SIEM der nächsten Generation: Definition und Best Practices

Die SIEM-Technologie (Security Information and Event Management) hat Schwierigkeiten, Bedrohungen im aktuellen Ökosystem zu bewältigen. Herkömmliche SIEM-Lösungen sind langsam, in ihrer Skalierbarkeit begrenzt, in der Cloud ineffizient, erfordern eine lange Bereitstellungszeit und verursachen hohe Betriebskosten. Sie sind den wachsenden Angriffsflächen, sich schnell ändernden Vorschriften, der Datenexplosion und dem zunehmenden Budgetdruck nicht gewachsen. Der Fokus verlagert sich daher auf SIEM-Lösungen der nächsten Generation, die Daten schneller erfassen können und agiler, kostengünstiger, skalierbarer und besser einsetzbar sind.

In diesem Beitrag definieren wir SIEM der nächsten Generation sowie dessen Komponenten und Funktionen und zeigen auf, wie es sich von herkömmlichen SIEM-Lösungen unterscheidet. Außerdem gehen wir auf die Herausforderungen ein, die bei der Implementierung zu erwarten sind. Vor allem aber stellen wir Ihnen einige Best Practices vor.

Was ist Next-Gen SIEM?

Next-Gen SIEM nutzt Verhaltensanalysen und Automatisierung, um ungewöhnliche Aktivitätsmuster, nicht konforme Systemaktivitäten, Sicherheitsprobleme und Anomalien zu erkennen und schnell darauf zu reagieren. Es ist das Herzstück eines modernen Security Operations Center (SOC) und ermöglicht es Teams, die enormen Datenmengen zu verarbeiten, die aus dem Internet der Dinge, der Cloud, künstlicher Intelligenz und Analysen generiert werden.

Die Funktionen herkömmlicher SIEM-Lösungen umfassen hauptsächlich statistische Analysen, Protokollverwaltung, Warnmeldungen und Berichterstellung. Siemüssen Sie diese häufig durch Technologien für die Sicherheitsorchestrierung, -automatisierung und -reaktion (SOAR) ergänzen. SIEM der nächsten Generation baut auf diesen Funktionen auf und erfasst zusätzlich Daten unabhängig von der Quelle und erweitert sie um fortschrittliche Verhaltensregeln, Workflow-Automatisierung und künstliche Intelligenz.

Wichtige Komponenten von Next-Gen SIEM

Next-Gen-SIEM besteht aus einzigartigen Komponenten, die es von herkömmlichen SIEM-Lösungen abheben.

1. Fortschrittliche Analysen und maschinelles Lernen

Maschinelles Lernen (ML) und Analysen ermöglichen es SIEM der nächsten Generation, anhand von Verhaltensprofilen ungewöhnliches Verhalten in Echtzeit zu erkennen. Mithilfe von ML-Modellen wird jedem Ereignis eine Punktzahl zugewiesen, um festzustellen, ob es eine Bedrohung darstellt oder nicht. Alle Punktzahlen, die vordefinierte Schwellenwerte überschreiten, werden zur weiteren Untersuchung an einen Analysten weitergeleitet.

2. Integration von Bedrohungsinformationen

SIEM-Systeme der nächsten Generation verfügen über integrierte Threat-Intelligence-Plattformen als Teil ihres Kernangebots. Sie fragen automatisch Sicherheitsdaten ab und führen Schwachstellenscans und Penetrationstests durch, um verdächtige Aktivitäten zu erkennen. SIEM-Systeme der nächsten Generation korrelieren interne Ereignisse mit Threat-Intelligence-Feeds von Drittanbietern, um ein noch umfassenderes Verständnis potenzieller Bedrohungen zu ermöglichen.

3. User and Entity Behavior Analytics (UEBA)

SIEM der nächsten Generation wendet UEBA an, um das erlernte Verhalten von Benutzern zu analysieren und Angriffe zu identifizieren, die nicht auf bekannten Signaturen oder Regeln beruhen. UEBA nutzt Deep Learning, Reinforcement Learning, Bayes'sche Netzwerke sowie überwachtes und unüberwachtes Lernen, um menschliche Verhaltensmuster zu erlernen. Wenn beispielsweise ein Marketingmitarbeiter samstags um 1:00 Uhr morgens beginnt, Dateien aus einer Finanzdatenbank herunterzuladen, mit der er außerhalb der Arbeitszeiten selten interagiert, markiert das System dies als verdächtig, was möglicherweise auf Insider-Bedrohungen oder kompromittierte Anmeldedaten hinweist.

4. Automatisierung und Orchestrierung

Next-Gen-SIEM verwendet Playbooks, um Reaktionen zu automatisieren und führt für jedes verdächtige Sicherheitsereignis eine Reihe vordefinierter Maßnahmen zur Schadensbegrenzung und Eindämmung durch. Im Allgemeinen kann Next-Gen-SIEM Reaktionen auf erkannte Bedrohungen automatisieren, indem es betroffene Systeme isoliert, Patches anwendet und Warnmeldungen auslöst.

5. Skalierbarkeit und Cloud-Unterstützung

SIEM der nächsten Generation lässt sich in öffentliche und private Cloud-Plattformen integrieren. Dies bietet Einblick in Cloud-Plattform-Aktivitäten wie Protokolle von virtuellen Maschinen, Containern, SaaS-Anwendungen und Cloud-nativen Sicherheitstools. SIEM der nächsten Generation verfügt über vorgefertigte Konnektoren, mit denen Sie auf Ereignisse und Protokolldaten von SaaS-Anwendungen und Cloud-Infrastrukturen wie IBM Cloud und Google Cloud Platform (GCP) zugreifen können.

Vergleich zwischen herkömmlichen SIEMs und SIEMs der nächsten Generation

Einschränkungen herkömmlicher SIEMs

• Herkömmliche SIEMs wurden für lokale Umgebungen entwickelt. Daher ist die Skalierbarkeit durch die Rechen-, Speicher- und Speicherressourcen begrenzt, die die lokale Hardware bereitstellen kann. Bei einer Verlagerung in die Cloud verursacht traditionelles SIEM aufgrund ineffizienter Architekturen hohe Cloud-Infrastrukturkosten und eine langsame Leistung.
• Traditionelles SIEM kann die heute generierten großen Mengen an Hot Data aufgrund mangelnder Rechenleistung und Speicherkapazität nicht verarbeiten. Die Daten werden in einem Cold Storage gespeichert, wo ihr Abruf langsam und mühsam ist, was die Untersuchung von Bedrohungen aus der Vergangenheit erschwert.
• Herkömmliche SIEM-Lösungen verfügen über ein geschlossenes Ökosystem, das sich gut in andere Sicherheitsplattformen desselben Anbieters integrieren lässt, jedoch nicht in solche anderer Anbieter.

Vorteile von Next-Gen-SIEM gegenüber herkömmlichen SIEM

• Next-Gen-SIEM wird über ein SaaS-Modell bereitgestellt und nutzt die Flexibilität der Cloud, um unbegrenzte Rechenleistung, Speicherplatz und Speicherressourcen bereitzustellen.
• Da die Ressourcen bei Bedarf verfügbar sind, können Sie große Datenmengen sammeln, länger speichern und mehr Benutzern einen häufigeren Zugriff ermöglichen. Dadurch erhalten Sie Einblick in mehr Datenquellen und können Ihre Sicherheitslage verbessern. Es nimmt Daten aus vielen Quellen auf und sendet sie über eine offene API.
• SIEM der nächsten Generation korreliert Daten aus vielen Quellen, darunter Sicherheit, Netzwerk, Server, Anwendungen und Endpunkte, unabhängig davon, ob diese in einer privaten Cloud, vor Ort oder in einer öffentlichen Cloud gehostet werden.
• Die Architektur von Next-Gen SIEM nutzt offene APIs, sodass Sie Lösungen verschiedener Anbieter integrieren können und bei einer Änderung Ihres Sicherheitsportfolios nur minimale Auswirkungen zu spüren sind.

Kernfunktionen von Next-Gen SIEM-Lösungen

1. Echtzeit-Erkennung und Reaktion auf Bedrohungen

Next-Gen-SIEM nutzt Verhaltensanalysen, um bekannte Angriffssignaturen, Korrelationen und Muster in Echtzeit zu erkennen. Es aggregiert Daten aus Quellen wie IDS, Antivirus und Authentifizierungssystemen, damit Sie Sicherheitsbedrohungen und Vorfälle schnell erkennen können, die einzelne Tools allein nicht identifizieren können. Sie können auf Bedrohungen reagieren, sobald sie auftreten, und so die Reaktionszeit verkürzen.

2. Umfassende Datenerfassung und -normalisierung

Mit SIEM der nächsten Generation können Sie Daten zu Ereignisprotokollen, Netzwerkflüssen und Syslog-Daten aus mehreren Quellen erfassen und mithilfe von Analysesystemen auswerten. Das System korreliert Daten und sendet Warnmeldungen, wenn es nicht konforme Aktivitäten, Richtlinienverstöße oder potenzielle Bedrohungen erkennt. Darüber hinaus nutzt es skalierbare NOSQL-Datenbanken wie Apache Spark, Hadoop und Elastic, die eine parallele Verarbeitung ermöglichen und die Datenerfassung und -analyse beschleunigen. Dank seines kostengünstigen verteilten Speichers können Sie historische Daten kostengünstig speichern.

3. Verbesserte Sichtbarkeit und Untersuchung von Vorfällen

SIEMs der nächsten Generation bieten kontinuierliche Echtzeit-Sichtbarkeit für Sicherheitsereignisse. Die Funktion zur Visualisierung von Angriffspfaden hilft Ihnen, wie ein Angreifer zu denken und die Wege zu verstehen, die ein Angreifer nutzen könnte, um Schwachstellen auszunutzen.

4. Flexible und skalierbare Bereitstellungsoptionen

Je nach Ihren geschäftlichen Anforderungen und der vorhandenen Infrastruktur stehen Ihnen für SIEMs der nächsten Generation viele Bereitstellungsoptionen zur Auswahl.

• Vollständig verwaltetes SIEM (MSSP): Ein Drittanbieter, der alle Sicherheitsdienste bereitstellt.
• SaaS-SIEM: Speziell für die Cloud entwickelt und unterstützt Cloud-native Infrastrukturen.
• Co-verwaltetes SIEM: Einige Risikomanagementaufgaben werden an einen SIEM-Dienstleister ausgelagert, während das bestehende IT-Sicherheitsteam den Rest übernimmt.
• Hybride Bereitstellung: Kombiniert die lokale und die Cloud-Bereitstellung, wobei sich ein Teil der Infrastruktur lokal und ein Teil in der Cloud befindet.

5. Compliance- und Sicherheitsberichte

SIEM-Lösungen der nächsten Generation unterstützen KI-gesteuerte Compliance-Berichte. Sie überprüfen automatisch die Einhaltung gesetzlicher Vorschriften für DSGVO, SOX, HIPAA, PCI DSS usw., erstellen Auditberichte und verwalten die Datenverwaltung und den Datenschutz. Sie analysieren historische und aktuelle Daten, um die Einhaltung von Regeln und Vorschriften zu gewährleisten. Darüber hinaus bieten sie anpassbare Workflows für die Compliance-Berichterstattung.

Herausforderungen bei der Implementierung von SIEM der nächsten Generation

Trotz ihrer fortschrittlichen Funktionen haben SIEM-Lösungen der nächsten Generation auch Nachteile.

1. Datenüberlastung und Qualitätsprobleme: Ein Unternehmen kann täglich Milliarden von Ereignissen aufzeichnen. Die Speicherung, Aggregation und Analyse dieser Daten zum Abrufen von Informationen für das Bedrohungsmanagement kann SIEM-Systeme der nächsten Generation überfordern und ihre Effektivität beeinträchtigen.
2. Qualifikationslücken und Ressourcenengpässe: Die Cybersicherheitsbranche leidet unter einem Fachkräftemangel. Weltweit werden etwa vier Millionen Cybersicherheitsspezialisten benötigt. Sie müssen Ihren Bedarf an SIEM-Talenten der nächsten Generation mit Ihren Budgetbeschränkungen in Einklang bringen.
3. Integration in bestehende Sicherheitsökosysteme: Die Integration von SIEM der nächsten Generation in verschiedene bestehende Technologien und Systeme kann komplex sein. Außerdem ist Next-Gen-SIEM für moderne Architekturen konzipiert, sodass es bei Unternehmen, die traditionelle Infrastrukturen verwenden, zu Inkompatibilitäten kommen kann.

Best Practices für die Einführung von Next-Gen-SIEM

#1. Bewerten Sie die Anforderungen und Ziele Ihres Unternehmens

Der erste Erfolgsfaktor für die Implementierung von Next-Gen-SIEM ist die Definition spezifischer Sicherheitsziele für Ihr Unternehmen. Möglicherweise interessieren Sie sich für Compliance-Überwachung, erweiterte Bedrohungserkennung, Incident Response usw. Auf diese Weise können Sie kritische Prozesse und Aufgaben priorisieren, die die Implementierung unterstützen.

#2. Wählen Sie den richtigen Anbieter und die richtige Lösung

Sobald Sie Ihre Sicherheitsziele vollständig verstanden haben, ist es an der Zeit, einen Next-Gen-SIEM-Anbieter zu finden, der über die Kapazitäten und Fähigkeiten verfügt, Ihre Anforderungen zu erfüllen. Stellen Sie sicher, dass das Produktangebot mit dem Budget Ihres Unternehmens übereinstimmt.

#3. Schulen Sie Ihre Teams angemessen

Schulen Sie Next-Generation-SIEM-Administratoren und Sicherheitsanalysten, um sicherzustellen, dass sie auf Warnmeldungen reagieren können. Dokumentieren Sie Ihren Implementierungsprozess, einschließlich Konfiguration, Wartung und Betriebskonzepte.

#4. Kontinuierliche Überwachung und Verbesserung

Überwachen Sie kontinuierlich die Leistung von Next-Gen-SIEM und aktualisieren Sie es auf die neueste Version, um neuen Bedrohungen zu begegnen.

Fallstudien und Erfolgsgeschichten zu Next-Gen-SIEM

Die Golomt Bank, eine in der Mongolei ansässige städtische Privatkundenbank, nutzte das Next-Gen-SIEM von Securonix, um ihre Cybersicherheit zu verbessern. Zuvor hatte die Bank ein traditionelles, regelbasiertes SIEM-System verwendet, dem die für die Erkennung komplexer Cyberbedrohungen erforderlichen fortschrittlichen Verhaltensanalysen fehlten. Außerdem konnte es keine Echtzeit-Transparenz von Sicherheitsereignissen bieten und keine statistischen Korrelationen nutzen, wie sie von SIEM-Plattformen der nächsten Generation wie Singularity AI SIEM zur Korrelation von Ereignissen verwendet werden. Daher stellte die Bank auf Securonix um, wodurch ihr Sicherheitsteam nun große Datenmengen aus verschiedenen Quellen in Echtzeit überwachen kann. Mit einem SIEM der nächsten Generation konnten sie auch UEBA-Funktionen nutzen, um Anomalien besser und schneller zu erkennen.

Eine weitere Fallstudie ist die von Ulta Beauty, einem amerikanischen Kosmetikhändler, der Sumo Logics Cloud SIEM nutzte, um seine groß angelegte Cloud-Migration zu unterstützen und seine umfangreiche E-Commerce-Plattform zu sichern. Als der E-Commerce-Umsatz des Einzelhändlers von 200 Millionen Dollar auf über 2 Milliarden Dollar stieg, nahmen auch seine Sicherheitsherausforderungen zu. Durch den Einsatz eines SIEM der nächsten Generation verbesserte das Unternehmen seine Reaktionszeiten bei Vorfällen und stellte so eine schnelle Identifizierung und Behebung von Sicherheitslücken sicher. Der Einzelhändler automatisierte die Untersuchung und Reaktion auf Bedrohungen und sparte so Arbeitskosten ein. Kosteneinsparungen sind jedoch nicht der einzige Vorteil der Automatisierung. Durch den Einsatz automatisierter Workflows, wie sie Next-Generation-SIEM-Lösungen wie Singularity AI SIEM bieten, können Sie sich auf Ihr Kerngeschäft konzentrieren.

Zusammenfassung

Moderne SOCs erfordern agile, schlanke Tools mit einer modernen Architektur. Herkömmliche SIEM-Lösungen können diese Anforderungen nicht erfüllen. Sie lassen sich nicht effizient skalieren und bieten nicht die Echtzeit-Einblicke, die für eine schnelle Reaktion auf Vorfälle erforderlich sind. SIEM-Lösungen der nächsten Generation beheben diese Mängel mit ihren KI-gestützten Analysen und ihrer Cloud-nativen Architektur. Sie sind hoch skalierbar und bieten Echtzeit-Transparenz, automatisierte Workflows und Vorlagen für die Reaktion auf Vorfälle bei geringen Gemeinkosten, sodass Unternehmen ihre finanziellen und sicherheitsrelevanten Anforderungen in Einklang bringen können.

SentinelOne’s Singularity AI SIEM bietet Funktionen der nächsten Generation. Es nutzt KI, um Bedrohungen zu erkennen und in Echtzeit auf Sicherheitsvorfälle zu reagieren. Fordern Sie eine Demo an, um zu sehen, wie Singularity Ihr autonomes SOC unterstützen kann.

"