Kürzlich wieder im Hotel: Über dem Bett an der Decke dieses kleine, runde Objekt. Manchmal blinkt es – und so gesehen ist es dann doch ein ganz beruhigender Anblick. Denn bevor es mal richtig brennt, soll mich dieser Rauchdetektor zuverlässig alarmieren. Das Prinzip heißt „Frühwarnsystem“. Und sowas gibt‘s unter dem Namen SIEM in ähnlicher Form auch für die IT.
SIEM ist kein Produkt, sondern vielmehr ein Konzept. Das Kürzel steht für „Security Information & Event Management“. Die Methodik basiert hier auf einer permanenten real-time Analyse von Informationen aus der zu schützenden IT-Infrastruktur. Denn: Für den Sicherheitsstatus kritische Daten bzw. Modifikationen im System fallen an den verschiedensten Stellen im Netzwerk an. Deren Beobachtung in Verbindung mit einer unmittelbaren Bewertung lässt dann Trends oder Muster erkennen, die vom regulären Schema abweichen. Stichwort „Kein Rauch ohne Feuer!“
Der Blick aufs Ganze – jederzeit in Echtzeit.
SIEM bietet quasi die Sinne, oder sogar den Instinkt, um unter Sicherheitsaspekten mit ganzheitlicher Sicht auf die IT zu agieren. Und zwar „all time in real time“. Um potentielle gefährliche Auffälligkeiten als sogenannte Events zu identifizieren, setzt SIEM die Daten verschiedener Log-Quellen in Beziehung. Zu diesen Quellen zählen zum Beispiel Active Directory, Web-Proxy, VPN-Gateways, Firewalls, Intranet bzw. SharePoint, Desktop-Management, Datenbank-Server oder auch Protokollierungen von u. a. SQL-DB etc. Und schon mit dieser universalen Log-Analyse im Netzwerk bietet SIEM einen Mehrwert, den ein System allein nie erreichen könnte. Denn jeder identifizierte Event wird sofort auf sein Risikopotential hin beurteilt. Sollte dabei dann Gefahr im Verzug drohen, starten ebenso schnell die individuell festgelegten Abwehrmaßnahmen.
Kontern bevor der Schaden kommt
Effektives Reagieren, bevor Schaden fürs Netzwerk, für Systeme oder Anwendungen entsteht, ist die erste Pflicht jedes Security Managers. Dafür (und davor!) braucht er allerdings dezidierte Informationen. Wo manifestiert sich ein Problem? Und um was handelt es sich dabei? Welche Clients, Daten, Anwendungen etc. sind unmittelbar in Gefahr? Wie wirkt sich das aufs System aus? Was für Gegenmaßnahmen sind notwendig? Wie das alles nun in der Praxis beantwortet und gemanagt wird, lässt sich am Beispiel von „QRadar“ zeigen, einer SIEM-Lösung von IBM. Auch der QRadar sammelt alle verfügbaren Daten wie Log-Files, User Daten sowie Daten von kritischen Stellen wie Switches oder Router und korreliert diese. Bei Abweichungen von der normalen Aktivität alarmiert er den Incident Manager. Dazu stuft das SIEM auch automatisch die Dringlichkeit des Vorfalls ein. Für eine maximal effektive Abwehr ist SIEM außerdem mit der X-Force Threat-Intelligence verbunden – einer Plattform, die weltweit auftretende Vorfälle registriert und das daraus resultierende Wissen zu den aktuellsten Bedrohungen für SIEM zur Verfügung stellt.
SIEM ist auch immer Ihre eigene Strategie
Mein Fazit: SIEM ist ein hocheffektives Tool – aber eben auch kein Produkt „von der Stange“. Für den individuellen Einsatz müssen bestimmte Erfolgsfaktoren erfüllt sein. Etwa eine Festlegung von Incident Manager und Eskalationsinstanzen, dazu kommen systemspezifische Risikobewertungen und -kategorisierungen oder auch die regelmäße Übung der Abläufe. Zum genaueren Kennenlernen des Modus Operandi und einer Adaption auf die spezifischen Abläufe im Unternehmen sind zum Beispiel Workshops oder ein PoC ganz sicher empfehlenswerte Maßnahmen. Und falls die notwendige Manpower im Unternehmen selbst nicht vorhanden sein sollte, wäre eventuell ein Managed SIEM oder SIEM-as-a-Service die Lösung der Wahl. Dabei übernehmen externe Profis die komplette Prozess- und Betriebsverantwortung – inklusive aller einzelnen dafür nötigen Tätigkeiten. Aber in welcher Form auch immer: Die Stärken dieses „Frühwarnsystems“ für die IT sind heute unbestritten. Hier dazu nochmal die vier tragenden Säulen jeder SIEM-Lösung:
- Analyse von Anomalien im Netzwerk
- Erkennen von Events wie z. B. Attacken durch WannaCry und anderen Schadcodes
- Sofortiges Eliminieren von Bedrohungen und Schwachstellen in der ICT-Infrastruktur
- Individuell definierte Abwehrstrategien