Skyabove

Frühwarnsystem - SIEM Security in der IT-Infrastruktur

Mehr als die Hälfte der Unternehmen in Deutschland sind in den vergangenen Jahren Opfer von Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden; nur jedes dritte Unternehmen meldet den Vorfall (Quelle: bitcom).

Innerhalb von IT Infrastrukturen sind Frühwarnsysteme, sogenannte SIEM Security Systeme, aber trotzdem noch nicht wirklich etabliert. Hier setzen viele Unternehmen weiterhin auf die Verlässlichkeit der etablierten Security Maßnahmen.

Warum wird es Zeit, die Strategie zum Schutz der IT Infrastruktur anzupassen?

Die Tagespresse ist voll von Sicherheitsvorfällen. Auch wenn die Vorgehensweisen in den gemeldeten Fällen unterschiedlich sind, so haben viele dieser Angriffe etwas Entscheidendes gemeinsam: Das Eindringen in das Netzwerk geschah Monate vorher. In dieser Zeit konnten sich die Angreifer im Netzwerk ungestört umsehen und austoben, um so weitere interne Angriffsziele zu identifizieren.

Solche Vorfälle können durch "Frühwarnsysteme" in der IT frühzeitig erkannt und damit entsprechende Gegenmaßnahmen initiiert werden. Unter Frühwarnsysteme verstehen wir Sensoren im Netzwerk, auf Fileservern, Firewall Logfiles und allen Systemen mit wichtigen Informationen. Je mehr Kontext hergestellt werden kann, desto besser.
Um diese zentral zu verwalten kann ein Security Information and Event Management, kurz SIEM Security, eingerichtet werden.

Welche Vorteile bringt das Etablieren von SIEM Security?

Das täglich Angriffe auf Unternehmen stattfinden ist ein Fakt. Es stellt sich nicht die Frage, ob das passiert. Die einzig richtige und wichtige Frage ist: wie schnell wird ein Angriff erkannt und wie schnell reagiere ich gezielt mit den richtigen Maßnahmen auf diesen Angriff?! Mit anderen Worten: CyberDefense geht ALLE an!

Der Faktor Zeit und Kontextinformationen sind die wichtigsten Komponenten schnell und angemessen zu reagieren. Nur so lassen sich größere Schäden und weitere Ausbreitungen vermeiden. Ein SIEM dient an dieser Stelle als Frühwarnsystem, um wertvolle Zeit zu gewinnen.

Im ersten Moment hört sich die Einrichtung von SIEM Security als Prozess sehr umfangreich an.
Um langsam zu starten bietet sich ein sogenannter „Proof Of Concept“ an. Dabei handelt es sich um eine „Teststellung“ inklusive Einbindung priorisierter Logdatenquellen mit vordefinierten Regelwerken und Erkennungsmustern. So bekommen wir schnell einen ersten Einblick, welche Art „Bewegungsspuren“ denn eigentlich konkret in der eigenen IT Infrastruktur generiert werden.

Vertieft wird das erste Ergebnis dann beispielsweise durch einen „Kick-Off“-Workshop zur Definition weiter Arbeitspakete, Schulung der SOC Mitarbeiter, genau abgestimmt auf ihren Bedarf und Prioritäten.

So haben Sie die Möglichkeit sich Schritt für Schritt gemeinsam mit unserer Unterstützung an die erfolgreiche Einrichtung eines zentralen SIEM in die eigene IT Infrastruktur ranzuwagen.