Sie sind hier: Start >
Services > Information Security > Information Security Management > Security Information & Event Management
Security Information & Event Management - Effektive Implementierung und Vorteile einer zentralen SIEM-Lösung
Anforderung
IT und Geschäftsprozesse eine Unternehmens sind untrennbar miteinander verflochten. Doch stellen bei der Abbildung von Geschäftsprozessen sowohl gesetzliche Vorgaben zur Vermeidung und Reduzierung von Geschäftsrisiken als auch zunehmend komplexe Netzwerkstrukturen immer höhere Anforderungen an die IT-Sicherheit.
So liefern in einem Unternehmen mittlerweile beinahe alle IT-Komponenten Log-Informationen, die den Status der einzelnen Systeme anzeigen; denn Sicherheit im Firmennetzwerk setzt die Entlarvung von Angriffen, Datenmissbrauch und Anomalien samt forensischer Beweisführung voraus. Nicht selten aber sind es gerade diese enormen Datenmengen, die die Identifizierung und Bewertung kritischer Vorfälle behindern. Zusätzlich erschweren proprietäre Formate oftmals die Einführung aussagekräftiger Warnsysteme.
Sicherheitskritische Ereignisse lassen sich jedoch meist erst durch die Verknüpfung der Daten aus den verschiedenen Systemen ausmachen. So erzeugt eine Hacker-Attacke neben mehr oder weniger auffälligen Logmeldungen am Server zunächst ganz unterschiedliche Meldungen an der Firewall und – mit zeitlicher Verzögerung – am Intrusion Detection System (IDS).
Einzeln betrachtet weist dabei keiner der Berichte eine eindeutige Auffälligkeit auf; erst die Korrelation der Ereignisse macht den Vorfall nachvollziehbar und deckt eventuelle Folgeschäden auf.
Ein professionelles Security Information und Event Management-System (SIEM) sammelt und verknüpft deshalb die Log-Informationen aus den einzelnen Systemen und macht so zuverlässige Aussagen über den Sicherheitszustand des gesamten Netzwerks möglich.
Lösungsansatz
Spezielle Tools für Security Incident & Event Management (SIEM) führen die Speicherung und Auswertung von Logdaten auf einer zentralen Instanz durch. Bei allen Lösungen wird dabei vorrangig die Datenmenge auf wenige kritische Events reduziert, um sicherheitsrelevante Ereignisse sicher und zeitnah darstellen zu können.
Die Daten an den Quellsystemen werden hierfür mittels Syslog, SNMP oder Agenten abgegriffen. Vereinfacht lässt sich der allgemeine Vorgang folgendermaßen darstellen:
- Datensammlung
- Normalisierung und Aggregation
- Korrelation
- Datenausgabe und Reaktion
Anhand einer detaillierten Bedarfsanalyse ermittelt Networkers die optimale Lösung für Ihr Unternehmen; dabei verlieren wir auch die Kostenseite nicht aus den Augen. Bei der Lösungsfindung sind folgende Aspekte zu berücksichtigen:
- Geschwindigkeit der Verarbeitung der hohen Menge an Rohdaten (Events pro Sekunde)
- Erkennungsrate proprietärer Formate
- Überführung der Daten in ein einheitliches Format
- Zusammenfassung gleichartiger Events zu einem übergeordneten Event (Deduplizierung/ Komprimierung)
- Möglichkeiten der Benachrichtigung und Integration in bestehende Enterprise Management Systeme
- Visualisierung und Reporting der priorisierten Events
- Mandantenfähigkeit
- automatisches Auslösen einer Intrusion Response
- Beenden von Prozessen, Deaktivieren von Accounts, Sperren von Ports
- Skalierbarkeit und Stabilität
Für eine möglichst effektive Lösung beziehen wir flankierende Unternehmensprozesse wie Incident Handling, Business Continuity Planning und Identitiy Management in die Konzeption mit ein. Dadurch können auch gesetzliche Vorgaben (KonTraG, Aktienrecht, HGB) und internationale Normen (SOX, HIPAA, 8. EU-Richtlinie) effizient umgesetzt werden.
Durch Teststellungen und eine schrittweise Integration der verschiedenen zu überwachenden IT-Komponenten gewährleisten wir eine stabile und möglichst störungsfreie Einbindung in den laufenden Betrieb.
Kundennutzen
Erst die zentrale Filterung und Korrelation aller Logging-Daten durch eine professionelle SIEM-Lösung unterstützt ein effektives Risikomanagement und erlaubt die zeitnahe Reaktion auf Sicherheitsverstöße. Entscheidend für den Erfolg ist ein ganzheitlicher Ansatz, der bereits bestehende IT-Prozesse besonders des Risikomanagements berücksichtigt.
Die Einführung einer effektiven SIEM-Lösung bedeutet für Sie das Erzielen von Kostenvorteilen und zudem die Grundlage für die Einführung einer ganzheitlichen Risikobetrachtung in Ihrem Unternehmen. Denn ein dediziertes System übernimmt und automatisiert neben dem Device Monitoring auch die Auswertung von Security Events, das Incident Handling sowie das Erstellen von Reports.
Angefangen bei der Anforderungsanalyse über die Feinkonzeption bis hin zur Integration und dem Erstellen des komplexen Regelwerks – die Hersteller-unabhängige Ausrichtung der Networkers AG garantiert Ihnen eine speziell auf ihre Bedürfnisse zugeschnittene Event-Management-Lösung im Security-Bereich, die kurzfristig effizient zu implementieren und langfristig erweiterbar ist.
|
