Erkennen, lernen, sichern: Warum Sie mit SIEM-Software nicht länger im Dunkeln tappen

11.06.2020

Stellen Sie sich vor, Sie würden ihr Haus oder Ihre Wohnung gegen Einbrüche absichern wollen. Was würden Sie tun? Nun, zunächst wahrscheinlich ein oder mehrere Sicherheitsschlüsse an der Eingangstür anbringen. Dann vielleicht abschließbare Fenster mit einbruchhemmendem Glas verbauen. Zusätzlich könnten Sie den Eingangsbereich mit einer Videokamera überwachen. Alle diese Maßnahmen haben eines gemein: Sie sollen den Einbrecher daran hindern hineinzukommen. Hat ein Dieb aber einmal diese Hindernisse überwunden, haben Sie kaum noch eine Chance mitzubekommen, dass gerade ein Einbruch stattfindet und was dabei gestohlen oder zerstört wird.

news image

Ähnlich verhält es sich für die meisten Unternehmen und öffentlichen Einrichtungen mit ihrer IT-Infrastruktur. Es gibt Firewalls, Zugangsschutz durch Kennwörter oder sogar Mehr-Faktor-Authentisierungen, Antivirenprogramme und andere Überwachungsmaßnahmen an den Zugangspunkten des eigenen Netzwerkes. Die meisten der ergriffenen Maßnahmen sollen ein unerlaubtes Eindringen verhindern oder zumindest erkennbar machen. Sind die Angreifer aber erstmal im Netzwerk drin, können Sie sich meistens ungehindert und unerkannt ausbreiten. In der Regel ist nur sehr schwer festzustellen, dass gerade ein Angriff stattfindet, geschweige denn, worauf es die Angreifer abgesehen haben. Meistens wird erst im Nachhinein erkannt, dass große Mengen an Daten abgezogen oder eine Schadsoftware hinterlassen wurde. Und auch das ist zuweilen schwierig.


Cyberangriffe mit SIEM erkennen


Um Transparenz in die Netzwerk-internen Abläufe zu bekommen, gibt es Monitoring-Möglichkeiten. Eine davon – und mit Abstand die umfassendste und effektivste Methodik – ist das sogenannte „Security Information und Event Monitoring“ (SIEM). Vereinfacht dargestellt, werden mit dieser Methodik eine Vielzahl an „Events“, sowohl technischer als auch fachlicher Natur, auf Ebene der Infrastruktur sowie der Systeme gelogged und durch ein SIEM-Tool anhand von festgelegten Regeln korreliert. Greift so eine Regel, erzeugt das Tool einen Alarm, der dann in einer nachgelagerten Incident-Erkennung und -bearbeitung behandelt wird.


Bei Auffälligkeiten schlägt das SIEM-Tool Alarm


Ein Beispiel: Das SIEM-Tool stellt fest, dass es an einem der Systeme einen gescheiterten Anmeldeversuch von einer bestimmten IP-Adresse gab. So weit, so gewöhnlich. Nun folgen aber in kurzer Zeit mehrere weitere gescheiterte Anmeldeversuche von der gleichen IP. Und zwar einhundert Stück innerhalb einer Minute. Dies würde das SIEM-Tool als Auffälligkeit erkennen und einen Alarm erzeugen, da das höchstwahrscheinlich kein menschliches Unvermögen, sondern ein computergestützter Angriff ist. Genauso erkennt das Tool auch größere Datenbewegungen innerhalb des Netzwerks oder unerlaubte Änderungen an kritischen Files.


Die Möglichkeiten mit SIEM sind vielfältig und bei richtiger Umsetzung heben Sie Ihre IT-Sicherheit auf die nächste Stufe. Was zu beachten ist, wenn Sie ein eigenes SIEM aufsetzen wollen und wie ein gelungener Start aussehen kann, können Sie bei uns erfahren. Hierfür bieten wir Ihnen unter anderem einen kostenlosen eintägigen Workshop an, bei dem wir gemeinsam mit Ihnen, Ihre „SIEM-Readiness“ einschätzen.