Real-time Security Intelligence – mehr als nur SIEM der nächsten Generation

Durch Security-Intelligenz in Echtzeit (Real-time Security Intelligence) können sich Unternehmen besser gegen die wachsenden Cyber-Angriffe schützen.

In letzter Zeit ist die Notwendigkeit in den Mittelpunkt gerückt, in Informations-Security-Lösungen zu investieren. Cyberangriffe haben zugenommen, dauernd muss man sich mit internen Herausforderungen plagen und lang anhaltende Angriffe (auch Advanced Persistent Threat, APT genannt) sind wesentlich ausgeklügelter. Dazu kommen noch die Enthüllungen von Snowden und ständig auftauchende Zero-Day-Angriffe. Dadurch hat man von der Veröffentlichung einer Lücke bis zur Reaktion überhaupt keine Zeit mehr. Die Fachwelt ist sich durchaus einig, dass bessere Lösungen notwendig sind.

Martin Kuppinger, KuppingerCole Research

Unternehmen müssen davon ausgehen, dass sich Angreifer bereits in ihrem Netzwerk befinden. Jede Firma und jeder Anwender ist ein potenzielles Ziel für Cyberkriminelle. Auf der anderen Seite wird es immer schwieriger, die Angreifer ausfindig zu machen, da sie immer ausgefeiltere Methoden verwenden. Außerdem gibt es kein einzelnes Perimeter mehr, wo Organisationen Ihre Security-Systeme platzieren können, um ein Eindringen von außerhalb in das Netzwerk zu verhindern. Möglicherweise sind die Cyberkriminellen über mobile Geräte eingedrungen, greifen Cloud-Services an und so weiter. Die Komplexität nimmt laufend zu.

Auf dem Markt sehen wir den Aufstieg neuer Lösungen. Sie versprechen, den Kunden bei ihren Herausforderungen unter die Arme zu greifen. Sehen wir uns allerdings zunächst die aktuellen Lösungen an, die aber nicht ausreichend sind.

Standardmäßige IDS (Intrusion Detection Systems) oder IPS (Intrusion Prevention Systems) sind durch das Konzept eines am Rande befindlichen Gerätes offensichtlich eingeschränkt, wenn es keine wirklich definierte Grenze mehr gibt. Außerdem sind sie limitiert, wenn komplexe Angriffs-Szenarien eine größere Anzahl an Geräten betreffen.

SIEM (Security Information and Event Management) ist immer noch eine Tool-orientierte Herangehensweise, die erhebliche Anpassungen erfordert. Solange Sie diese Systeme nicht ordnungsgemäß konfigurieren können, werden Sie beispielsweise Ihre Erwartungen in einem SOC (Security Operations Center) nicht erfüllen. Brauchen Sie immer mehr Echtzeit-Informationen für die entsprechenden Analysen, sind diese Systeme hinsichtlich Skalierbarkeit möglicherweise eingeschränkt.

Next-Generation Firewalls (NGFW) sind wiederum ein Rand-Gerät und wie alle anderen aus diesem Bereich auch entsprechend limitiert.

Services mit Echtzeit-Informationen, wie zum Beispiel über neu entdeckte Zero-Day-Angriffe, liefern wertvolle Informationen. Sie lösen allerdings das Problem nicht. Außerdem stellen sie keine Analysen zur Verfügung, was sich in der internen Infrastruktur abspielt.

In der näheren Vergangenheit haben wir allerdings beobachtet, dass immer mehr Anbieter in Richtung integrierter Methoden für Echtzeit-Security-Intelligenz (Real-time Security Intelligence) marschieren und diverse Technologien und Services kombinieren:

  • Durch Big-Data-Analyse kann man eine große Menge an Daten untersuchen. Als Basis sind sowohl Regeln als auch Muster möglich.
  • Unterstützung für sowohl Echtzeit-Analyse als auch Verlaufs- oder rückblickende Analyse. Damit lassen sich neue Ereignisse mit solchen in Verbindung bringen, die irgendwann in der Vergangenheit aufgetreten sind.
  • Integration mit existierenden Informations-Quellen wie zum Beispiel SIEM-Tools.
  • Integration mit Echtzeit-Security-Informations-Diensten, die aktuelle Informationen zu neu entdeckten Security-Herausforderungen liefern.
  • Services, die automatisch aktualisierte Regeln und Muster für Analysen bereitstellen. Es handelt sich hier zum Beispiel um Konfigurationen, bei denen die Kunden ihre „Real-time Security Intelligence“-Systeme nicht manuell auf dem aktuellen Stand halten müssen.
  • Services, die die Kunden mit Analysen unterstützen. Dazu gehören Dienstleistungen von Experten für die Unterstützung des SOCs.
  • Integration mit IT-GRC-Lösungen. Hier werden die identifizierten Herausforderungen aufbereitet und die Risiko-Informationen in Form von Dashboards für IT-Abteilung und Geschäftsleute visualisiert.

Real-time Security Intelligence ist zu einer Mischung aus Services und Software geworden. Sie kombiniert diverse Angebote, die heutzutage zwar existieren, jedoch voneinander getrennt sind. Kunden bekommen damit bessere Einblicke, was in ihren Netzwerken vor sich geht und wie die derzeitige Sachlage ist. Einige Anbieter stellen sogar die Möglichkeit zur Verfügung, dass man basierend auf deren analytische Services die Netzwerk-Konfiguration ändern kann.

Wir erwarten eine schnelle Entwicklung in diesem Bereich und gehen davon aus, dass noch mehr Services hinzukommen. Großes Potential hat dabei die Zusammenführung von Management-Systemen für Netzwerk-Konfiguration mit Real-time Security Intelligence. Somit lassen sich zum Beispiel Firewall-Einstellungen spontan ändern. Ein weiteres Beispiel ist die Integration mit SDCI (Software Defined Computing Infrastructures), um die Konfigurationen von Netzwerk, Storage und virtuellen Maschinen bei der Entdeckung neuer Schwierigkeiten zu ändern. Somit minimieren Sie automatisch und dynamisch die Angriffs-Oberfläche.

Bei der Entwicklung hin zu Real-time Security Intelligence beobachten wir im Moment, dass sich einige Anbieter mehr auf Big-Data-Security-Analysen fokussieren. Andere wiederum legen den Schwerpunkt auf Online-Services. Aber wir kratzen hier derzeit nur an der Oberfläche. Wie wir uns mit Security beschäftigen, wird sich grundlegend ändern. Weiterhin setzen wir SOCs ein und begeben uns damit weit über die Grenzen von „SIEM der nächsten Generation“ hinaus.

Über den Autor: Martin Kuppinger ist Gründer und Principal Analyst bei KuppingerCole Research und Bachelor in Economics. Er engagiert sich in Kunden-Advisories in seiner Rolle als Trusted Advisor und fungiert als Geschäftsführer.

Martin Kuppinger hat über 50 IT-Bücher geschrieben und ist viel gelesener Kolumnist und Autor von Fachartikeln und Bewertungen in einigen der renommiertesten IT-Zeitschriften in Deutschland, Österreich und der Schweiz. Er ist auch ein gut etablierter Sprecher und Moderator bei Seminaren und Kongressen.

Erfahren Sie mehr über Netzwerksicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close