SIEM: Wie sich die Erkennung von Bedrohungen verändert

Die Einführung von SIEM

Was die Unternehmen benötigten, war ein dynamischerer Ansatz für die Netzwerksicherheit, der einen besseren Einblick in die gesamte Betriebsumgebung bot. Dies veranlasste die Sicherheitsanbieter dazu, zwei Konzepte miteinander zu kombinieren: Sicherheitsinformationsmanagement (SIM, Security Information Management) und Sicherheitsereignismanagement (SEM, Security Event Management). Das Ergebnis war das Security Information and Event Management (SIEM), ein Begriff, den Gartner in einem IT-Sicherheitsbericht aus dem Jahr 2005 geprägt hat.

Die Entwicklung von SIEM basierte auf dem Bedarf an einem Tool, das echte Bedrohungen in Echtzeit erkennen kann, indem es die Tausenden von Sicherheitswarnungen, die von Firewalls, Antivirensoftware und IDS generiert werden, effektiver sammelt und priorisiert. SIEM-Systeme können potenzielle Sicherheitsrisiken identifizieren, indem sie Ereignisdaten in einer IT-Umgebung zentralisieren, normalisieren und analysieren. Dies ermöglichte es den Sicherheitsteams, effizienter und effektiver zu werden, während sie immer größere Mengen an Datenverkehr in komplexen IT-Infrastrukturen bewältigen mussten.

Doch trotz ihrer Vorteile hatten die SIEM-Systeme der ersten Generation auch ihre Schwächen. Ihre Dashboards und Berichte waren einfach und ihren Warnmeldungen fehlte es an Differenziertheit. Frühe SIEMs litten auch unter schlechter Skalierbarkeit. Jede Phase des Prozesses - das Einlesen von Daten, die Definition von Richtlinien, Regeln und Schwellenwerten, die Überprüfung von Warnmeldungen und die Analyse von Anomalien - manuelle Eingriffe erforderte.

Gleichzeitig wurde der Zugang zu den Netzwerken von einer noch größeren Gruppe von Benutzern genutzt - darunter Außendienstmitarbeiter, Kunden und Lieferanten. Angreifer waren bald in der Lage, unentdeckt zu operieren, indem sie regelbasierte Schutzmaßnahmen (Trigger) umgingen.

SIEM wird immer analytischer

Das Aufkommen kostengünstiger, skalierbarer Lösungen wie Apache Hadoop und Amazon S3 war die Grundlage für die nächste Phase in der Geschichte von SIEM. Sie ermöglichten es SIEM-Systemen, Big-Data-Analysen zu nutzen, um die Korrelation und Interpretation von Live- und historischen Daten zu verbessern, obwohl die Alarmschwellen meist manuell vorkonfiguriert wurden.

Um 2015 wurden SIEM-Tools durch die Integration von maschinellem Lernen und KI noch effizienter bei der Orchestrierung von Sicherheitsdaten und der Bekämpfung sich schnell entwickelnder Bedrohungen. Dies bedeutete, dass SIEM-Systeme Warnungen zu Zero-Day-Bedrohungen und Angriffsmustern sowie zu bekannten Bedrohungen absetzen konnten. Die Genauigkeit und Nützlichkeit von SIEM-Warnungen wurde weiter verbessert, nachdem SIEM begann, Protokolldaten aus Cloud-Infrastrukturen, SaaS-Anwendungen und anderen nicht standardmäßigen Datenquellen aufzunehmen. Dazu gehören auch Bedrohungsdaten-Feeds von Drittanbietern, die Indikatoren für eine Gefährdung aus verschiedenen Quellen enthalten.

Eine leistungsfähigere Erkennung von Anomalien war ein Eckpfeiler in der Entwicklung von SIEM. KI-gestützte automatische Profilerstellung und Regelerstellung fügten eine dynamische Ebene von Erkennungsfunktionen hinzu. Die Analyse des Benutzer- und Entitätsverhaltens (UEBA) gab SIEM einen weiteren Schub. UEBA stützt sich auf Ereignisinformationen, maschinelles Lernen und statistische Analysen, um eine Basislinie für normales Verhalten zu erstellen. Dies ermöglicht es, Aktivitäten außerhalb der akzeptierten Bereiche zu erkennen, die zu einer echten Bedrohung führen könnten. Nehmen wir zum Beispiel eines böswilligen Angreifers, der die gestohlenen Anmeldedaten eines Administrators verwendet. Er könnte sich zwar Zugang zu sensiblen Systemen verschaffen, aber es wäre fast unmöglich, die reguläre Handlungsweise des Administrators nachzuahmen. Ein SIEM, das UEBA verwendet, könnte den Zugriff erkennen, kennzeichnen und stoppen.

SIEM entwickelt sich mit immer komplexeren Angriffen weiter

SIEM-Tools werden ständig weiterentwickelt, da die Anzahl und Komplexität von Cyberangriffen zunehmen. Die Anbieter vermarkten neue Konzepte, um ihre Produkte mit neuen oder zusätzlichen Funktionen zu differenzieren. Security Orchestration Automation and Response (SOAR) ist ein gutes Beispiel dafür. SOAR nutzt APIs, um SIEM-Systeme mit anderen Sicherheitstools zu integrieren. So können Sicherheitsteams komplexe Bedrohungen und Seitwärtsbewegungen besser erkennen, indem sie als Reaktion auf bestimmte Vorfälle automatisch vorgeplante Aktionen ausführen.

SIEM-Tools sind mittlerweile fester Bestandteil der meisten Security Operation Center (SOC) in Unternehmen aller Größen und Branchen. Sie werden auf unterschiedliche Weise eingesetzt, unter anderem als Appliances, Soiftware und verwaltete Sicherheitsdienste. Obwohl SIEM-Systeme in erster Linie zur Überwachung und Erkennung von Bedrohungen in Cloud- und On-Premises-Ressourcen eingesetzt werden, ermöglichen ihre Echtzeit-Telemetriedaten den Betriebsteams auch die Analyse und Lösung von Netzwerkproblemen. Incident-Response-Teams nutzen ihre Protokolle zur forensischen Untersuchung historischer Sicherheitsereignisse und zur Sammlung von Beweisen für Ermittlungen der Strafverfolgungsbehörden. Compliance-Teams können SIEM-Daten auch zur Erfüllung von Überwachungs-, Audit- und Berichtsanforderungen nutzen, die in Vorschriften wie DSGVO, HIPAA und PCI DSS festgelegt sind.

SIEM-Tools sind bei allen großen Anbietern erhältlich, aber die Kosten für Implementierung und Integration sind nur ein Teil der Rechnung. Unternehmen benötigen geschulte Mitarbeiter, um ein SIEM-Tool zu verwalten und zu überwachen und um die von ihm generierten Warnmeldungen zu untersuchen. Dies ist ein Grund, warum Unternehmen mit knappen Ressourcen einen Managed Security Service Provider (MSSP) in Anspruch nehmen.

SIEM wird proaktiver

Die Entwicklung von SIEM bedeutet, dass es zu etwas gereift ist, das weit mehr ist als die Summe seiner beiden ursprünglichen Teile - SIM und SEM. Jede Form von Technologie, die darauf abzielt, Bedrohungen zu erkennen und zu verhindern, hat SIEM als Kernstück. Die Fähigkeit des Tools, Daten zu sammeln und zu analysieren, die von Geräten und Software im Netzwerk aufgezeichnet werden, ist die einzige Möglichkeit, Einblick in große, komplexe Infrastrukturen zu erhalten.

SIEM-basierte Sicherheitstools spielen eine wichtige Rolle bei der Datensicherheit. Egal, welche Form SIEM-Produkte und -Dienste letztendlich annehmen werden, das Ziel wird immer dasselbe sein: Bedrohungen für Hosts aufzuspüren, die am stärksten gefährdeten zu priorisieren und das Risiko automatisch und in Echtzeit zu mindern.

Nur so können Sicherheitsteams schnell genug reagieren, um zu verhindern, dass sich Angriffe zu ausgewachsenen Datenschutzverletzungen entwickeln. SIEM-Tools werden sich weiter verbessern, so dass sie Milliarden von Ereignissen verarbeiten können. Die wichtigsten Fortschritte werden jedoch darin bestehen, wie SIEM diese Daten in verwertbare Informationen umwandelt und wie diese Aktionen automatisiert werden können, um die Untersuchung von Sicherheitsvorfällen und die Reaktionsprozesse zu beschleunigen.

Unabhängig davon, wie diese Tools der nächsten Generation umbenannt werden - die neuesten Entwicklungen sind TDIR (für Threat Detection, Investigation and Response) und XDR (für Extended Detection and Response) - wird SIEM eine Schlüsselrolle spielen.

Maschinelles Lernen und künstliche Intelligenz (KI) verbessern unser Verständnis dessen, was in einem Netzwerk vor sich geht, aber der wirkliche Durchbruch von SIEM wird kommen, wenn die Warnmeldungen nicht nur reaktiv, sondern auch vorausschauend sein können. Dies wird der Zeitpunkt sein, an dem SIEM zu einem echten Intrusion Detection and Prevention System wird, das nicht nur bekannte bösartige Aktivitäten blockiert, sondern einen Cyberangriff schon im Ansatz stoppt, bevor er überhaupt stattfinden kann - ohne die täglichen Abläufe und Aktivitäten zu stören. Wenn dieser Tag kommt, wird SIEM einen neuen Namen und ein neues Akronym brauchen.