Suchen

SIEM as a Service und Threat Intelligence Networks Sicherheitsanalysen aus der Cloud

Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Stephan Augsten

Sicherheitsanalysen können nicht nur mit Daten aus der Cloud angereichert werden, sie können auch vollständig in der Wolke ablaufen. SIEM aus der Cloud senkt die Eintrittsbarrieren für kleine und mittlere Unternehmen und macht die Security Intelligence noch schlauer.

Firmen zum Thema

Bei Cloud-basierter Security Intelligence profitieren die Kunden von den „Erfahrungen“ anderer.
Bei Cloud-basierter Security Intelligence profitieren die Kunden von den „Erfahrungen“ anderer.
(Bild: freshidea - Fotolia.com)

Umfragen zeigen, dass viele Unternehmen darauf verzichten, die Ausrichtung und Priorisierung ihrer IT-Sicherheitsmaßnahmen auf aktuelle und individuelle Sicherheitsanalysen zu stützen, sie setzen noch keine SIEM-Lösung ein. Dahinter steckt aber keine Gleichgültigkeit gegenüber der Bedrohungslage, sondern mangelnde Aufklärung über die Bedeutung von SIEM und die Schwierigkeit, selbst ein SIEM-System aufzusetzen.

Bildergalerie

Security Intelligence wird immer häufiger als Cloud-Service angeboten. Das Spektrum an Services beginnt bei der Erweiterung der lokalen Sicherheitsinformationen und Sicherheitsanalysen durch Security Intelligence oder Threat Intelligence Networks. Unternehmen, die sicherheitsrelevante Informationen aus diesen Networks beziehen, liefern in aller Regel im Gegenzug selbst Sicherheitsdaten an das jeweilige Netzwerk zurück.

Die teilnehmenden Unternehmen sind gleichzeitig Empfänger und Sender von Sicherheitsinformationen. Die überwachten IT-Systeme bilden die Gefahrensensoren des Security Intelligence Networks und werden im Gegenzug vor den Bedrohungen gewarnt, die bei anderen Teilnehmern sichtbar werden.

Beispiele für Threat oder Security Intelligence Networks sind BT Assure Threat Monitoring-Service, BrightCloud IP Reputation Service, Check Point ThreatCloud Managed Security Service, Cisco Cognitive Threat Analytics, Dell SecureWorks Advanced Endpoint Threat Detection,, Panda Advanced Protection Service oder Trustwave Threat Correlation Service.

Security Intelligence Networks zuerst unter die Lupe nehmen

Welches Security Intelligence Network zum eigenen Unternehmen passt, kommt insbesondere auf die verfügbaren Schnittstellen und Formate an, denn die aus dem Netzwerk gelieferten Datenströme, Security Intelligence Feeds genannt, müssen sich im eigenen SIEM-System einlesen lassen. Unterschiede gibt es auch in der Zahl der Teilnehmer und damit in der Datenbasis sowie in den Dashboards und Reportings, die die Sicherheitsanalysen den Nutzern präsentieren.

Viele dieser cloudbasierten Dienste bieten einen Testzugang, der in jedem Fall bei der Lösungssuche genutzt werden sollte. Einer Prüfung unterziehen sollte man auch die jeweilige Datenschutzerklärung, um zu erfahren, welche Art von Daten bei den Teilnehmern erhoben und wie diese genau verwendet wird. Nutzerdaten sollten in jedem Fall nur anonymisiert in die zentraten Sicherheitsanalysen einfließen.

Nur Management oder SIEM aus der Cloud

Unternehmen können sich auch dafür entscheiden, ein lokales SIEM-System über die Cloud verwalten und pflegen zu lassen. Managed SIEM wird von zahlreichen Dienstleistern angeboten, darunter auch SIEM-Anbieter wie IBM, HP und Trustwave.

Bildergalerie

Während SIEM-Anbieter in aller Regel das Management ihrer eigenen SIEM-Lösung anbieten, offerieren ausgesprochene Managed Security Provider teils auch die Verwaltung von SIEM-Lösungen nach Wahl. Unternehmen, die bereits ein SIEM-System für interne Sicherheitsanalysen einsetzen und Unterstützung bei der Administration und Wartung suchen, finden dort also Hilfe.

Möglich ist es aber auch, ein Security Information and Event Management komplett aus der Cloud zu beziehen. Das Anwenderunternehmen erhält bei SIEM as a Service alle Warnungen und Berichte auf definierten Wegen, wie zum Beispiel als E-Mail an den internen IT-Administrator.

Dabei sollte man allerdings darauf achten, dass die SIEM-Meldungen aus der Cloud das Unternehmen auch auf sicherem Weg erreichen, also nicht durch Unbefugte eingesehen oder manipuliert werden können. Sonst könnten gefährliche Einsichten in Schwachstellen möglich werden oder die Unterdrückung einer wichtigen Sicherheitsmeldung. Zusätzlich zu den Meldungen stehen den internen Administratoren in der Regel Web-Zugänge zu SIEM-Portalen zur Verfügung, in denen sich Dashboards abrufen und individuelle Berichte generieren lassen.

Auch SIEM as a Service stellt Anforderungen an die Anwender

Angebote für SIEM aaS gibt es inzwischen reichlich, auch wenn sie nicht immer so heißen, wie zum Beispiel die Services von Alert Logic, CloudAccess, Controlware, iT-CUBE SYSTEMS, NCT, NTT Com Security, terralink networks, UBIQUE Technologies oder Virtela. Um sich für einen SIEM-Service entscheiden zu können, sollten potenzielle Anwenderunternehmen nicht nur hinterfragen, welche SIEM-Technologie genau dahintersteckt, also in den Rechenzentren der Provider betrieben wird. Auch die Frage nach den angebotenen Service Levels, den Support- und Hotline-Zeiten und den Datenschutzvorkehrungen sollte nicht fehlen.

Wichtig ist es auch zu klären, wie die sicherheitsrelevanten Daten auf Seiten des Nutzers eingesammelt werden, um sie in der Cloud auszuwerten. In der Regel kommen hier spezielle Datensammler zum Einsatz, die gewisse Systemvoraussetzungen haben, also nicht für jedes Betriebssystem und Gerät verwendet werden können.

Gleichzeitig bleibt der Punkt zu klären, welche Datenquellen ausgewertet werden können und in welchen Datenformaten. Ganz ohne Vorbereitung und Aufwand auf Seiten des Anwenderunternehmens ist ein Security Service auch im Fall von SIEM nicht zu haben.

Fazit

Ob lokal installiert und selbst betrieben, nur eigens verwaltet oder als Service: Die Frage, ob ein SIEM-System genutzt werden soll, sollte immer bejaht werden, um den komplexen Bedrohungen die richtigen Abwehrmechanismen entgegen setzen zu können.

* Der Autor: Oliver Schonschek, Dipl.-Phys., ist IT-Fachjournalist und IT-Analyst. Sein Fokus liegt auf Sicherheit und Datenschutz in IT-Bereichen wie Cloud Computing, Mobile Enterprise, Big Data und Social Enterprise.

Artikelfiles und Artikellinks

(ID:43800530)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research