Tierney - stock.adobe.com
Was Cloud-basierte SIEM-Plattformen für IT-Teams bedeuten
IT-Umgebungen verändern sich dynamisch. Grund genug, die Vorteile Cloud-basierter SIEM-Plattformen zu betrachten und wie diese bei einer ganzheitlichen Betrachtung helfen können.
Eine der gängigsten Technologien, die heutzutage in Security Operations Centern (SOC) eingesetzt wird, sind SIEM-Plattformen (Security Information and Event Management). Dabei stehen die SOC-Teams jedoch vor der Herausforderung, lokale SIEM-Plattformen in Sachen Cloud richtig anzupassen. Das gilt insbesondere im Hinblick auf die Skalierbarkeit und das Versprechen hinsichtlich einer priorisierten Cloud-orientierten Überwachung, Erkennung und Reaktion auf Bedrohungen zu erfüllen.
Das Thema SIEM, dessen Kernfunktionen und Einsatzmodelle seit geraumer Zeit kaum weiterentwickelt wurden, muss hier der Entwicklung Rechnung tragen. Daher lohnt sich ein Blick auf Cloud-basiertes SIEM.
Lokale SIEM-Plattformen und die Herausforderungen
Der Betrieb einer lokalen SIEM-Bereitstellung kann heutzutage durchaus kostenintensiv sein, insbesondere für große Unternehmen. So können für einen ordentlichen, lokalen SIEM-Betrieb durchaus beträchtliche Hardwareressourcen erforderlich sein. Zudem gilt es bei vielen Niederlassungen, Zweigstellen und entfernten Betriebsstätten Daten einzusammeln und diese über dedizierte WAN-Verbindungen an eine zentrale SIEM-Einheit zurückzusenden. Das kann im Hinblick auf fragmentierte Informationsströme und potenziell verloren gehende Ereignismeldungen eine Herausforderung sein.
Cloud-basiertes SIEM: Funktionen und Möglichkeiten
Die Verlagerung einer SIEM-Plattform in die Cloud, erlaubt es Unternehmen, Ereignisdaten aus der lokalen Infrastruktur und Cloud-nativen Einheiten besser zu vereinheitlichen.
Cloud-basierte SIEM-Tools können die Cloud-Überwachung aus dem SOC um die folgenden Funktionen erweitern:
Priorisierte Alarmmeldungen für die Cloud-Umgebung. Die automatische Priorisierung von Alarmmeldungen stellt sicher, dass sich die Security-Analysten auf die Warnmeldungen konzentrieren, die mit dem höchsten Risiko innerhalb der Umgebung verbunden sind. Hierfür ist ein tiefes Verständnis der Cloud-Infrastruktur und -Dienste erforderlich. Bei den automatisierten Erkennungsfunktionen sind maschinelles Lernen und Analytics unerlässlich. Nur so können Security-Analysten bei der Identifizierung von wirklich relevanten Warnmeldungen und den daraus resultierenden notwendigen Aktionen unterstützt werden.
Angriffserkennung im zeitlichen Kontext. Die Gruppierung von Ereignissen basierend auf der Identifizierung von Cloud-zentrierten Angriffsmustern ist ein wichtiges Merkmal einer Cloud-basierten SIEM-Plattform. Die Visualisierung dessen, was tatsächlich vor sich geht, kann auch Junior-Analysten dabei helfen zu verstehen, welche Arten von Angriffsmustern beobachtet werden.
Integration mit Cloud-APIs zur Automatisierung. Um die Geschwindigkeit und Effizienz von Arbeitsabläufen und die Ausführung von Playbooks im SOC zu verbessern, sollten alle primären SOC-Tools so weit wie möglich in die APIs von Cloud-Anbietern integriert werden. Dies kann die Automatisierung für Eindämmungs- und Reaktionsmaßnahmen rationalisieren. So können beispielsweise verdächtige Workloads automatisch markiert werden und die Netzwerkattribute zur Isolierung während der Untersuchung geändert werden.
Die Vorteile Cloud-basierter SIEM-Tools
Neben den taktischen Gründen von Cloud-SIEM für das SOC-Team versprechen die Anbieter von Cloud-basierten Lösungen von folgenden Vorteilen und Anwendungsfällen:
Fachwissen hinsichtlich Cloud-spezifischer Angriffe
Mit Cloud-Technologien und -Umgebungen gehen neue Variationen bekannter Angriffstaktiken einher, die Sicherheitsanalysten verstehen müssen. Ebenso müssen aber auch spezielle Cloud-Angriffsmethoden nachvollzogen werden können. Eine der wichtigsten Funktionen von SIEM-Tools ist die solide Korrelation von Anwendungsfällen für Ereignisse, die auf Angriffe oder Vorfälle hinweisen können. Die Security-Forscher der SIEM-Anbieter müssen über Fachwissen hinsichtlich Cloud-zentrierter Angriffsabläufe verfügen, um sicherzustellen, dass den Security-Teams ein starker Satz an entsprechenden Playbooks zur Verfügung steht.
Cloud-Threat-Intelligence
Für das Optimieren der Sicherheitsmaßnahmen sind relevante Daten aus der Cloud-Umgebung unerlässlich. Und genau mit der Sammlung und der Analyse dieser Daten tun sich Security-Teams häufig schwer. Viele SOC-Teams wenden sich diesbezüglich an Cloud-Service-Provider und Drittanbieter von Cloud-SIEM, um an relevante Informationen zu gelangen.
Ein Cloud-basierter SIEM-Dienst sollte SOC-Teams dabei unterstützen, schnell und effizient nach kompromittierenden Einheiten zu suchen. Dies immer basierend auf zur Verfügung stehenden Indikatoren und Ereignissen, die innerhalb von Cloud-Workloads generiert werden. Dazu gehört beispielsweise auch die Kommunikation mit bekanntermaßen bösartigen IP-Adressen und Domänen. Ziele der Cloud-zentrierten Bedrohungserkennung sollten die Identifizierung von Vorfällen und die Behebung von Problemen sein. Dies immer auf Basis der gesammelten Informationen.
Weitreichende Integration der APIs von Cloud-Anbietern
Ein weiterer wichtiger Vorteil einer Cloud-basierten SIEM-Plattform ist die tiefe Integration mit APIs und Diensten von Cloud-Anbietern. Diese Fähigkeiten können dafür sorgen, dass die Weitergabe von Ereignissen an eine zentrale Analyseumgebung verbessert wird. Und dies sorgt für eine leistungsfähigere Erkennung von Ereignissen.
Um eine Cloud-basierte SIEM-Plattform möglichst effizient einzusetzen, sollten IT-Teams sich auch mit den Funktionen zur automatischen Skalierung der Aufzeichnung von Ereignisdaten beschäftigen. Häufig arbeiten Cloud-SIEM-Plattformen auf Basis einer Microservices-Architektur. Dies erlaubt Unternehmen einen relativ dynamischen Umgang mit den Ressourcen und diese bei schwankendem Bedarf automatisch zu erweitern oder zu reduzieren.
