Gute Einblicke von Gartner für ein korrektes SIEM: Teil 1

In einem kürzlich veröffentlichten Bericht von Gartner mit dem Titel SIEM-Technologie, Markt- und Anbietereinschätzung (um den vollständigen Bericht zu lesen ist ein Gartner.com-Kundenzugriff erforderlich) äußern sich die Gartner-Analysten Anton Chuvakin und Augusto Barros zu den aktuellen Entwicklungen auf dem SIEM-Markt und geben acht spezifische Empfehlungen für Unternehmen, die eine Lösung erwerben wollen.  Alle acht Empfehlungen sind äußerst wertvoll und machen deutlich, wo für den Rest des Marktes Aufholbedarf herrscht. In diesem Blog bespreche ich zunächst nur die ersten vier Empfehlungen, mit denen Sicherheitsteams ihre Sicherheitsüberwachungsprogramme verbessern können. Mit den anderen vier Empfehlungen befasse ich mich in „Teil 2“ dieses zweiteiligen Blogeintrags.

  1. „Verwenden Sie neben SIEM auch NFT (Network Forensic Tools, forensische Netzwerktools) und EDR (Endpoint Detection and Response, Endpunkterkennung und Reaktion) für eine umfangreiche Sicherheitsüberwachung und unternehmensweite Transparenz.“*

Unsere Kunden gehen noch einen Schritt weiter und kombinieren SIEM und NFT mit EDR – überwacht von einer einzigen Konsole aus.  Dadurch wird das volle Ausmaß eines Angriffs schneller erfasst und die Reaktion auf Incidents beschleunigt. Eine einzige Konsole, die bei der Priorisierung der zu untersuchenden Ereignisse hilft, verbundene Ereignisse verknüpft und einen Drill-down von einer Übersichts- bis zur Detailebene bietet – jeweils entsprechend dem Know-how und der Position des Analysten sowie angepasst an die Nutzungsanforderungen von Unternehmen, um das Erkennen und Abwehren von Bedrohungen zu erleichtern. Warum sollten Sie mehrere verschiedene Tools bereitstellen, die kaum integriert (und ganz sicher nicht Best-of-Breed) sind, wenn Sie darauf verzichten können? Herkömmliche SIEMs, die auf Protokollen und verwandten Korrelationsregeln basieren, sind im Wesentlichen blind für die heute üblichen höher entwickelten und zielgerichteteren Angriffe. Nur durch die Kombination von Protokollen, Netzwerkpaketen, Netflow und Endpunktdaten mit externen Bedrohungsinformationen kann die Erkennung von Bedrohungen automatisiert werden, da die Sicherheitsüberwachungsteams nur so die notwendige Transparenz zur Ermittlung der erweiterten Angriffe von heute erhalten.  Vielen SIEM- oder Paketerfassungstools fehlt diese Kombination, oder sie bieten ein leistungsschwaches Add-on und geben vor, damit über eine vollständige Lösung zu verfügen.

  1. „Testen Sie SIEM-Lösungen, die auf Bedrohungs- sowie auf Compliance-Anwendungsbeispielen basieren, aber geben Sie den Bedrohungs-Anwendungsbeispielen eine größere Bedeutung.“*

Der Markt hat sich weiterentwickelt: Unternehmen verstehen, dass vorgabenkonforme Unternehmen nicht notwendigerweise sicher sind, aber sicherere Unternehmen optimal positioniert sind, um vorgabenkonform zu sein.  Compliancevorschriften und -standards bieten einen guten Rahmen für eine notwendige minimale Checkliste (um nicht sanktioniert zu werden), aber sie sorgen kaum für einen Schutz Ihrer Informationen. SIEMs sind im Zusammenhang mit Compliancezwecken groß geworden und die meisten lernen gerade erst, wie sie in puncto Sicherheit wirklich effektiv sein können. Wenn Sie allerdings als Verantwortlicher sicherstellen müssen, dass Bedrohungen Ihrem Unternehmen keinen Schaden verursachen, und Sie sich nicht allein für Protokollaufbewahrung und Auditberichte interessieren, dann möchten Sie sich wahrscheinlich eher auf ein Tool verlassen, bei dem Sicherheit die Kernkomponente darstellt.

  1. „Überprüfen Sie Ihre Anwendungsbeispiele im Detail, ehe Sie sich für ein SIEM-Tool entscheiden.“*

Was möchten Sie erreichen? Protokolle sammeln oder Angreifer von der Unterbrechung Ihrer Betriebsabläufe und Diebstahl abhalten?  Ihnen wird mehrere Male eine einzige Warnmeldung für einen unbefugten Anmeldeversuch bei einer einzigen Anwendung angezeigt – ist das eine große Sache? Wie sieht es aber aus, wenn genau diese Ereignisse sowie fünf weitere mit derselben externen IP-Adresse verteilt auf verschiedene Teile des Netzwerks über mehrere Wochen hinweg zu einem einzigen Incident zusammengefasst werden? Was würden Sie bevorzugen?  Wie wäre es, wenn dieser einzige isolierte Incident mit einer ganzen Reihe von Ermittlungsschritten und Workflows verknüpft würde, um die Reaktion einfacher zu managen und zu beschleunigen? In jedem Fall würde dies dem Junior-Sicherheitsanalysten seine Arbeit erleichtern, der dann nicht mehr täglich Tausende von Protokollen und Hunderte, wenn nicht sogar Tausende von Warnmeldungen durchkämmen müsste. Erweiterte Angriffe sind schwer zu erkennen, insbesondere solche, die eine Verweildauer nutzen. Eine Verweildauer besteht dann, wenn sich ein Angreifer für einen längeren Zeitraum bereits unauffällig im System befindet, wodurch es für den Analysten schwierig ist, den Zusammenhang zwischen den schädlichen Aktivitäten und den infizierten Systemen herzustellen.  Sehen Sie sich zum besseren Verständnis diesen Beitrag zur Erkennung von Webshells, Spear-Phishing und Gh0st RAT an.

  1. „Überprüfen Sie Sourcing-Optionen für SIEM-Tools“*

Bei der Bereitstellung und Verwendung von SIEM-Systemen geht es heute um viel mehr als nur das Bereitstellen eines Systems, das „Alarm“ geben soll, wenn etwas schief geht.  Ein Sicherheitsüberwachungssystem ist eine Erweiterung der Benutzer und Prozesse, die sie verfolgen.  Was Kunden wirklich brauchen, ist ein Tool, das die Fähigkeit eines Unternehmens zur Erkennung und Abwehr von Bedrohungen höchst effektiv verbessert – und dies erfordert mehr als ein herkömmliches SIEM. Die Notwendigkeit erweiterter Analysen und verhaltensbasierter Techniken, die über das hinausgehen, was herkömmliche SIEMs bieten, ergibt sich aus der Notwendigkeit, den Schwerpunkt auf das Erkennen und Abwehren von komplexen Bedrohungen, die unter Ausnutzung der Verweildauer Unternehmen infizieren, zu legen.

Ein erfahrenes Sicherheitsunternehmen zu finden, das sich darauf konzentriert, Ihnen beim Aufbau bzw. der Optimierung Ihrer Sicherheitsverfahren zu helfen, ohne lediglich seine eigenen Produkte verkaufen zu wollen, kann den Erfolg Ihres Sicherheitsprogramms beschleunigen und Ihnen einen Vorsprung vor dem Angreifer sichern.

Bei RSA liegt unser Schwerpunkt seit vielen Jahren auf der Bedrohungserkennung und Reaktion auf Incidents als der wichtigsten Komponente für die Implementierung einer erfolgreichen Sicherheitsstrategie bzw. eines erfolgreichen Sicherheitsprogramms für unsere Kunden. Die Lösung des ASOC (Advanced Security Operations Center) von RSA bietet die Plattform und das Fachwissen für eine schnelle Erkennung, Ermittlung und Abwehr von Bedrohungen, die Unternehmen über deren Netzwerke, Endpunkte und öffentliche cloudbasierte Systeme angreifen.  Das ASOC von RSA gibt Sicherheitsteams die Möglichkeit, Standard- und erweiterte Angriffe frühzeitig ​zu erkennen, umfassend zu ermitteln und effektiv auf diese zu reagieren, indem mehrere interne und externe Sicherheitsdatenstreams, Informationen und Kontexte gebündelt und darauf Verhaltensanalysen und Data Science-Techniken angewendet werden, um die Bedrohungen aufzudecken.  Die Lösung stellt Sicherheitsteams sowohl über die Plattform als auch die zugehörigen Dienstleistungen Informationen zur Verfügung, mit denen sie Angriffe schnell erkennen, ermitteln und abwehren sowie das volle Ausmaß eines Angriffs erfassen und so die potenziellen negativen Auswirkungen auf das Unternehmen minimieren können.  Dank dem verlässlichen Fachwissen von RSA können Unternehmen ihr SOC (Security Operations Center) ganzheitlich und aus technologischer und menschlicher Sicht und unter Berücksichtigung von Prozessen aufbauen und ausreifen lassen.

Weitere Informationen zu Lösungen von RSA mit den umfassendsten Fähigkeiten zur Erkennung und Abwehr von Bedrohungen finden Sie hier.

* Gartner, SIEM Technology, Market and Vendor Assessment, Anton Chuvakin&Augusto Barros, 10. Februar 2016

 

 

No Comments