Gefahr erkannt, Gefahr gebannt
Ganzheitliche Sicht auf IT-Sicherheit hilft bei der Abwehr von Cyberattacken Das Security Information and Event Management (SIEM) analysiert Meldungen und Logfiles unternehmensweiter Systeme. So werden verdächtige Vorfälle wie Cyberattacken in Echtzeit erkannt und Schäden durch frühzeitiges Eingreifen begrenzt.Wie funktioniert SIEM
Ein SIEM-System sammelt alle für die IT-Sicherheit (IT Security) relevanten Daten an einer zentralen Stelle und untersucht sie auf Unregelmäßigkeiten. Durch die zentrale Betrachtung lassen sich Trends und Muster, die vom gewohnten Schema abweichen und auf gefährliche Aktivitäten hinweisen, leichter bemerken.
Gesammelt werden die Daten meist von sogenannten Software-Agenten. Diese überwachen wichtige Punkte der IT-Infrastruktur wie Firewalls, Server, Router, Intrusion Detection Systeme (IDS), Intrusion Prevention Systeme (IPS), den network traffic und verschiedene Anwendungen. Die SIEM-Software strukturiert die gesammelten Daten und vergleicht sie mit dem Normalzustand. So kann es feststellen, ob jemand versucht, unerlaubt auf eine Firewall zuzugreifen oder ein Passwort zu knacken – z.B. bei einer Häufung fehlerhafter Anmeldeversuche. Wird ein potentielles Problem erkannt, verschickt das System einen Alarm, protokolliert das Event und kann über angebundene Tools laufende Angriffe automatisch eingrenzen oder gar stoppen.
Welche Ziele hat SIEM
Eine SIEM-Lösung erleichtert das Sicherheitsmanagement erheblich, da es große Mengen an sicherheitsrelevanten Daten automatisch und in Echtzeit überwacht und beurteilt. So werden Vorfälle erkannt, die sonst womöglich nicht entdeckt worden wären. Aus den protokollierten Daten erstellt das System eine Zeitachse des Angriffs und sogar Compliance- und Audit-Berichte. Aus diesen Informationen können Rückschlüsse über dessen Art und die Auswirkungen auf das Unternehmen gezogen werden. So kann das Sicherheitspersonal richtig auf die Bedrohungen reagieren und den Ursprung des Angriffs sowie die kompromittierten Systeme identifizieren. Dass im Vorfeld mögliche Szenarien schon eingehend durchdacht wurden, ermöglicht souveränes Handeln im Ernstfall.
Vorteile von SIEM
Die Hauptvorteile eines SIEM-Systems sind also:
- Bedrohungen werden schnell und zuverlässig erkannt.
- Es werden umgehend die richtigen Gegenmaßnahmen eingeleitet.
- Dadurch kann der verursachte Schaden begrenzt werden.
- Sicherheitsrelevante Ereignisse werden revisionssicher gespeichert.
Im Fall von managed SIEM übernimmt ein Serviceprovider alle SIEM-Aktivitäten (Verwaltung, Überwachung, Aktualisierung, Dokumentation).
Noch mehr Cyber Security verspricht die Möglichkeit, SIEM-Systeme um Fähigkeiten aus den Bereichen KI (künstliche Intelligenz) und maschinellem Lernen (machine learning) zu erweitern. In Zukunft könnte diese Technologie dafür sorgen, dass ein SIEM Gefahren noch schneller als solche erkennt und ohne menschliches Zutun die richtigen Gegenmaßnahmen ergreift.
SIEM und essendi xc
Auch unser Zertifikatsmanager essendi xc kann in eine SIEM-Lösung eingebunden werden und seine Meldungen an ein SIEM-System weiterleiten. xc selbst ist vor Cyberangriffen durch verschiedene Vorkehrungen geschützt. Das Audit-Log dokumentiert ab der Systemanmeldung alle Aktionen, die User über das Tool anstoßen. Mithilfe von Templates und Policies erfolgt die Beantragung von Zertifikaten Compliance-gerecht. Rollenbasierte Zugriffe und Berechtigungen stellen sicher, dass User nur die Zertifikate sehen und bearbeiten, für die sie in der IT-Umgebung berechtigt sind. Zudem prüft xc in festgelegten Intervallen den Zertifikatsbestand, bemerkt unautorisierte Abweichungen und verschickt eine entsprechende Warnmeldung.