English

Big Data und IT-Sicherheit – SIEM als Auswertungshilfe

Business infographic icons set. Illustration eps10

von VPNHaus | 03.02.2016 |Cybersecurity Strategy, IT policy


In den letzten Jahren wird auch im Bereich der IT-Sicherheit ein Überblick über die Datenflut immer schwieriger – Big Data und die Analyse von Informationen sind hier eine bestimmende Thematik. Die Zahl an Nutzern und Endgeräten sowie die Anzahl der Anwendungen und damit verbundene Protokolldaten nehmen stetig zu. Gleichzeitig gehen Angreifer heutzutage professioneller und raffinierter vor, auch sie passen sich den Gegebenheiten permanent an. Hieraus ergibt sich ein völlig neuer Level an Risiken und Anforderungen für die IT-Sicherheit in Unternehmen.

Meist liegen mehr als genug sicherheitsrelevante Daten vor, die Informationen über erfolgte Angriffe und mögliche Sicherheitslücken enthalten. Über zahlreiche Quellen wie Netzwerkkomponenten, Speichersysteme oder Applikationen stehen riesige Datenmengen zur Verfügung. Die Bedrohungen sind durchaus ernst zu nehmen, allerdings werden Angriffe meist zu spät oder gar nicht entdeckt, weil die Daten unstrukturiert vorliegen. Eine effiziente Auswertung und Interpretation der Informationen mit möglichst zeitnaher Reaktion ist ohne spezielle Lösungen fast unmöglich.

Abhilfe versprechen hier SIEM-Systeme (Security Information und Event Management) zur besseren Analyse und Verwaltung von Angriffsindikatoren. Aus allen gesammelten Daten werden Zusammenhänge zwischen einzelnen Ereignissen hergestellt und als Warnungen und Berichte nach definierten Richtlinien an Empfänger wie IT-Administratoren ausgegeben. Dies dient der Erfüllung von Compliance-Anforderungen und erleichtert die Dokumentation und Archivierung von sicherheitsrelevanten Vorfällen. Sogar automatisierte Reaktionen können abgeleitet und festgelegt werden, um Angriffen möglichst schnell zu begegnen.

SIEM und Remote Access

Ein spezieller Bereich, der wie kaum ein anderer mit dem Thema IT-Sicherheit verknüpft ist, sind externe Zugänge zum Firmennetzwerk. Über Remote Verbindungen versuchen Angreifer Zugriff auf Firmendaten zu erlangen. In Form von Nutzer- oder Zugriffsdaten aus Logdateien und Protokollen stehen Unternehmen zahlreiche Informationen zur Verfügung, die Rückschlüsse auf versuchte oder erfolgte Angriffe zulassen.

Auswertungen über misslungene Anmeldeversuche oder verdächtige Datenströme im Netzwerk könnten beispielsweise helfen solche Fälle aufzudecken und zu verhindern. Ziel ist es, Fehlerquellen und Schlupflöcher beim Zugang über VPN oder RDP zu minimieren und zu gewährleisten, dass nur autorisierte Nutzer ins Netzwerk gelangen – mit sicheren Authentisierungsmethoden und geschützten Endgeräten auf dem aktuellsten Sicherheitsstand.

Dazu müssen alle VPN-Komponenten ihre Log-Daten strukturiert an das SIEM-System übergeben. Ob die VPN-Komponente dann selbst bei Auffälligkeiten die Remote Verbindung trennt oder dies vom SIEM-System übernommen wird spielt keine Rolle.

Diese Webseite verwendet Cookies

Wir verwenden Cookies, um Inhalte zu personalisieren und die Zugriffe auf unsere Website zu analysieren. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

OK