte allerdings noch einen Schritt weitergehen. Künftig geht es nicht nur darum, die Security-Lösungen eines Herstellers zu verbinden, sondern vollständige Visibilität über alle Sicherheits- und Netzwerk-Systeme in der IT-Infrastruktur herzustellen. Das ist die Idee hinter Lösungen für das Security Information and Event Management (SIEM) wie FortiSIEM.

 

Was genau leistet eine SIEM-Lösung für Unternehmen?

Sie führt zwei Welten zusammen, die in Unternehmen heute in der Regel noch getrennt sind und auch von unterschiedlichen Teams betreut werden – das Security Operations Center (SOC) und das Network Operations Center (NOC). FortiSIEM gibt der IT also nicht nur einen Überblick über Ereignisse und Informationen in einzelnen Fortinet-Produkten, sondern integriert auch Security-Lösungen anderer Hersteller und bindet darüber hinaus beliebige andere Systeme im Netzwerk ein – wie zum Beispiel Switches, Storage- und Backup-Systeme, virtuelle und physische Server und vieles mehr. Über eine Autodiscovery-Funktion kann die Lösung sogar Geräte erkennen, die der IT noch gar nicht bekannt sind – wie zum Beispiel private Endgeräte im Netzwerk oder neu installierte IoT-Komponenten.

FortiSIEM sammelt nun die Informationen, die diese Geräte liefern, korreliert diese in Echtzeit, reichert sie an und speichert sie zentral ab. So entsteht einerseits ein riesiger Log-Pool, der sich für historische Auswertungen, Compliance-Reports und auch für forensiche Untersuchungen nach Sicherheitsvorfällen nutzen lässt. Anderseits kann das System durch die Echtzeit-Korrelation von unterschiedlichen Ereignissen vor möglichen Bedrohungen warnen.

 

Wie kann die Lösung bei der Abwehr komplexer Bedrohungen helfen?

Mit einer SIEM-Lösung ist die IT-Abteilung in der Lage, Zusammenhänge zu erkennen, die einzelnen Security- oder Netzwerk-Systemen verborgen bleiben. Verdeutlichen lässt sich das etwa an folgendem Beispiel: Ein Mitarbeiter des Unternehmens meldet sich ordnungsgemäß an seinem Arbeitsplatz an. Minuten später loggt sich ein Benutzer mit denselben Credentials in ein Web-System des Unternehmens ein – allerdings von einem weit entfernten Standort aus. Beide Vorgänge sind für sich betrachtet zunächst unauffällig. Erst durch die Korrelation wird deutlich, dass einer der beiden Zugriffe unberechtigt erfolgt. FortiSIEM kann zudem auch ganz unterschiedliche Aktivitäten in Beziehung zueinander setzen und bewerten – wie etwa eine Berechtigungsänderung auf einem System und ein anschließender auffälliger Anstieg des Netzwerkverkehrs. In der Lösung stecken mehr als 20 Jahre Erfahrung und Entwicklungsarbeit – daher erkennt das System Anomalien mit einer sehr hohen Genauigkeit. Das System versendet dann sofort Benachrichtigungen an die zuständigen Personen, damit diese ohne Verzögerung reagieren können.

 

Wie kann VINTIN beim Einsatz einer SIEM-Lösung unterstützen?

Wir haben das System bereits bei mehreren Kunden erfolgreich implementiert und unterstützen zunächst bei der Integration in die vorhandene Infrastruktur und der Anbindung der unterschiedlichen Systeme. Anschließend zeigen wir den Verantwortlichen, wie sie die Informationen der SIEM-Lösung richtig interpretieren, wichtige Ereignisse und Trends schnell erkennen und die Alarmierungsregeln entsprechend konfigurieren. Zudem helfen wir dem Kunden, seine individuellen Business-Prozesse abzubilden. Beispielsweise kann die Lösung alle relevanten Informationen zu einem bestimmten Service im Unternehmen – wie dem ERP-System – konsolidiert bereitstellen. Über eine Ampel-Funktion sieht der Kunde auf einen Blick, ob alle Komponenten, die mit dem Betrieb der ERP-Anwendung zu tun haben, ordnungsgemäß funktionieren. Ähnlich einfach können Unternehmen mit FortiSIEM Compliance-Reports erzeugen, um die Einhaltung bestimmter Standards zu dokumentieren. Unserer Erfahrung nach ist das Thema Compliance – neben der Erkennung komplexer Angriffe – einer der wichtigsten Treiber für den Einsatz von SIEM-Lösungen.

 

Gibt es auch die Möglichkeit, eine SIEM-Lösung als Service zu nutzen?

Wir bieten unseren Kunden die Lösung FortiSIEM auf Wunsch auch als Managed Service an. Damit erleichtern wir ihnen den Einstieg in die SIEM-Thematik und stellen ihnen sofort ein Security Operation Center (SOC) zur Verfügung, das durch erfahrene IT Security-Spezialisten betreut wird. Der Service umfasst neben der FortiSIEM Software auf Wunsch auch die passende Virtualisierungsplattform und wird monatsbasiert abgerechnet.

Im laufenden Betrieb nimmt unser Team dann alle Alarme und Benachrichtigungen auf. Je nach Vereinbarung mit dem Kunden bearbeiten unsere Spezialisten diese selbst oder leiten die Informationen an die zuständigen Ansprechpartner des Kunden weiter. Bei kritischen Alarmen können unsere Spezialisten jederzeit unterstützen. Im Rahmen eines Managed Services stellen wir Kunden bei Bedarf auch individuelle Reports für die relevanten Berichtsebenen zur Verfügung. Damit unterstützen wir beispielsweise den Nachweis der ISO 27001 Compliance.

Wenn Sie eine individuelle Beratung zu unserem Angebot SIEM-as-a-Service wünschen, können Sie jederzeit Kontakt mit uns aufnehmen.

 

 

Abonnieren Sie die Beiträge unseres VINTIN IT-Journals! In Zukunft werden Sie bei neuen Inhalten per Email kurz und bündig informiert.



Spread the Word!Email this to someoneShare on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInPrint this page


T: +49 (0) 9721 / 67594-10

VINTIN GROUP Löwe

HABEN SIE NOCH FRAGEN?