zurück
  • Enterprise
    • Consulting
    • Communication Solutions
      • Office 365
      • VoIP
      • Messaging
    • IT Security Solutions
      • Security Awareness
      • Security Posture
      • Security Prevention
      • Security Operation Center
    • IT Infrastructure
      • Datacenter
      • Strategy Consulting
      • Implementation
      • Hybrid Cloud
    • Fiber Internet & Intelligent Networks
      • Connectivity
      • Networking
    • Smart Business Solutions
      • Business Applications
      • Application Development
      • IT Solutions für die Landwirtschaft
    • Cloud & Modern Workplace
      • Modern Workplace
      • Idea Hub
  • Business
    • Beratung
    • Kommunikationslösungen
      • Office 365
      • VoIP
      • Messaging
    • IT-Sicherheitslösungen
    • IT-Infrastrukur
      • Datacenter
      • Implementation
      • Business Continuity
    • Internetanbindungen & Intelligente Netzwerke
      • KON Fiber Pro
      • KON VDSL Pro
      • KON ADSL Pro
      • KON RadioFiber Pro
      • SD-WAN
      • Private WAN
      • Intelligente Netzwerke
      • Fallback
    • Intelligente Business-Lösungen
      • Intelligente Lösungen
      • Web & App Development
    • Cloud & Modern Workplace
      • Moderner Arbeitsplatz
      • Idea Hub
  • Privat
    • Internetanbindungen
      • KON Fiber Easy
      • KON VDSL Easy
      • KON ADSL Easy
      • KON RadioFiber Easy
    • Kommunikationslösungen
    • Sicherheitslösungen
    • Smart Home
  • Service & Support
    • Anleitungen
    • Tipps & Tricks
    • Service-Anwendungen
    • Speed Test
    • Domain-Check
    • Warenrückgabe
  • Das Unternehmen
    • Management
    • Unternehmenspolitik
    • Partner, Kompetenzen & Zertifizierungen
    • Testimonials & Referenzen
    • News
    • Presse & Medien
  • Jobs
  • Kontakt
  • Login Kundenportal
  • Login Web Mail
  • Login PEC Mail
  • Login KON Voice
  • Login Kon secure
  • Login SMS
  • Login Online Banking
  • Login Partnerbereich
Login
Login
Shop
Jobs
Newsletter
Search
Home
Italiano
KONVERTO
  1. IT-Servicepartner
  2. Das Unternehmen
  3. News
  4. Detail
Security

SIEM - wie alles begann

SIEM - Security Information and Event Management - hat sich von einer einst neuen, revolutionären Sicherheitstechnologie zur aktuellen Benchmark der Sicherheitsbranche entwickelt.

Was ist SIEM?
SIEM ist eine Security-Software, die Sicherheitswarnungen und Daten, die von Endgeräten in einem Netzwerk erzeugt werden, in Echtzeit analysiert. Unternehmen verwenden SIEM-Tools, um Sicherheitsvorfälle zu identifizieren, Sicherheitsdaten zu protokollieren, Vorfallsreaktionen zu verwalten und Berichte zur Einhaltung von Vorschriften zu erstellen. SIEM kombiniert Security Information Management (SIM), ein System der ersten Generation, das Langzeitspeicherung, Analyse und Berichte von Protokolldaten verwendet, und Security Event Management (SEM), ein System der zweiten Generation, das die Korrelation von Ereignissen, Benachrichtigungen, Echtzeitüberwachung und Konsolenansichten beinhaltet. Das Akronym SIEM wird "sim" mit einem stillen e ausgesprochen. Die Grundprinzipien eines jeden SIEM-Systems sind die Zusammenführung relevanter Daten aus verschiedenen Quellen, die Identifizierung von Norm-Abweichungen und das Ergreifen geeigneter Maßnahmen. Die ersten kommerziellen-SIEM-Produkte wurden vor knapp zwanzig Jahren, etwa zu Beginn des Jahrhunderts, eingeführt. Um zu verstehen, wie sich die Technologie zum neuen Benchmark der Sicherheitsbranche entwickelt hat, lohnt es sich, einen Blick zurück auf ihre Anfänge zu werfen.

 

Die Anfänge von SIEM

Um 1999 wurden die ersten SIEM-ähnlichen Tools entwickelt. Damals war eintscheiden, dass sich die wichtigsten Fähigkeiten einer SIEM-Plattform darauf stützten, effektiv zu skalieren. 

 

SIEM 1.0 - circa um 2006

Mit der Einführung der ersten Generation von SIEM-Plattformen begann nichts weniger als eine komplett neue Ära in der Datensicherheitsbranche. Erstmals kombinierten Hersteller Security Event Management mit Security Information Management. Diese frühen SIEM-1.0-Plattformen boten zwar einen revolutionären Ansatz für die Sicherheit, hatten jedoch eine Achillesferse: sie konnten nur vertikal skaliert werden, was sich alsbald als limitierender Faktor erwies.
Aber die Skalierbarkeit war nicht der einzige limitierende Faktor. Das Erhalten von Daten in und aus dem SIEM war eine große Herausforderung. Dashboards und Berichte waren rudimentär und Warnmeldungen von sehr einfacher Natur, mit sehr wenig Feed-Korrelationen oder Möglichkeiten, sie mit weiteren Informationen anzureichern.
Die Zeit der ersten Generation von SIEM endete gegen 2011, als immer mehr Hardware für den Umgang mit Workloads benötigt wurde. Diese Hardware-gebunde Skalierung ging circa zu dieser Zeit zu Ende, als SIEM schließlich I/O-gebunden wurde.

 

SIEM 2.0 - circa um 2011

Die zweite Generation von SIEM stellte eine deutliche Verbesserung dar, war aber immer noch fehlerhaft. Der Hauptunterschied zu SIEM 1.0 lag in der Art und Weise, wie es skaliert wurde. SIEM 2.0 verzichtete auf eine zentralisierte Datenbank und verwendete stattdessen große Datenmengen für die horizontale Skalierung. Darüber hinaus bedeutete die horizontale Skalierung, dass dem System Hardware mit niedrigerer Spezifikation hinzugefügt werden konnten. So war es ohne Einschränkungen skalierbar und die doppelte Anzahl von Servern bedeutete etwa die Verdoppelung der Daten oder die doppelte Leistung.
SIEM 2.0 ermöglichte zudem ein besseres Reporting und Dashboards sowie die Möglichkeit, erstmals auch historische Daten abzufragen. Mit SIEM 1.0 waren lange Zeiten für Datenspeicherung irrelevant, da die Technologie die Daten effektiv ohnehin nicht länger als ein paar Wochen abfragen konnte. Die größere Datenarchitektur von SIEM 2.0 ermöglichte es, Daten über viel längere Zeiträume abzufragen und Antworten in angemessener Zeit zurückzubekommen.
War die Skalierbarkeit das größte Geschenk von SIEM 2.0, wurde dies schlussendlich zum größten Fluch. Nicht nur, weil sie nicht gut funktionierte, sondern weil das Problem einfach weiter unten in die operative Pipeline verlagert wurde. Vor SIEM waren die Sicherheitsexperten im Wesentlichen blind und konnten nicht sehen, was in ihren eigenen IT-Umgebungen geschah. Die erste Generation von SIEM gab ihnen den Blick frei, aber die zweite Generation nahm ihn wieder weg, indem sie mehr Daten präsentierte, als es möglich war zu verarbeiten. SIEM 2.0 scheiterte auch an Innovationen in Bezug auf die Warnaspekte von SIEM, so dass die Teams auf vorkonfigurierte Warnungen angewiesen waren, die bestenfalls mit nur wenigen Elementen korrelierten.

 

SIEM 3.0 - ca. 2015 bis heute

Die dritte Generation von SIEM bedeutet eher radikale Revolution statt Evolution. Die Revolution bestand vornehmlich darin, dass erstmals Algorithmen des Maschinellen Lernens Einzug hielten und die Fähigkeiten für Analytik radikal verbesserten. Der große Unterschied von SIEM 3.0 war der Schritt weg von vorkonfigurierten Alarmen hin zu einem risikobasierten Ansatz. Warnmeldungen waren vor der Ankunft von SIEM 3.0 zwar bereits wertvoll, basierten jedoch nur auf einfachen, vorab bekannten Fakten. Im modernen Sicherheitsmanagement werden Teams heute jedoch auch mit bisher unbekannten Zero-Day-Bedrohungen konfrontiert. Die neue, analysebasierte Sicherheitsüberwachung von SIEM 3.0 wendet statistische Techniken auf Datenmengen an, um Betriebsmodelle zu erstellen, die die Grundlage für jeden einzelnen Benutzer und jede einzelne Einheit in einer Umgebung bilden. Diese Technik wird als User- und Entity-Verhaltensanalyse (UEBA) bezeichnet. In einem UEBA-System ermöglicht eine Baseline die Festlegung eines „normalen Verhaltens" in einer Umgebung. Alle zukünftigen Abweichungen von dieser Basislinie führen dann zu Risiken für Benutzer und Systeme. So können sich die Sicherheitsteams auf diese tatsächlichen Risiken konzentrieren.
Verlassen sich Sicherheitsteams weiterhin auf alarmbasierte SIEM-2.0-Technologie, sieht die Realität so aus, dass die Sicherheitsanalysten kaum mehr tun, als False Positives abzuarbeiten. Dies liegt an der Tatsache, dass Risiken mit dieser unvollendeten Technologie meist erst erkannt werden, wenn die Kill-Chain bereits abgeschlossen ist. In einer Welt, in der die Gefahren ständig steigen und mit zunehmender Größe sogar die Existenz ganzer Unternehmen gefährden, kann eine solch ineffektive Lösung nicht mehr mit gutem Gewissen eingesetzt werden.

 

Fazit

Die neueste Generation von SIEM, die auf Maschinelles Lernen und einen risikobasierten Ansatz mit einer User- und Entity-Verhaltensanalyse setzt, stellt derzeit den Goldstandard für Sicherheitslösungen im Unternehmen dar. Unternehmen, die noch immer auf ältere Lösungen der zweiten Generation setzen, sollten sich mit den damit verbundenen Gefahren auseinandersetzen und sich die Möglichkeiten der neuesten Generation von SIEM genau ansehen. Wer weiß, was SIEM 4.0 bringen wird, aber bis zu seiner Ankunft ist SIEM 3.0 zweifellos die Basistechnologie eines modernen effektiven Security Operations Center (SOC).

(Quelle: SecurityInsider)

Wir sind Experten für innovative Security-Lösungen.

Gemeinsam mit unserem Secrity-Partner Fortinet setzen wir auf innovative und ganzheitliche Sicherheitssysteme. SIEM und NAC sorgen für mehr Kontrolle und schützen Unternehmensnetze maßgeblich vor Sicherheitsbedrohungen.

Vertrauen Sie uns! Gerne sind wir für Sie da: 800 031 031 oder info(at)konverto.eu.

Verwandte Nachrichten

  • 10.09.2019 Gut und Böse unterscheiden - NAC und SIEM machen's möglich!
Zurück
Shop
Jobs
SUPPORT
Newsletter
SUPPORT
SUPPORT
SUPPORT

Wie können wir Ihnen
behilflich sein?

Rufen Sie uns an,
oder schreiben Sie uns.
Quicklinks
  • Info Center
  • Downloads
  • Anleitungen
  • Kontaktformular
  • Team
✕
Mail
Mail
info@konverto.eu
Telefon
Telefon
+39 0471 064 500
Info Center 800 031 031
Adresse
Adresse
39100 Bozen
Bruno-Buozzi-Straße 8
Newsletter
Newsletter
Facebook Link Instagram Link Linkedin Link Google My Business Link Youtube Link
Verbraucherinfos
Impressum
Datenschutz
Sitemap
© KONVERTO AG 2024 | MwSt.-Nr. 02254110212