Was ist SIEM-Software?
Sicherheitsinformations- und Event-Management-Software (SIEM) bietet Sicherheitsfachleuten in Unternehmen sowohl Einblick in als auch in Erfolgsbilanz der Aktivitäten in ihrer IT-Umgebung.
Die SIEM-Technologie existiert seit mehr als einem Jahrzehnt und hat sich zunächst aus der Disziplin der Protokollverwaltung entwickelt. Es kombinierte Security Event Management (SEM) – das Protokoll- und Ereignisdaten in Echtzeit analysiert, um Bedrohungsüberwachung, Ereigniskorrelation und Reaktion auf Vorfälle bereitzustellen – mit Security Information Management (SIM), das Protokolldaten sammelt, analysiert und meldet.
Funktionsweise von SIEM
Die SIEM-Software sammelt und aggregiert Protokolldaten, die in der gesamten Technologieinfrastruktur des Unternehmens generiert werden, von Hostsystemen und -anwendungen bis hin zu Netzwerk- und Sicherheitsgeräten wie z Firewalls und Antivirenfilter.
Die Software identifiziert und kategorisiert dann Vorfälle und Ereignisse und analysiert sie. Die Software erfüllt zwei Hauptziele:
- Berichte über sicherheitsrelevante Vorfälle und Ereignisse wie erfolgreiche und fehlgeschlagene Anmeldungen, Malware-Aktivitäten und andere mögliche böswillige Aktivitäten und
- Senden Sie Warnungen, wenn die Analyse zeigt, dass eine Aktivität mit vorgegebenen Regelsätzen ausgeführt wird und somit auf ein potenzielles Sicherheitsproblem hinweist.
Der Bedarf des Unternehmens an einem besseren Compliance-Management hat viel dazu beigetragen Die frühzeitige Einführung dieser Technologie, sagt Paula Musich, Research Director bei Enterprise Management Associates (EMA), einem Marktforschungs- und Beratungsunternehmen mit Sitz in Boulder, Colorado.
„Auditoren brauchten eine Möglichkeit, um zu prüfen, ob Compliance vorliegt erfüllt wurde oder nicht, und SIEM lieferte die Überwachung und Berichterstattung, die zur Erfüllung von Mandaten wie HIPPA, SOX und PCI DSS erforderlich sind “, sagt sie unter Bezugnahme auf das Gesetz über die Portabilität und Rechenschaftspflicht von Krankenversicherungen, das Sarbanes-Oxley-Gesetz und die Daten der Zahlungskartenbranche Sicherheitsstandard.
Bsp Laut Experten hat die Nachfrage der Unternehmen nach größeren Sicherheitsmaßnahmen in den letzten Jahren den SIEM-Markt stärker getrieben.
„Jetzt betrachten große Unternehmen SIEM in der Regel als Grundlage für die Aufrechterhaltung des Sicherheits-Operations-Centers“, sagt Musich / p>
Analytik und Intelligenz
Einer der Hauptgründe für die Verwendung von SIEM-Software für Sicherheitsvorgänge sind die neueren Funktionen, die in vielen Produkten auf der Website enthalten sind Markt.
„Jetzt bringen viele SEIM-Technologien zusätzlich zu herkömmlichen Protokolldaten Feeds mit Bedrohungsinformationen ein, und es gibt mehrere SIEM-Produkte mit Sicherheitsanalysefunktionen, die sowohl das Netzwerkverhalten als auch das Benutzerverhalten berücksichtigen Geben Sie mehr Informationen darüber, ob eine Aktivität auf böswillige Aktivitäten hinweist “, erklärt Musich.
In der Tat nennt das Technologieforschungsunternehmen Gartner in seinem Bericht vom Mai 2017 über den weltweiten SIEM-Markt die Informationen zu SIEM-Tools und sagt:„ Innovation in Der SIEM-Markt bewegt sich g in einem aufregenden Tempo, um ein besseres Tool zur Erkennung von Bedrohungen zu entwickeln. “
Der Gartner-Bericht stellt ferner fest, dass Anbieter maschinelles Lernen, erweiterte statistische Analysen und andere Analysemethoden in ihre Produkte einführen, während einige auch damit experimentieren Künstliche Intelligenz und Deep-Learning-Funktionen.
Laut Gartner vermarkten Anbieter solche Fortschritte wie Funktionen, mit denen sich schnellere Erkennungsraten schneller erzielen lassen. Gartner weist jedoch darauf hin, dass Unternehmen noch nicht klar sind, ob oder um wie viel diese Funktionen neue Renditen für das Unternehmen bringen.
Rob Stroud, Principal Analyst bei Forrester Research und ehemaliger Vorstandsvorsitzender bei ISACA, ein internationaler Berufsverband, der sich auf IT-Governance konzentriert, sieht in solchen Technologien vielversprechende Ergebnisse.
„Mit KI und maschinellem Lernen können wir Inferenzen und musterbasierte Überwachung und Alarmierung durchführen, aber die eigentliche Chance ist die Predictive Restoration. Dies ist der Übergang auf dem Markt. Es geht von einem Überwachungstool zu Sanierungsvorschlägen über “, sagt Stroud und erwartet, dass SIEM-Software die Sanierung in Zukunft sogar automatisieren kann.
SIEM im Unternehmen
Die SIEM-Software erfasst laut Gartner nur einen kleinen Teil der gesamten Ausgaben für Unternehmenssicherheit weltweit. Gartner schätzt die weltweiten Ausgaben für Unternehmenssicherheit für 2017 mit SIEM-Software auf fast 98,4 Milliarden US-Dollar rund 2,4 Milliarden US-Dollar sammeln. Gartner prognostiziert einen moderaten Anstieg der Ausgaben für SIEM-Technologie auf fast 2,6 Milliarden US-Dollar im Jahr 2018 und 3,4 Milliarden US-Dollar im Jahr 2021.
SIEM-Software wird hauptsächlich von großen Organisationen und öffentlichen Unternehmen verwendet, bei denen Compliance erforderlich ist Laut Analysten bleibt die Einhaltung von Vorschriften ein wichtiger Faktor bei der Nutzung dieser Technologie.
Während einige mittelständische Unternehmen auch SIEM-Software anbieten, brauchen und wollen kleine Unternehmen nicht in sie investieren.Analysten geben an, dass der Kauf einer eigenen Lösung häufig zu einem Preis führt, da die jährlichen Kosten zwischen Zehntausenden und mehr als 100.000 US-Dollar liegen können. Darüber hinaus sind kleine Unternehmen nicht in der Lage, die für die fortlaufende Wartung der SIEM-Software erforderlichen Talente einzustellen.
Analysten stellen jedoch auch fest, dass einige kleine und mittlere Unternehmen SIEM als geliefert haben Ein Software-as-a-Service-Angebot durch Outsourcing-Anbieter, die groß genug sind, um ihren SMB-Kunden diesen Service zu verkaufen.
Derzeit führen Benutzer großer Unternehmen aufgrund der Sensibilität SIEM-Software immer lokal aus von einigen der Daten, die durch das System gehen. „Sie protokollieren sensible Dinge, und die Leute haben keinen großen Appetit darauf, über das Internet zu senden“, sagt John Hubbard, leitender Analyst für das US Security Operations Center von GlaxoSmithKline und Ausbilder beim SANS Institute, einer Organisation für Sicherheit Profis.
Da jedoch die Möglichkeiten für maschinelles Lernen und künstliche Intelligenz in SIEM-Produkten zunehmen, erwarten einige Analysten, dass SIEM-Anbieter eine Hybridoption anbieten, wobei einige der Analysen in der Cloud ausgeführt werden .
„Wir sehen das Sammeln und Kuratieren und Informationen über die Cloud. Wir sehen, dass dies entsteht, weil der Anbieter mehr Daten durchsuchen kann als ein Unternehmen “, sagt Stroud.
SIEM-Tools und Anbieterauswahl
Auf dem SIEM-Markt basieren mehrere dominante Anbieter auf weltweite Verkäufe, insbesondere IBM, Splunk und HPE. Es gibt mindestens mehrere weitere Hauptakteure, nämlich Alert Logic, Intel, LogRhythm, ManageEngine, Micro Focus, Solar Winds und Trustwave.
Laut Musich müssen Unternehmen Produkte anhand ihrer eigenen Ziele bewerten, um festzustellen, welche würde am besten ihre Bedürfnisse erfüllen. Unternehmen, die diese Technologie in erster Linie aus Compliance-Gründen einsetzen möchten, werden bestimmte Funktionen, z. B. die Berichterstellung, höher bewerten als Unternehmen, die SIEM für die Einrichtung eines Sicherheits-Operations-Centers nutzen möchten.
In der Zwischenzeit Unternehmen mit Petabyte an Daten werden feststellen, dass einige Anbieter ihre Anforderungen besser erfüllen können, während Unternehmen mit weniger Daten möglicherweise andere Optionen wählen. In ähnlicher Weise werden Unternehmen, die eine hervorragende Bedrohungssuche wünschen, wahrscheinlich nach erstklassigen Tools zur Datenvisualisierung und Suchfunktionen suchen, die andere möglicherweise nicht benötigen.
Sicherheitsverantwortliche müssen zahlreiche andere Faktoren berücksichtigen – beispielsweise, ob sie dies können Unterstützen Sie ein bestimmtes Tool, wie viele Daten sie im System haben und wie viel sie ausgeben möchten – bei der Bewertung von SIEM-Anbietern, sagt Musich. Zum Beispiel ist ArcEight ESM von HPE ein ausgereiftes Tool, das viele Funktionen bietet, jedoch ein hohes Maß an Fachwissen erfordert und teurer als andere Optionen ist.
„Es wird immer eine Reihe von Funktionen geben.“ Musich fügt hinzu: „Und je ausgefeilter die Sicherheit im Betrieb ist, desto besser werden sie die Tools nutzen, die sie haben.“
Angesichts der unterschiedlichen Anforderungen an die Fähigkeiten, die von den beiden Haupttreibern abhängen Hubbard sagt, dass sich viele Unternehmen für zwei verschiedene Systeme entscheiden, von denen sich eines auf die Einhaltung und das andere auf die Erkennung von Bedrohungen konzentriert.
„Möglicherweise sammeln Sie viel für die Einhaltung Dies kann jedoch für die Erkennung von Bedrohungen verlangsamt werden. Sie haben also ein taktisches SIEM für die Erkennung von Bedrohungen “, sagt er.
Maximieren des SIEM-Werts
Dennoch verwenden die meisten Unternehmen weiterhin SIEM-Software in erster Linie zur Verfolgung und Untersuchung der Ereignisse, sagt Eric Ogren, Senior Analyst bei den Informationen Sicherheitsteam bei 451 Research. Laut Ogren ist dieser Anwendungsfall auf die zunehmende Gefahr von Sicherheitsverletzungen und die zunehmend schwerwiegenden Folgen zurückzuführen, denen Führungskräfte und Organisationen bei solchen Ereignissen ausgesetzt sind.
Wie Ogren sagt: „Wenn ein Unternehmen gehackt wird, möchte kein CIO dies.“ Lassen Sie das Board fragen, was passiert ist, und sagen Sie: „Verdammt, wenn ich es weiß.“ Sie möchten sagen: „Wir gehen die Protokolldaten durch, um herauszufinden, was passiert ist.“
Gleichzeitig Viele Unternehmen gehen jetzt darüber hinaus und nutzen die Technologie zunehmend zur Erkennung und nahezu Echtzeitreaktion, sagt Ogren.
„Das Spiel ist jetzt: Wie schnell können Sie erkennen? “ Er fügt hinzu, dass die sich weiterentwickelnden Fähigkeiten des maschinellen Lernens SIEM-Systemen helfen, ungewöhnliche und potenziell böswillige Aktivitäten genauer zu identifizieren.
Trotz dieser Fortschritte sind Unternehmen weiterhin in ihren Fähigkeiten gefordert, den Nutzen zu maximieren und somit
Dafür gibt es verschiedene Gründe.
Erstens sind SIEM-Technologien ressourcenintensiv und erfordern erfahrenes Personal für die Implementierung und Wartung und optimieren Sie sie – Mitarbeiter, in die noch nicht alle Organisationen vollständig investiert haben.
„Viele Unternehmen bringen die Technologie ein, weil sie wissen, dass sie etwas wollen, aber sie haben nicht das Personal oder sie bekommen dem Personal nicht die Schulung, die sie benötigen Um es zu verwenden “, sagt Stroud.
Die SIEM-Software benötigt auch Qualitätsdaten für maximale Ausbeute.„ Je größer die Datenquelle ist, desto besser wird sie und desto besser können Ausreißer erkannt werden “, erklärt Stroud. Unternehmen haben jedoch weiterhin Probleme, die richtigen Daten zu definieren und bereitzustellen.
Und selbst mit starken Daten und einem hoch entwickelten Team, das die SIEM-Technologie ausführt, hat die Software selbst laut Analysten Grenzen. Sie weisen darauf hin, dass es nicht ganz genau ist, zu erkennen, welche Aktivitäten akzeptabel sind und welche legitime potenzielle Bedrohung vorliegt – eine Diskrepanz, die in vielen Bereitstellungen zu einer hohen Anzahl von Fehlalarmen führt.
Dieses Szenario erfordert eine strenge Steuerung und effektive Verfahren innerhalb des Unternehmens, damit die Sicherheitsteams nicht der Überlastung von Warnungen erliegen.
Laut Stroud beginnen Sicherheitsexperten häufig damit, eine erstaunliche Anzahl von Fehlalarmen zu verfolgen. Anspruchsvolle Unternehmen werden lernen, die Überstunden der Tools so einzustellen, dass die Software die üblichen Ereignisse versteht und dadurch die Anzahl der Fehlalarme verringert.
Auf der anderen Seite werden jedoch einige Sicherheitsteams darauf verzichten Schritt und stattdessen mehr falsche Warnungen aus Gewohnheit ausschalten – eine Praxis, bei der das Risiko besteht, dass echte Bedrohungen übersehen werden.
Laut Musich schreiben die anspruchsvolleren Organisationen auch Skripte, um mehr weltliche Funktionen zu automatisieren, z. B. das Abrufen von Kontexten Daten aus verschiedenen Quellen, um ein vollständigeres Bild der Warnungen zu erhalten und die Untersuchung und Identifizierung realer Bedrohungen zu beschleunigen.
„Es sind gute Prozesse sowie eine Reife der Sicherheitsvorgänge erforderlich“, fügt sie hinzu Es ist nicht nur ein Werkzeug für sich selbst, sondern es ist in andere Technologien integriert und verfügt über einen Gesamtprozess zur Steuerung der Aktivitäten. “
Es bewegt sich so, sagt sie kann die Zeit reduzieren, die Mitarbeiter für Aktivitäten auf niedrigerer Ebene aufwenden und ermöglichen ihnen stattdessen, ihre Energie auf die hochwertigen Aufgaben umzuleiten, die die gesamte Sicherheitslage des Unternehmens verbessern.
Mehr zu SIEM:
- ArcSight vs. Splunk? Warum möchten Sie möglicherweise beide
- Bewertungskriterien für SIEM
- SIEM: 14 Fragen, die Sie vor dem Kauf stellen müssen
- Grundlagen der Protokollverwaltung
- SIEMs -as-a-Service erfüllt die Anforderungen kleiner, mittelständischer Unternehmen