Neue Gefahren erzwingen neue Abwehrstrategien
SIEM spürt verdächtige Verhaltensweisen auf
von Thomas Hafen - 05.11.2015
Klassische Sicherheitslösungen wie Firewalls oder Antiviren-Software sind häufig schon deshalb gegen moderne Bedrohungen machtlos, weil sie isoliert voneinander betrieben werden. „Mit siloartig strukturierten Sicherheitssystemen ist den künftigen Herausforderungen nur bedingt beizukommen“, warnt Florian Malecki, International Product Marketing Director bei Dell Network Security. SIEM-Systeme (Security Information and Event Management) sollen hier Abhilfe schaffen.
SIEM-Lösungen überwachen nicht nur die Eingänge des Netzwerks und spüren verdächtige Verhaltensweisen innerhalb der IT-Infrastruktur auf, sondern sie sammeln und archivieren auch Daten und Spuren, um im Fall einer erfolgten Infektion forensische Untersuchungen zu ermöglichen und das Ausmaß des Schadens feststellen zu können.
Für diese Aufgabe aggregieren SIEM-Lösungen Status- und Verhaltensinformationen, die von Sicherheitssystemen, der Netzwerk-Infrastruktur, Servern und PCs sowie Applikationen generiert werden. Die Systeme stützen sich hauptsächlich auf Log-Daten, können aber auch Daten aus passiven Messverfahren, etwa NetFlow oder SNMP, sowie die übertragenen Datenpakete auswerten. Diese Event-Daten werden mit Informationen über Nutzer, vorhandene Geräte und Applikationen, aktuelle Bedrohungen und Schwachstellen kombiniert. Die Daten werden dabei normalisiert, sodass sich Informationen aus verschiedenen Quellen und in unterschiedlichen Formaten korrelieren lassen.
„Ohne SIEM ist es nahezu unmöglich, Angriffe wie Advanced Persistent Threats zu erkennen“, sagt Tim Cappelmann, Leiter Managed Security beim Systemhaus AirITSystems. LogRhythm-Direktor Messmer sieht das genauso: „Ein SIEM-System nutzt die Informationen der klassischen, ohnehin vorhandenen IT-Sicherheitssysteme. Daher ist es die einzig sinnvolle Ergänzung, um moderne Angriffe zu erkennen und aktiv abzuwehren.“ Die Auswahl an SIEM-Lösungen ist groß. Das Software-Vergleichsportal Mosaic Security Research (http://mosaicsecurity.com) listet aktuell rund 50 Hersteller auf, die Produkte zum integrierten Sicherheitsmanagement im Portfolio haben. Eine Auswahl finden Sie in der folgenden Tabelle.
Anbieter von SIEM-Lösungen |
|
Anbieter |
Produkt |
AccelOps SIEM |
|
Unified Security Management (USM) |
|
SIEM Storm |
|
RSA Security Analytics |
|
Security Center |
|
ArcSight |
|
QRadar SIEM |
|
McAfee Enterprise Security Manager |
|
Security Intelligence Platform |
|
Sentinel |
|
Log & Event Manager (LEM) |
|
Enterprise |
|
SIEM Enterprise |
SIEM-Systeme (Security Information and Event Management) ermöglichen umfassende Sicherheitsanalysen.
Zu den führenden Anbietern gehören laut Gartner IBM Security, HP, Intel Security, LogRhythm und Splunk. Bei manchen lässt sich SIEM auch als Managed Service beziehen, etwa bei EventTracker und Trustwave.