Threat Intelligence-as-a-Service macht SIEM für KMU möglich

Mehr als je zuvor werden Unternehmen von Cyberkriminellen ins Visier genommen. Laut den jüngsten Statistiken von Symantec erfolgten 52,4 % der Phishing-Attacken im Dezember 2015 gegen kleine und mittlere Unternehmen (KMU). Im Monat zuvor wurde sogar ein noch höherer Spitzenwert verzeichnet. Diese Situation zwingt Unternehmen sämtlicher Größenordnungen, die Sicherheit ihrer Netzwerke sowie ihre mobile Sicherheit zu erhöhen. Ganz oben auf der Liste der Verbesserungen steht unter anderem das Bedürfnis nach leistungsfähigerer Threat Intelligence und Endpoint Security.

Ein wertvolles Tool zur Bedrohungsanalyse in diesem Zusammenhang sind SIEM-Systeme (Security Information and Event Management). Hier werden Bedrohungsinformationen mittels der von verschiedenen Applikationen und Geräten protokollierten Aktivitäten gesammelt. Diese Protokolle werden dann zu Threat Intelligence Reports (Bedrohungsberichten) zusammengeführt, anhand derer Anzeichen für nicht autorisierte Vorgänge erkannt werden können. Aufgrund ihrer Komplexität schienen SIEM-Systeme noch bis vor kurzem ausschließlich für Großunternehmen geeignet, welche über die zur Aufrechterhaltung solcher Systeme erforderlichen großen Budgets und Ressourcen verfügen.

Zu den etablierten Lösungen auf dem SIEM-Markt gehören HP ArcSight, IBM QRadar, LogRhythm, McAfee ESM, Solarwinds und Splunk, die jedoch alle gleichermaßen kritisiert werden. IT-Experten, die diese Systeme häufig nutzen, beklagen sich über die Fülle der von SIEM produzierten Daten. Aufgrund der Datenflut sei es Ihnen unmöglich, direkt zu erkennen, welche Berichte möglicherweise eine aktuelle Bedrohung beinhalten. Dass es hier zu Verzögerungen kommt, wurde auch im ClearSwift’s Insider Threat Index von 2015 herausgestellt. Laut diesem lag die durchschnittliche Zeit für das Entdecken ungewöhnlicher Netzwerkaktivitäten bei sieben Stunden. Des Weiteren handelt es sich um sehr technische Berichte. Diese müssen für Mitarbeiter, die nicht in der IT zu Hause sind, umgeschrieben werden. Das wiederum erfordert zusätzlich Zeit und Geld.

Mittlerweile sind jedoch verschiedene Cloud-basierte Alternativen wie etwa ControlCase oder Trustwave verfügbar. Sie ermöglichen kleineren Unternehmen den Zugriff auf SIEM-ähnliche Funktionen, allerdings deutlich vereinfacht und gegen ein nutzungsabhängiges Entgelt. Mit integrierten Best-Practice-Vorlagen und anpassbaren Management-Dashboards bieten diese Software-as-a-Service-Lösungen (SaaS) den Nutzern eine übersichtliche Echtzeit-Momentaufnahme von risikoreichen Schwachstellen. Darüber hinaus verschaffen sie KMU einen Einstieg in die allgemeine Threat Intelligence.

Für KMU, die ihren Mitarbeitern Zugriff von deren eigenen Mobilgeräten auf Unternehmensressourcen und -anwendungen ermöglichen, ist eine solche Übersicht wichtig. Solange keine ausreichenden Sicherheitsmaßnahmen vorhanden sind, um den Zugriff auf das Unternehmensnetzwerk zu schützen, bleiben BYOD-freundliche Unternehmen verwundbar. Durch die Integration eines VPNs, welches eine Qualitätsanalyse von SIEM-Daten ermöglicht, kann die Netzwerkszugangskontrolle hingegen rasch verbessert werden.

Ein VPN gestattet nur autorisierten Benutzern und Geräten mit sicheren Authentifizierungsdaten den Zugriff auf Netzwerk-Ressourcen. Sämtliche Verbindungen werden protokolliert. Dies liefert strukturierte Daten, anhand derer festgestellt wird, ob Endpunkt oder Netzwerk durch unberechtigte Nutzer gefährdet wurden. Ein VPN mit aktivem SIEM unterstützt IT-Experten bei der Bestimmung der Hauptursache eines verdächtigen Verhaltensmusters oder Angriffs.

Anders als andere VPN-Verbindungen reduziert NCPs zentralisierte Managementfunktion darüber hinaus die Risiken beim Remote Access. Dabei ergeben sich zahlreiche Vorteile, unter anderem:

• Single Point of Administration: IT-Administratoren wird die zentrale Verwaltung von Verbindungen ermöglicht. Auf diese Weise wird das Netzwerk bei der Expansion der Unternehmen und der steigenden Anzahl der Nutzer und Endgeräte niemals zu komplex, um es sicher und effizient zu betreiben.
• Produktivitätssteigerungen: Die Automatisierung vieler täglich anfallender Routineaufgaben reduziert Nutzerfehler, vereinfacht Aktualisierungen und ermöglicht es den IT-Mitarbeitern, sich mehr auf unternehmerische Innovationsvorhaben zu konzentrieren.
• BYOD-Unterstützung: Die Unterstützung einer Vielzahl verschiedener Mobilgeräte und der neuesten Betriebssysteme ermöglicht Unternehmen ohne offizielle Bring-Your-Own-Device (BYOD)-Politik die Einführung einer solchen Politik.
• Kosteneinsparungen: Die Automatisierung vieler manueller Aufgaben reduziert den Helpdesk-Aufwand.
• Investitionsschutz bei einer bestehenden Infrastruktur: Die Möglichkeit zur Integration in eine bestehende Infrastruktur trägt dazu bei, dass zuvor getätigte Investitionen in Software oder Hardware anderer Hersteller nicht vergeudet werden.
• Sicherer, Cloud-fähiger Zugriff: Managed Service Provider können VPN als Service anbieten und damit für umfangreiche Endpoint Security sorgen.

Eine Kombination aus SIEM-Systemen und Network Access Control mittels VPN-Anwendung kann täglich aufkommende Sicherheitsbedrohungen – insbesondere angesichts der zunehmenden Mobilität der Mitarbeiter – erheblich mindern beziehungsweise komplett verhindern. Mit SIEM und VPNs verfügen Unternehmen, speziell KMU, nun über Tools für ein vorausschauendes Management und eine zielgerichtete Überwachung von Phishing, Malware und anderen bedrohlichen Vorgängen.