COMPAREX AG
IT-Security SIEM Hackerangriffe erkennen

Angriffe auf das Netzwerk innerhalb von Sekunden erkennen und stoppen – mit SIEM-Lösungen

Fast täglich findet man in der Presse Meldungen über Hacker-Angriffe auf Unternehmen. Dabei fällt auf, dass die Angriffe immer gezielter werden und oft individuell genau auf das jeweilige Unternehmen oder Ziel zugeschnitten sind. SIEM-Lösungen können helfen, wichtige Unternehmensdaten vor solchen Angriffen zu schützen.

International Alliance Manager Peggy Stollberg beschäftigt sich seit Jahren mit dem Thema IT-Security. Sie erklärt, was SIEM-Lösungen sind und wie diese funktionieren.

Hacker-Angriffe wie „Fake President“, „Carbanak“ oder der Angriff auf Sony haben eines gemeinsam: Es wurde genau recherchiert, um den Angriff nicht als solchen sichtbar zu machen, um eine Entdeckung so weit wie möglich hinauszuzögern oder im schlimmsten Fall den Angriff komplett unbemerkt durchzuführen. Solche gezielten Cyber-Attacken sind oft nur sehr schwer erkennbar und bleiben mitunter tage-, wochen- oder sogar monatelang unerkannt.

Angreifer nutzen fehlende Kommunikation

Neben einer entsprechenden Sensibilisierung und Ausbildung der Mitarbeiter, müssen auch die technischen Vorrausetzungen geschaffen werden, die sensiblen und wertvollen Daten des Unternehmens zu sichern, ohne dabei den alltäglichen Arbeitsablauf zu beeinflussen. Lösungen wie Firewall, Verschlüsselung, die Überwachung von Mail und Webtraffic und natürlich Antiviren-Programme gehören in Unternehmen heute zum Standard. All diese Systeme funktionieren oft hervorragend, allerdings erfolgt keine Kommunikation untereinander.

Wird eine infizierte Datei bspw. am Endpoint erkannt, macht es Sinn, auch die anderen Komponenten im Netzwerk zu informieren, so dass diese in Zukunft evtl. schon am Gateway gestoppt werden können. Um eine Kommunikation der unterschiedlichsten IT Devices im Netzwerk zu ermöglichen, benötigt man eine gemeinsame „Sprache“ für alle Geräte.

Hacker-Angriffe erkennen und stoppen

Übersetzer für schnellen Austausch

Intel Security hat hierfür den sogenannte Data Exchange Layer entwickelt, welcher quasi als Übersetzer der verschiedenen Protokolle fungiert und so den bidirektionalen Austausch aller Geräte ermöglicht. So wird ein Angriff schneller erkannt und die Reaktionszeiten verkürzen sich. Auch Angriffe, die den Weg durch die Firewall finden und von nachgelagerten Sicherheitsinstanzen erkannt werden, können so gestoppt und bereits von der Firewall geblockt werden. Momentan nutzen diverse Intel Security Produkte bereits diese Art von Kommunikation. Aktuell wird an einer Schnittstelle gearbeitet, über die auch andere Hersteller auf diese Funktionalität zugreifen können. Ziel von Intel ist es, das alle Komponenten im Netzwerk miteinander kommunizieren, um so ein höchstmögliches Maß an Sicherheit zu gewährleisten.

SIEM-Lösungen als Wächter

Was aber, wenn sich der Angreifer bereits im Netzwerk befindet und nun versucht aus dem Untergrund das Netzwerk zu manipulieren? Hier helfen sogenannte Security Incident und Event Management Systeme (SIEM). Diese Systeme überwachen das komplette Netzwerk, sammeln Logfiles unterschiedlichster Komponenten und Hersteller, korrelieren diese und bringen sie mit den gesetzten Regeln in Verbindung. So werden in Echtzeit Unregelmäßigkeiten festgestellt und behoben.

SIEM in der Praxis

Zum Beispiel wird festgestellt, dass der Datenbankadministrator, Herr Müller, sein Passwort ein paar Mal falsch eingibt, bevor er mit dem richtigen Passwort Zugang zum System bekommt. Danach macht er seinen Job und exportiert diverse Daten aus einer Datenbank und sichert diese auf einer externen Festplatte – soweit alles kein Problem, allerding ist Herr Müller gerade im Urlaub.

Mit dieser zusätzlichen Info wandelt sich ein normaler Arbeitstag in einen potenziellen Angriff, der geprüft werden sollte. Die SIEM Lösungen prüfen also allgemeine Vorgänge im Netzwerk und stellen diese ins Verhältnis zu Vorgaben und Regelungen, die individuell vom Unternehmen festgelegt werden. Aus diesen Verhältnissen werden Rückschlüsse gezogen. Bei Unregelmäßigkeiten erfolgt eine vorher definierte Reaktion, wie etwa die Information an den Administrator, bestimmte Aktivitäten zu stoppen.

Installation und Inbetriebnahme eines SIEM Systems

Um die Installation und Inbetriebnahme eines SIEM Systems zu vereinfachen, bringen die Lösungen meist eine Reihe von voreingestellten Regeln mit. Intel Security bietet hier für kleinere Unternehmen sogar eine Starter Appliance an, welche alle Komponenten (Monitoring, Korrelation, Management) in einer Hardware vereint. Für größere Unternehmen werden die Komponenten einzeln angeboten und können so ganz individuell an die Unternehmensanforderungen angepasst werden.

Über die SIEM-Lösungen von Intel Security lassen sich über 400 Security Hersteller überwachen. Zahlreiche davon können auch direkt über die Lösung angepasst und verwaltet werden, so dass sich die Anzahl der zu bedienenden Managementkonsolen erheblich verringert.

Die Vorteile von SIEM-Lösungen auf einen Blick:

  1. Erweiterte Bedrohungsinformationen – Unregelmäßigkeiten im Netzwerk werden festgestellt, bewertet und nach festgelegter Priorisierung gemeldet

  2. Wichtige Fakten in Minuten – die umfassende Datenbank-Appliance erfasst und wertet Daten in Echtzeit aus, so dass eine Reaktion innerhalb von wenigen Sekunden erfolgen kann

  3. Einbeziehung von Kontext und Inhalten – Kontextinformationen, z. B. aus Systemen zur Identitäts- und Authentifizierungsverwaltung oder Datenschutzlösungen werden mit dem jeweiligen Ereignis korreliert um zu entscheiden, ob es sich um eine Bedrohung handelt oder nicht

  4. Optimierung der Sicherheitsprozesse – SIEM optimiert die Sicherheitsabläufe und bietet eine zentrale Übersicht der Sicherheitslage, des Compliance-Status und der priorisierten Sicherheitsprobleme eines Unternehmens, die eine Untersuchung erfordern.

  5. Einfachere Compliance – Durch die Zentralisierung und Automatisierung der Compliance-Überwachung und -Dokumentation werden zeitaufwändige manuelle Prozesse überflüssig.

  6. Einbindung Ihrer IT-Infrastruktur – SIEM ermöglicht einen einmaligen Überblick über die Sicherheitslage Ihres Unternehmens durch die Erfassung wertvoller Daten von hunderten verschiedenster Sicherheitsgeräten.

Mein Fazit:

Einen Angriff auf Ihr Unternehmen zu verhindern ist heutzutage unmöglich, aber durch eine übergreifende Sicherheitsstrategie können diese Angriffe erfolgreich gestoppt und Schaden verhindert werden.

Diesen Artikel teilen

Artikel vom:
17.03.2015

geschrieben von:

TAGS:
Hacker-Angriff, IT-Security

Thema:

Kommentieren sie diesen Artikel...

© COMPAREX AG
Zurück nach oben