Traditionelles SIEM liefert zu viele Sicherheitswarnungen

In den letzten Jahren hat nicht nur die Anzahl, sondern vor allem auch die Komplexität von Cyber-Angriffen zugenommen. Denn Hackern haben es mittlerweile sehr leicht: Öffentlich verfügbare Tools arbeiten weitestgehend automatisiert. Sie verfügen über Funktionen zur Verteilung und Anonymisierung. So bleiben Hacker oft unter dem Radar. 

Cyberangriffe dennoch aufzuspüren ist eine große Herausforderung für Unternehmen. Viele Sicherheitsverantwortliche werden überhäuft von Sicherheitswarnungen und sind zunehmend überfordert. Sie sind erschöpft von der übermächtigen Flut von Warnungen – „Alert Fatigue“ stellt sich ein. Eine Umfrage von Imperva bestätigt, dass mehr als ein Viertel der IT-Experten täglich mindestens eine Million Warnhinweise erhalten. Traditionelle Verteidigungssysteme haben es versäumt, sich der weiterentwickelnden Cyberkriminalität zu stellen. Sicherheitsteams sind nicht mehr in der Lage, die Vielzahl der Warnungen zu bewältigen und ertrinken einfach unter der täglichen Welle an möglicherweise unbedeutenden Sicherheitswarnungen.

Anzeige

Abhilfe schafft Security Information und Event Management (SIEM). Das System ermöglicht eine Echtzeit-Aggregation und -Analyse von Sicherheitswarnungen. Durch SIEM werden alle Sicherheitswarnungen an einer zentralen Stelle über ein oder mehrere Dashboards gesammelt und visualisiert. Vordefinierte Regeln und Korrelationen sind dafür die Basis. Doch viel zu oft kämpfen Sicherheitsverantwortliche damit, aus den SIEM-Dashboards wertvolle Erkenntnisse zu gewinnen.

Imperva hat im Laufe der Zeit einige der wichtigsten SIEM-Herausforderungen identifiziert:

SIEM ist ein Basissystem und benötigt Konfiguration

Die grundlegende Auffassung zu SIEM ist, dass das System täglich Millionen von Sicherheitslogs sammelt und darin Angriffe effektiv erkennt und aussagekräftige Erkenntnisse liefert. Doch diese Annahme ist falsch. In Wirklichkeit enthält ein SIEM nur ein Basissystem von allgemeinen Einstellungen. Doch jede Unternehmens-IT ist individuell gestaltet. Verallgemeinerte Regeln lassen sich hingegen nur bedingt zuschneiden. Das Sicherheitsteam muss die SIEM-Software daher zunächst soweit wie möglich konfigurieren und an die Anforderungen des Unternehmens anpassen – ein oft sehr frustrierender Prozess.

Anzeige

SIEM ist ein fortwährender Prozess

Der anfängliche Konfigurationsprozess reicht nicht aus. Das Sicherheitsteam muss kontinuierlich Regeln, Korrelationen und Anwendungsfälle definieren, die sich aus Änderungen in den Daten und ihren Quellen ergeben. Das bedeutet: SIEM ist ein dynamisches System, welches sich ständig mit dem Wandel der Daten ändert.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

SIEM benötigt SIEM-Experten

SIEM ist ein komplexes System, für dessen Betrieb ein Experte erforderlich ist. Über die Hälfte der deutschen Unternehmen (56 Prozent) berichtete jedoch über einen Mangel an Fachkräften in der IT-Sicherheit.

SIEM generiert eine große Anzahl von Warnungen – die meisten sind irrelevant

Relevante Daten und nutzbringende Erkenntnisse in einem SIEM zu finden, kann womöglich sehr schwierig sein. Da SIEMs aggregiert sind, ist es innerhalb des Systems vordefiniert, wie die Software Daten clustert. Sicherheitsverantwortliche können Angriffe im SIEM beispielweise nach IP-Adresse oder Subnetz sortieren. Das Problem dabei: Hat ein Angriff einen auf mehrere IP-Adressen verteilten Ursprung, wird dieser vom System nicht erkannt. Wenn Sicherheitsverantwortliche nach Warnmeldungen für dieselbe URL suchen, der Angreifer aber verteilte Server nutzt, wird SIEM kaum fündig werden.

Jede Cyberattacke sieht anders aus. Es ist schwierig, ein Regelwerk zu definieren, das nach den einzelnen Angriffsformen sucht. Die Datenaggregation in SIEM konzentriert sich auf einige wenige Dimensionen des Angriffs. Andere hingegen bleiben außen vor. Die Bestimmung darüber, über welche Parameter diese Warnungen zusammengebracht werden sollen, ist von entscheidender Bedeutung. Denn legitime und illegitime Daten sowie Warnungen vor verschiedenen Cyberangriffen können womöglich zum gleichen Muster gezählt werden.

SIEM liefert oft weder Kontext noch Priorität

Klassische SIEMs setzen auf reine Datenerfassung statt auf Log-Anreicherung. Daher neigen sie oft dazu, den Kontext in den Daten zu unterschlagen. Doch für IT-Verantwortliche kommt es genau auf relevante, sofort nutzbare Informationen an. Bei der Untersuchung eines Angriffs kann das kritisch sein – vor allem, wenn diese Informationen nicht schnell einsehbar und nachvollziehbar sind. Ohne die nötigen Hintergrundinformationen bleibt es Sicherheitsteams verwehrt, schnell zu entscheiden. Sie können nicht erkennen, ob sie es beispielsweise mit einer bereits bekannten bösartigen IP-Adresse zu tun haben oder ähnliche Angriffe bereits in anderen Organisationen entdeckt wurden.

Um dies herauszufinden, müssen Sicherheitsverantwortliche andere Tools verwenden. Software-Lösungen mit künstlicher Intelligenz (KI) und maschinellem Lernen unterstützen dabei. IT-Verantwortliche sind mithilfe von KI in die Lage, echte Bedrohungen schnell zu identifizieren und gezielt darauf zu reagieren.

SIEM hat mich alarmiert – ohne Handlungsempfehlung

Sicherheitsteams haben eine Warnung vom SIEM-System erhalten und die Untersuchung abgeschlossen. Nun müssen sie die nötigen Schritte unternehmen, um Sicherheitsrisiken und Fremdzugriffen entgegen zu wirken. Doch es bleibt unklar, was die nächsten Schritte sind. Administratoren könnten eine bestimmte IP-Adresse oder besser gleich das ganze Subnetz blockieren. Sie könnten auch die Sicherheit für gezieltere Parameter erhöhen. Doch welche ist die richtige Entscheidung? Die Rolle eines Standard-SIEM ist abgeschlossen, sobald es den Alarm ausgelöst hat. Es liegt nun an dem Sicherheitsteam, zu entscheiden, welche Schritte als nächstes einzuleiten sind. Das SIEM-System selbst liefert keine Anweisungen oder Hilfestellungen dazu.

KI-gestützte Analysen schaffen echten Mehrwert

Hacker machen es SIEM-Systemen sehr schwer. Sie variieren ihre IP-Adresse alle paar Minuten. Außerdem versuchen sie oft während des Angriffs eine niedrige Anzahl an Anfragen pro Sekunde beizubehalten. So entfällt auch Zeit als möglicher Parameter zur Aufbereitung für SIEM-Systeme. Fortschrittliche Sicherheitssysteme wie Imperva‘s WAF können die Client-Anwendungen des Angreifers Schritt für Schritt nachverfolgen.

Amit Leibovitz, Data Scientist bei Imperva, www.imperva.com/de/

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.