Security Analytics

Warum ein SIEM mehr als ein SIEM sein kann

04.10.2013
Von Andreas Kümmerling

Anforderungen an SIEM-Systeme sind komplex

Damit SIEM-Lösungen ruhigen Gewissens eingesetzt werden können, müssen sie Compliance-Vorschriften wie ISO 2700x, PCI DSS, HIPAA, SOX, NERC und GLBA einhalten. Dazu zählt unter anderem, dass alle netzwerkweit erzeugten Event-Informationen automatisch gesammelt werden müssen. Berichte sollten generell anzeigen, wie viele Events also Ereignisse automatisch aufgezeigt wurden und wie viele dieser zu Folgehandlungen sogenannten False Positives geführt haben. Für Security-Audits sind diese Reportings sehr wertvoll. Ein weiterer wichtiger Aspekt betrifft den Zeitraum, um die aufgetretenen Probleme zu beheben. Hier sollte natürlich alles möglichst schnell gehen und die Behandlung ohne auftretende Komplikationen gelingen. Der Überblick über diese Alarme gelingt dann, wenn Events nach Compliance-Richtlinien definiert werden können.

Zu diesen Anforderungen kommen noch weitere hinzu, die ebenfalls wichtig für die Systeme sind. Dazu zählt, dass gute SIEM-Systeme mehr als 10.000 Events pro Sekunde verarbeiten können, denn dies ist aufgrund der Vielzahl von Daten dringend nötig. Damit Eindringlinge keine Gelegenheit bekommen Log-Dateien zu stehlen oder zu kopieren, um Datendiebstahl zu kaschieren und ihre Spuren zu verwischen, sollten diese vor Manipulation geschützt und nur verschlüsselt übertragen werden. Aus Compliance-Gründen sind die komprimierten Daten nicht nur sicher zu speichern, sondern auch mit einem eindeutigen Zeitstempel zu versehen. Nur dann ist sichergestellt, dass sich die Daten auch nach der Archivierung nachträglich finden und erneut auswerten lassen (Revisionssicherheit).

Was SIEM noch nicht kann

Es gibt eine Reihe von wünschenswerten Features, die SIEM-Lösungen bislang aber nicht bieten:

  • Intrusion Prevention und Intrusion Protection (Entwicklungsansätze sind aber bereits vorhanden)

  • Forecast-Analysen, die Rückschlüsse auf Trends aus allen IT-Systemen zulassen (auch hier gibt es erste Ansätze)

  • Maschinelle Interpretation der Reportings; diese liegt immer im Ermessen des IT-Fachmanns

  • Flexibilität bei der Implementierung in bestehende und zukünftige IT-Systeme

Fazit

Neben den sicherheitsrelevanten Erfordernissen eines SIEM-Systems sollten natürlich auch andere, eben auch wichtige Log-Daten ausgewertet werden können. Dazu zählen Performance- genauso wie Temperaturdaten, die aus der Ebene der Betriebssysteme aber auch aus einzelnen Geräten und Applikationen stammen. Informationen aus diesen Bereichen lassen Rückschlüsse auf vielfältigen Szenarien zu, die alle IT-abhängigen Systeme betreffen. Es sind diese Möglichkeiten, die einem SIEM so viel Macht verleihen und sowohl der IT-Abteilung als letztlich auch dem CIO persönlich eine große Hilfe sein können.

Zur Startseite