Neue Gefahren erzwingen neue Abwehrstrategien

SIEM spürt verdächtige Verhaltensweisen auf

von - 05.11.2015
Klassische Sicherheitslösungen wie Firewalls oder Antiviren-Software sind häufig schon deshalb gegen moderne Bedrohungen machtlos, weil sie isoliert voneinander betrieben werden. „Mit siloartig strukturierten Sicherheitssystemen ist den künftigen Herausforderungen nur bedingt beizukommen“, warnt Florian Malecki, International Product Marketing Director bei Dell Network Security. SIEM-Systeme (Security Information and Event Management) sollen hier Abhilfe schaffen.
Florian Malecki, International Product Marketing Director, Dell Network Security
Florian Malecki, International Product Marketing Director, Dell Network Security: „Mit siloartig strukturierten Sicherheitssystemen ist den künftigen Herausforderungen nur bedingt beizukommen.“
SIEM-Lösungen überwachen nicht nur die Eingänge des Netzwerks und spüren verdächtige Verhaltensweisen innerhalb der IT-Infrastruktur auf, sondern sie sammeln und archivieren auch Daten und Spuren, um im Fall einer erfolgten Infektion forensische Untersuchungen zu ermöglichen und das Ausmaß des Schadens feststellen zu können.
Für diese Aufgabe aggregieren SIEM-Lösungen Status- und Verhaltensinformationen, die von Sicherheitssystemen, der Netzwerk-Infrastruktur, Servern und PCs sowie Applikationen generiert werden. Die Systeme stützen sich hauptsächlich auf Log-Daten, können aber auch Daten aus passiven Messverfahren, etwa NetFlow oder SNMP, sowie die übertragenen Datenpakete auswerten. Diese Event-Daten werden mit Informationen über Nutzer, vorhandene Geräte und Applikationen, aktuelle Bedrohungen und Schwachstellen kombiniert. Die Daten werden dabei normalisiert, sodass sich Informationen aus verschiedenen Quellen und in unterschiedlichen Formaten korrelieren lassen.
„Ohne SIEM ist es nahezu unmöglich, Angriffe wie Advanced Persistent Threats zu erkennen“, sagt Tim Cappelmann, Leiter Managed Security beim Systemhaus AirITSystems. Log­Rhythm-Direktor Messmer sieht das genauso: „Ein SIEM-System nutzt die Informationen der klassischen, ohnehin vorhandenen IT-Sicherheitssysteme. Daher ist es die einzig sinnvolle Ergänzung, um moderne Angriffe zu erkennen und aktiv abzuwehren.“  Die Auswahl an SIEM-Lösungen ist groß. Das Software-Vergleichsportal Mosaic Security Research (http://mosaicsecurity.com) listet aktuell rund 50 Hersteller auf, die Produkte zum integrierten Sicherheitsmanagement im Portfolio haben. Eine Auswahl finden Sie in der folgenden Tabelle.

Anbieter von SIEM-Lösungen

Anbieter

Produkt

AccelOps

AccelOps SIEM

AlienVault

Unified Security Management (USM)

BlackStratus

SIEM Storm

EMC (RSA)

RSA Security Analytics

EventTracker

Security Center

HP

ArcSight

IBM Security

QRadar SIEM

Intel Security

McAfee Enterprise Security Manager

LogRhythm

Security Intelligence Platform

Micro Focus (NetIQ)

Sentinel

SolarWinds

Log & Event Manager (LEM)

Splunk

Enterprise

Trustwave

SIEM Enterprise
SIEM-Systeme (Security Information and Event Management) ermöglichen umfassende Sicherheitsanalysen.
Zu den führenden Anbietern gehören laut Gartner IBM Security, HP, Intel Security, LogRhythm und Splunk. Bei manchen lässt sich SIEM auch als Managed Service beziehen, etwa bei EventTracker und Trustwave.
Seite
  1. Teil: Neue Gefahren erzwingen neue Abwehrstrategien
  2. Teil: Targeted Threats nutzen Zero-Day-Lücken
  3. Teil: Der unentdeckte Feind als Sicherheitsproblem
  4. Teil: Vorbeugende Systeme und Probelauf im Sandkasten
  5. Teil: SIEM spürt verdächtige Verhaltensweisen auf
  6. Teil: Die mobile Gefahr per Smartphone und Tablet
  7. Teil: Industrie 4.0 und das Internet der Dinge
  8. Teil: Security als Service für kleine Unternehmen
  9. Teil: „Wir sind nicht am Ziel, aber die Richtung stimmt“
  10. Teil: „Ich würde dringend zur Awareness-Schulung raten“
Verwandte Themen

Mehr zum Thema