Logrhythm arbeitet an SIEM 2.0
Der Wert der Logdateien
Die meisten IT-Systeme liefern ausreichend Daten, um damit die Sicherheit zu verbessern. Die Kunst dabei ist es, die wichtige Information daraus zu extrahieren, etwa durch intelligente Korrelationen. Das SIEM-Tool von Logrhythm soll diese Aufgabe unter anderem mit einer Big-Data-Analayse meistern.Sicherheitsgefahren für Unternehmen nehmen immer komplexere Formen an. Sie sind auf bestimmte Ziele ausgerichtet und mehrstufig aufgebaut (Advanced Persistent Threats). Punktuelle Sicherheitslösungen wie Antivirus, Intrusion Detection oder Firewalls schützen lediglich gegen gewisse Aspekte dieser Bedrohungen. Ohne eine Korrelation und Analyse von vielen, unter Umständen aufschlussreichen Daten aus unterschiedlichen Quellen lassen sich diese ausgeklügelten Angriffe nicht abwehren - in diesem Punkt sind sich die Analysten etwa von Gartner und auch Quocirca einig. Zu den Quellen, aus denen Aufklärungsdaten kommen könnten, gehören die Logdateien von Routern, Servern und sonstigen Endpunkten im Netzwerk, Informationen über die implementierten IT-Systeme, Daten zu den Anwendern und ihren Rechten und andere kontextabhängige Informationen. Für die erforderliche Datensammlung, -aufbereitung und -verarbeitung und bietet sich der Ansatz eines SIEM (Security Information and Event Management) an, dessen Einführung allerdings im Ruf stand, sehr komplexe Projektanforderungen mit sich zu bringen. Kamen diese Programme früher hauptsächlich zum Einsatz, um der Compliance Genüge zu tun, so wächst heute das Interesse der IT-Sicherheitsverantwortlichen daran. Viele der großen Anbieter haben auf die Nachfrage reagiert und passende Technik hinzugekauft, etwa IBM mit Q1 Labs, HP mit Arcsight oder McAfee mit Nitrosecurity. Daneben aber konnten sich auch "reine" SIEM-Anbieter etablieren. Logrhythm etwa hält die gleichnamige Plattform, die SIEM-Fähigkeiten mit einem Log-Management, Dateiintegritätsüberwachung und Monitoring der Host-Aktivitäten kombiniert, für eine geeignete Abwehrtechnik gegen die neuen Gefahren. Der Anbieter spricht von SIEM 2.0 und versteht darunter die Fähigkeit, große Datenmengen (Big Data) zeitnah zu analysieren und zu korrelieren, um daraus die richtigen Schlüsse zu ziehen. Zu den Informationen, die die Lösung verarbeitet, zählen alle Daten, die erst zum Zeitpunkt der Analyse entstehen, und große Mengen an bereits existierenden Log- und Event-Dateien (SNMP, Windows Events, Syslog, ODBC-Dateien etc.). Diese "rohen" Logs normalisiert die Lösung und reichert sie mit weiteren Metadaten an: Sie erhalten einen Zeit- und Ortsstempel, werden klassifiziert nach Relevanz für Sicherheit, Betrieb oder Audit und schließlich nach Priorität bewertet. Auf diese Weise sollen Anwender intelligente Suchläufe über die Daten durchführen können. Auch lässt sich ein File Integrity Monitoring hinzuschalten, das Änderungen an wichtigen Dateien mithilfe verschiedener Filter protokolliert. Der Vorteil laut Logrhythm: Durch die Korrelation mit anderen Logs können Sicherheitsverantwortliche potenziell schädliche Netzwerkaktivitäten aufdecken - etwa einen nicht autorisierten Zugang zu Dateien, Botnetz-verdächtiges Verhalten oder das Versenden von kritischen Informationen. Der eigentliche Nutzen eines SIEMs erschließt sich erst durch die Einblicke, die die Korrelation von IT-Intelligence-Daten ermöglicht. Dazu gehört es, Zusammenhänge zwischen scheinbar unverbundenen Events aufzudecken und Sicherheitsregeln für den Umgang mit Events automatisch und zeitnah durchzusetzen, indem die SIEM-Lösung existierende Logs, Aufzeichnungen vergangener Vorkommnisse und andere Informationen mit dem aktuellen Geschehen verknüpft. Bei Logrhythm übernimmt die so genannte Advanced Intelligence Engine (AI) diese Aufgabe. Sie arbeitet mit mehr als 100 vorkonfigurierten Regeln und bezieht für die Korrelationen die mit Metadaten angereicherten Informationen aus den Log- und Event-Management-Funktionen der hauseigenen Plattform mit ein. Dabei nutzt sie nicht nur die vorgefilterten Sicherheitsereignisse, sondern alle Logdaten, laut Hersteller ein Vorteil, den nur SIEM 2.0 mit der In-Memory-Analyse der AI Engine zu bieten hat. Mithilfe von statistischen und heuristischen Analysen sowie Verhaltens-Whitelisting soll die AI Engine auf Basis des Regelwerks das Erkennen von "normalem" beziehungsweise verdächtigen Verhalten (inkonsistente Zugriffsversuche, regelwidrige Datenbewegungen oder anomale Administratoraktivitäten) automatisieren. Um auch die mehrstufigen Angriffe erkennen zu können, ist die Fähigkeit des SIEM-Tools wichtig, aufeinander folgende verdächtige Vorfälle miteinander in Verbindung bringen zu können, um den gesamten Angriff zu verstehen. Smart Response Schließlich soll Smart Response bei erkannten verdächtigen Aktionen die adäquate Benachrichtigung einschließlich Reaktion liefern. Nicht immer sind sofortige und drastische Eingriffe gerechtfertigt. Es kann auch gute Gründe geben, einen ganz bestimmten Weg einzuschlagen - etwa, wenn man eine kriminelle Aktion lange genug laufen lassen will, um hinreichende forensische Informationen für die anschließende Strafverfolgung zu sammeln. Die Software kann umso erfolgreicher schützen, je mehr Informationen zur Verfügung stehen. Daher kann auch ein SIEM die "herkömmlichen" Schutzmaßnahmen wie Antiviruslösung, Firewall, Vulnerability Scanner oder etwa ein IPS nicht ersetzen. Die Autorin auf LANline.de: sfranke
Lesen Sie mehr zum Thema
