Click here to load reader

Der Leitfaden für SIEM-Käufer - Splunk ... Unternehmen. Das einfache Melden und Monitoring von Log- und Sicherheits-Events reicht da nicht mehr aus. Die Sicherheitsexperten brauchen

  • View
    0

  • Download
    0

Embed Size (px)

Text of Der Leitfaden für SIEM-Käufer - Splunk ... Unternehmen. Das einfache Melden und Monitoring...

  • LEITFADEN FÜR KÄUFER

    !!

    !!

    !

    !

    DER LEITFADEN FÜR SIEM-KÄUFER Das Wer, Was, Wo, Wann und Warum rund um den Kauf einer analysegestützten Sicherheitslösung

  • 2Der Leitfaden für SIEM-Käufer

    LEITFADEN FÜR KÄUFER

    1. Was ist eine SIEM-Lösung? 3 a) Die Entwicklung von SIEM 4

    b) Herkömmliche SIEMs sind in der Vergangenheit verhaftet 4

    c) Die Alternative: eine analysegestützte SIEM-Lösung 5

    d) Verlagern der SIEM-Lösung in die Cloud 6

    e) SIEM-Anwendungsfälle 6

    f) Brauchen Sie wirklich eine SIEM-Lösung? 7

    2. Die SIEM-Kernfunktionen 8 a) Echtzeit-Monitoring 9

    Autodesk spart Zeit und Betriebskosten mit Splunk auf AWS

    b) Reaktion bei Incidents 10

    c) Benutzer-Monitoring 11

    d) Bedrohungsinformationen 12 Stadt LA integriert Austausch von Echtzeit-Sicherheitsinformationen

    e) Komplexe Analysen 13 Innovative, cloud-basierte SIEM-Verteilung liefert Equinix zuverlässige Security Intelligence

    f) Erkennung komplexer Bedrohungen 14 SAIC profitiert durch Transparenz und Bedrohungserkennung

    3. Die neun technischen Fähigkeiten moderner SIEM-Lösungen 15 a) Splunk als SIEM 15

    i. Erfassen von Logs und Events 16

    ii. Echtzeit-Anwendung von Korrelationsregeln 16

    iii. Echtzeit-Anwendung komplexer Analysen und Machine Learning 16

    iv. Langfristige historische Analysen und Machine Learning 16

    v. Langfristige Event-Speicherung 16

    vi. Suchen und Berichte zu normalisierten Daten 17

    vii. Suchen und Berichte zu Rohdaten 17

    viii. Erfassen von Kontextdaten für weitere Korrelationen und Analysen 17

    ix. Verwendung für nicht sicherheitsbezogene Anwendungsfälle 17

    4. Und nun zu Splunk 18 a) Splunk als SIEM 19

    b) Splunk UBA 20

    c) Der Splunk-ROI 20

    i. InfoTeK und Splunk bieten eine Security Intelligence-Plattform für die öffentliche Hand 21

    ii. Heartland Automotive schützt Ruf der Marke und sichert Daten mit Splunk-Plattform 21

    iii. US-Regierungsbehörde auf Kabinettebene spart $ 900.000 an Kosten für Wartung älterer Software 22

    d) Die Zukunft von SIEM 22

    INHALT

  • 3Der Leitfaden für SIEM-Käufer

    LEITFADEN FÜR KÄUFER

    Eine SIEM-Lösung (Security Information Event Management) ist wie ein Radarsystem,

    das von Piloten und Fluglotsen verwendet wird. Ohne sie befindet sich das IT-Team

    des Unternehmens im Blindflug. Sicherheitseinrichtungen und Systemsoftware

    sind zwar gut darin, isolierte Angriffe und anomales Verhalten zu erfassen und

    zu protokollieren, doch die ernsthaftesten modernen Bedrohungen sind verteilt,

    arbeiten über mehrere Systeme hinweg zusammen und setzen fortschrittliche

    Täuschungsmethoden ein, um eine Erkennung zu vermeiden. Ohne SIEM können

    Angriffe Wurzeln fassen und sich zu katastrophalen Incidents auswachsen.

    Die Bedeutung einer SIEM-Lösung für moderne Unternehmen wird durch die

    zunehmende Komplexität von Angriffen und die Nutzung von Cloud-Services, die die

    Angriffsfläche vergrößern, noch verstärkt.

    In diesem Leitfaden für Käufer möchten wir Ihnen erklären, was eine SIEM-Lösung ist,

    was sie nicht ist, wie sie sich entwickelt, was sie tut und wie Sie feststellen können, ob

    dies die richtige Sicherheitslösung für Ihr Unternehmen ist.

    Also, was ist eine SIEM-Lösung?

    Gartner definiert SIEM "als eine Technologie, die die Erkennung von Bedrohungen und die Reaktion auf Sicherheits-Incidents durch die Echtzeiterfassung und historische Analyse von Sicherheits-Events aus einer Vielzahl von Event- und kontextbezogenen Datenquellen unterstützt."

    1. WAS IST EINE SIEM-LÖSUNG?

    !!

    !!

    !

    !

    https://www.gartner.com/it-glossary/security-information-and-event-management-siem/

  • 4Der Leitfaden für SIEM-Käufer

    LEITFADEN FÜR KÄUFER

    Kann man das auch einfacher sagen? Kurz gesagt ist eine SIEM-Lösung eine Sicherheits- plattform, die Event-Logs einliest und eine Einzelsicht

    auf diese Daten mit zusätzlichen Einblicken bietet.

    Die Entwicklung von SIEM SIEM ist keine neue Technologie. Die grundlegenden SIEM-Fähigkeiten gibt es in gewisser Form bereits seit fast 15 Jahren.

    Im Laufe der Zeit wurden SIEM-Lösungen mehr und mehr zu einer Informationsplattform, ihre Nutzung wurde ausgeweitet und beinhaltete jetzt Compliance-Berichte sowie die Aggregation von Firewall-Logs und anderen Geräten. Doch die SIEM-Technologie war oft komplex und schwer zu optimieren – um Angriffe zu erkennen, mussten IT-Profis wissen, wonach sie suchten. Die Technologie war zu schwierig geworden und ließ sich nicht skalieren.

    Diese förderte die Entwicklung flexiblerer, benutzer- freundlicherer SIEM-Lösungen. Dies ist heute besonders wichtig, da Unternehmen Cloud-Lösungen einsetzen und der digitale Wandel jeden Aspekt unseres Lebens berührt.

    Deshalb ist es wichtig, den Unterschied zwischen älteren SIEMs und einer modernen, analysegestützten SIEM- Lösung zu verstehen, auf die wir später noch eingehen werden.

    Es ist aber auch wichtig, die Anwendungsfälle von SIEMs zu kennen und beurteilen zu können, ob das eigene Unternehmen wirklich eine SIEM-Lösung oder etwas anderes benötigt.

    Dies macht die Unterscheidung zwischen älteren SIEMs und modernen, analysegestützten SIEM-Lösungen notwendig.

    Herkömmliche SIEMs sind von gestern Es ist relativ einfach, einen Mechanismus zur Erfassung, Speicherung und Analyse von rein sicherheitsrelevanten Daten zu finden. Es gibt auch ausreichend Möglichkeiten zur Datenspeicherung. Es ist jedoch eine ganz andere Sache, sämtliche sicherheitsrelevanten Daten zu sammeln und sie in verwertbare Informationen umzuwandeln.

    Viele IT-Teams von Unternehmen, die in SIEM-Plattformen investiert haben, mussten diese einfache Wahrheit auf die harte Tour lernen. Nachdem eine beträchtliche Menge an Zeit und Geld für die Aufzeichnung von Sicherheits-Events aufgewendet wurde, besteht das Problem darin, dass das Erfassen all dieser Daten lange gedauert hat und zudem das zugrunde liegende Datensystem, das zur Erstellung des SIEM verwendet wird, meist statisch ist.

    Schlimmer noch ist, dass die Daten, die zur Analyse zur Verfügung stehen, ausschließlich auf Sicherheits-Events basieren. Das macht es schwierig, Sicherheits-Events mit den Abläufen in der restlichen IT-Umgebung zu korrelieren. Wenn ein Problem auftritt, erfordert die Untersuchung eines Sicherheits-Events wertvolle Zeit, die die meisten IT- Organisationen nicht haben. Außerdem bieten ältere SIEM- Lösungen nicht die Geschwindigkeit, mit der Sicherheits- Events untersucht werden müssen. Der fortschreitende Trend zur Nutzung von Cloud-Services vergrößert die Bandbreite an Bedrohungsvektoren, und Unternehmen müssen die Benutzeraktivität, das Verhalten, den Anwendungszugriff über Clouds und Software-as-a-Service (SaaS) sowie lokale Services überwachen, um den vollen Umfang potenzieller Bedrohungen und Angriffe zu ermitteln.

    Die folgende Grafik erläutert einige der wichtigsten Einschränkungen älterer SIEM-Lösungen.

    Ältere SIEM-Lösungen – Probleme und Eigenschaften

    Kann erforderliche Daten nicht nutzen

    Nicht stabil

    Wartung und Betrieb sind schwierig

    Mangelnde Datenflexibilität

    Hohe Zahl von False Negatives und Positives

    Statische Workflows

    Kann moderne Bedrohungen nicht erkennen

    PROBLEM

    Erkennung, Untersuchung und Reaktion sind eingeschränkt

    Viele Ausfälle

    Komplexität und Mitarbeiter mit Fachwissen

    Schlechte Anpassung an kritische Fälle

    Belastung für das IT-Sicherheitsteam

    Eingeschränkt und wenig flexibel

    Risiko für das Unternehmen

    AUSWIRKUNG

  • 5Der Leitfaden für SIEM-Käufer

    LEITFADEN FÜR KÄUFER

    Die Alternative: eine analysegestützte SIEM-Lösung Was die heutige Unternehmens-IT benötigt, ist eine einfache Möglichkeit, Informationen über alle sicherheitsrelevanten Daten hinweg zu korrelieren. Eine Lösung, mit der die IT das Sicherheitsniveau des Unternehmens aufrechterhalten kann. Anstatt Events nur zu beobachten, nachdem sie eingetreten sind, sollte eine IT-Organisation deren Auftreten voraussehen und in Echtzeit Maßnahmen zur Eindämmung von Schwachstellen ergreifen können. Dazu benötigen Unternehmen eine analysegestützte SIEM-Plattform.

    Hier liegt der Unterschied zwischen älteren SIEMs und modernen Lösungen. Nach Angaben von Gartner besteht der Unterschied darin, dass "moderne SIEM-Lösungen mehr als nur Logdaten nutzen und mehr als nur einfache Korrelationsregeln zur Datenanalyse einsetzen."

    An diesem Punkt sollten wir uns einer speziellen Art moderner SIEM-Lösungen zuwenden, der so genannten analysegestützten SIEM-Lösung. Diese moderne Lösung ermöglicht IT-Teams das Echtzeit-Monitoring auf Bedrohungen sowie die schnelle Reaktion bei Incidents, sodass Schäden vermieden oder begrenzt werden

    können. Allerdings kommen nicht alle Angriffe von außen: Die IT braucht Möglichkeiten für das Monitoring der Benutzeraktivität, um die Risiken durch Insider- Bedrohungen oder unbeabsichtigte Kompromittierung zu minimieren. Threat Intelligence ist von entscheidender Bedeutung, um die breiter gefasste Bedrohungslandschaft zu verstehen und diese Bedrohungen für das Unternehmen in Kontext zu setzen.

    Ein analysegestütztes SIEM muss hervorragende Security Analytics bieten

Search related