Meinung: Im Trend: Security Event Information Management

Da so viele Systeme überwacht und kontrolliert werden müssen, haben die Unternehmen hoch fragmentierte Umgebungen für ihre IT-Kontrollen entwickelt. Sicherheitsbeauftragte müssen sich auf der Suche nach Angriffen, Bedrohungen und Schwachstellen, die sofortiges Eingreifen erfordern, teilweise durch Hunderttausende oder sogar Millionen von Aufzeichnungen arbeiten.
Dazu kommen Vorschriften und Bestimmungen in Nordamerika und Europa, die die Speicherung solcher Daten über immer längere Zeiträume bis zu vielen Jahren verlangen. Für Kontroll-Tests und Nachforschungen müssen Daten heute problemlos zugänglich sein. Dadurch entsteht ein doppelter Bedarf: Ereignisdaten müssen praktisch in Echtzeit analysiert werden, um Sicherheitsprobleme frühzeitig zu erkennen und zu beheben, gleichzeitig müssen die Protokolldateien und Rohdaten für die Nachprüfung archiviert werden.
SEIM-(Security-Event-Information-Management)-Tools werden ständig weiter entwickelt, um die riesigen Datenmengen, die von Netzwerk- und Systemkomponenten erzeugt werden, immer besser zu bewältigen. Zwar gibt es SEIM-Produkte schon seit vielen Jahren auf dem Markt, die Lösungen sind jedoch durch die dringende Nachfrage nach Ereignisanalyse und Archivierung jetzt verstärkt gefragt. Darüber hinaus bemängeln Auditoren oft die fehlende zentrale Kontrolle und Überwachung in regulierten Branchen, was die Auswahl und Installation von SEIM-Produkten ebenfalls fördert. Durch Standardisierung und Korrelation von Sicherheitsdaten in Peripheriesystemen wie Firewalls, IDS und Routern ebenso wie in internen Systemen wie Datenbanken, Anwendungen und Identity-Management-Servern erkennen SEIM-Tools Angriffe, Bedrohungen und Schwachstellen, auf die der Sicherheitsadministrator entsprechend reagieren kann. SEIM-Hersteller sind sowohl eingeführte Systemmanagement- und neue Pure-Play-Hersteller als auch Managed-Security-Service-Provider (MSSPs).
In den letzten zwei Jahren wurden SEIM-Lösungen in mehrfacher Hinsicht verbessert. Die Hersteller haben die Grenzen der rein auf Echtzeit basierten Korrelatoren und spezialisierter Protokollarchivierungsplattformen erkannt und sich verstärkt auf die Entwicklung von Produkten mit einem breiter gefächerten Einsatzspektrum konzentriert, die Langzeitereignisdaten speichern, Echtzeitanalysen zur Problemerkennung durchführen und auf Regelverletzungen oder Sicherheitsverstöße reagieren können. Durch die Ergänzung mit Mustervorlagen für gängige Standardvorschriften und Kontrollverfahren wie Sarbanes-Oxley und ISO 17799 können die SEIM-Hersteller Unternehmen einen beträchtlichen Vorteil anbieten: Sie zeigen ihre interne Kontrolle und verdeutlichen die Effizienz ihrer Sicherheitssysteme.
Leider sind aber immer noch Mängel in der SEIM-Entwicklung vorhanden. Obwohl die Hersteller neue Produkt architekturen zur Verbesserung der Gesamtleistung der SEIM-Lösungen entwickelt haben, sind die meisten Systeme den großen Datenmengen eines Unternehmens weiterhin nicht gewachsen. Ein Vergleich zwischen Produkten ist auf Grund fehlender Normen und Messwerte extrem aufwändig. Besonders beunruhigend ist die Tatsache, dass SEIM-Hersteller mit ihren Produkten auf eine Art »Manager der Manager« hinarbeiten, der direkt im Bereich des Sicherheitsmanagements der Unternehmen angesiedelt ist. Dies würde die Unabhängigkeit von SEIM als einem wichtigen Feedback- und Überwachungs-Tool im Unternehmen aufweichen. Die Burton-Gruppe rät Herstellern und Firmen dringend davon ab, ihre SEIM-Tools in dieser Weise einzusetzen. Separate zentrale Policy-Management-Konsolen sind der geeignete Platz für die Verwaltung und Kontrolle der Daten eines Unternehmens. SEIM-Produkte können dagegen gut für die Überwachung geltender Kontrollverfahren und Sicherheitsverstöße innerhalb des Unternehmens und für die Pflege eines zentralen Archivs für sicherheitsrelevante Daten genutzt werden. Trent Henry ist leitender Analyst der Abteilung »Security and Risk Management Strategies« der Burton-Gruppe.