alphaspirit - Fotolia

SIEM 2.0: Mit Big Data Cyberangriffen begegnen

Mit Hilfe von Big-Data-Technologien und umfangreichen Analysen sind neuere SIEM-Lösungen auch in der Lage, sehr geschickte Angriffe aufzuspüren.

Im Jahr 2016 sind die Cyberattacken auf IT-Systeme erheblich angestiegen. Immer häufiger stehen Unternehmen oder Behörden im Visier von Erpressersoftware, das bestätigt der Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI). So werden täglich etwa 380.000 neue Varianten von Schadprogrammen entdeckt, und die Anzahl von Spam-Nachrichten mit Schadsoftware im Anhang ist im ersten Halbjahr 2016 explosionsartig um 1270 Prozent im Vergleich zum Vorjahr gestiegen.

Diese Masse an Schadprogrammen und -varianten sowie der gezielte Einsatz dieser hebeln den signaturbasierten Ansatz aus: klassische Abwehrmaßnahmen verlieren ihre Wirksamkeit. In Zeiten der Digitalisierung ist es deshalb umso wichtiger, wirksame Schutzmechanismen gegen die immer gezielteren Angriffe zu implementieren. Es sind Maßnahmen gefragt, die Systeme permanent überwachen und sämtliche Daten analysieren. Um die daraus entstehenden Datenmassen zu bewältigen, setzen neue Security Information and Event Management-Lösungen (SIEM 2.0) auf Big-Data-Technologien.

Herkömmliche SIEM-Systeme schützen ausschließlich vor definierten Ereignissen, alles andere bleibt unentdeckt. Hinzu kommt, dass Unternehmen im Zuge der Digitalisierung eine immer größere Angriffsfläche bieten und Cyberkriminelle raffinierter vorgehen: Angriffe werden gezielter, langfristiger und damit unauffälliger. Zunehmend nutzen Angreifer auch Social-Media-Daten für gezielte Spear-Phishing- und Social-Engineering-Angriffe. Da bislang in den meisten Unternehmen noch SIEM-1.0-Lösungen eingesetzt werden, ist es nicht verwunderlich, dass es nach aktuellen Studien etwa 200 Tage dauert, bis ein Angriff entdeckt wird. Die Suche nach Unvorhergesehenem erfordert jedoch flexible Suchvorgänge, die von Cyber-Security-Analysten angestoßen werden.

Schrittweise Einführung von SIEM 2.0

Die Einführung von SIEM 2.0 geht nicht über Nacht. Auf dem Weg dorthin müssen Unternehmen ihre aktuellen SIEM-Lösungen Schritt für Schritt durch neue Werkzeuge und Technologien ergänzen.

Viele aktuelle SIEM-Systeme sind bereits für ein Baselining auf den bereits erfassten Informationen ausgelegt. Dabei werden bestimmte Parameter wie Datenmengen oder Verbindungshäufigkeiten über einen längeren Zeitraum erfasst. Diese Informationen werden genutzt, um Veränderungen zu erkennen. Eine erweiterte Analyse, bei der Suchvorgänge über viele Systeme verteilt ablaufen und durch eine Datenindizierung eine performante Volltextsuche ermöglichen, stellt den nächsten Schritt dar.

Bei SIEM 2.0 wird auch eine verbesserte Suche nach Events immer wichtiger. Dazu müssen sowohl die Suchsprache als auch der Suchalgorithmus der Lösungen erweitert werden. Erfolgt eine Suche über verschiedene Instanzen hinweg, setzen SIEM-Hersteller dazu einen MapReduce-Algorithmus ein. „Hunter“ können mit dieser Methode Verdachtsmomenten schneller nachgehen, Analysen verkürzen und Angriffe schneller erkennen.

Umfangreiche Analysen

Der Bereich Advanced Analytics umfasst umfangreiche Analysen von DNS-Traffic und umfassende Verhaltensanalysen wie User Behaviour Analystics (UBA). Durch die Auswertung von DNS-Traffic lässt sich aktive Malware erkennen, die Command & Control (C&C)-Server durch Namensauflösung finden. Basis hierfür ist ein Algorithmus, der eine Vielzahl an generierten Domain-Namen anfragt. Hat ein Angreifer einen Domain-Namen automatisiert registriert, liefert das DNS umgehend eine IP-Adresse zurück. Wenn ein Client also in kurzer Zeit viele Anfragen an einen DNS-Server stellt, von denen aber nur eine einzige valide ist und der Rest nicht existierende Domains (NXDOMAIN) sind, deutet das darauf hin, dass dieser mit einem Schadprogramm infiziert ist.

„Security-Verantwortliche müssen eine Strategie entwickeln, wie sie mit der Menge und dem schnellen Datenwachstum umgehen.“

 Lutz Feldgen, Computacenter

Mit UBA-Lösungen hingegen lässt sich das Verhalten von Usern und deren Accounts untersuchen. Dabei lernen die Analysesysteme die Verhaltensmuster von Personengruppen im Unternehmen durch eine gezielte Analyse von Logdaten oder des Netzwerkverkehrs. So ist es möglich, die Verwendung unterschiedlicher Accounts einer konkreten Identität zuzuordnen. Gibt es auffällige risikoreiche Abweichungen vom normalen Verhalten, wird ein Alarm ausgelöst. Das Analysesystem liefert also risikoorientiert einen begründeten Anfangsverdacht. Darüber hinaus ermöglicht es einem Analysten, den Verlauf von kritischen Teilen einer Session anschaulich darzustellen und so die Analysezeit bis zu Reaktion drastisch zu verkürzen.

Dabei spielt die klassische Log-Analyse auch in Zukunft noch eine wichtige Rolle. Durch Ergänzung um „Machine Learning“ und Big-Data-Analysetechnologien können Analysten entlastet und historische Daten im SIEM schnell mit den neuen Erkenntnissen durchsucht werden.

Mit Big Data erfolgreich gegen Cyberangriffe

Sind die Technologien zudem in der Lage, automatisiert auf einen Sicherheitsvorfall zu reagieren, sind sie besonders wertvoll. Denn in großen Konzernen können täglich Logdaten von 100 TByte entstehen. Diese Zahl wird durch Einbindung von Internet of Things, Industrie 4.0 und die verstärkte Betrachtung der Endgeräte künftig drastisch ansteigen. Außerdem erschweren eine Vielzahl an Datenformaten und fehlendes Personal für Analysen diese Aufgabe zusätzlich. Daher müssen Security-Verantwortliche eine Strategie entwickeln, wie sie mit der Menge und dem schnellen Datenwachstum umgehen. Mit SIEM-2.0-Lösungen ist es möglich, auf Grundlage von Big-Data-Technologien alle Informationen so zu analysieren, dass selbst die geschicktesten Angriffe auffallen.

Es sind zwar auch dann noch manuelle Analysen notwendig, allerdings macht das wachsende Datenvolumen automatisierte Sicherheitslösungen zwingend erforderlich. Nur so können die manuellen Analysen auf ein vernünftiges Maß beschränkt werden. Organisationen profitieren vor allem von der proaktiven Angriffssuche nach neuen Angriffsmustern – unabhängig von vorgegebenen Suchalgorithmen. „Hunter“, die mit Hacker-Wissen Angreifer aufspüren, profitieren darüber hinaus von der Fähigkeit, auch weit auseinanderliegende Events zu korrelieren.

Über den Autor:
Lutz Feldgen ist Lead Consultant Secure Information bei Computacenter.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Kostenloses E-Handbook: SIEM richtig auswählen

SIEM: Tipps zur Konfiguration für bessere Ergebnisse

Angriffe erkennen: SIEM für die Echtzeitanalyse einsetzen

Mit verhaltensbasierter Angriffserkennung die Sicherheit erhöhen

Erfahren Sie mehr über IT-Sicherheits-Management

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close