Mit der TWINSOFT in drei Schritten zu einem profitablen und einsatzbereiten SIEM

Der Wunsch nach mehr Effizienz sorgt dafür, dass Unternehmen ihre IT-Systeme, Industrieanlagen und Geschäftsprozesse miteinander verzahnen. Für Hacker ist diese vernetzte Welt attraktiv. Über mehrere Tore dringen sie in die Systeme ein, beschädigen Hard- und Software, manipulieren Daten oder legen Dienste und Funktionen völlig lahm. Ohne gezielte und abgestimmte Gegenmaßnahmen sind viele Unternehmen dieser Bedrohung hilflos ausgeliefert.

Mithilfe eines Systems, das Sicherheitsvorfälle in Anwendungen und Netzwerkkomponenten in Echtzeit analysiert und verarbeitet, kann sich das ändern.

Das sogenannte Security Information and Event Management (SIEM) verspricht, die IT-Sicherheit auf eine neue Stufe zu heben. Vielfach mangelt es in Deutschland jedoch an Erfahrung mit dieser Methodik. Unternehmen, die ein SIEM effizient aufbauen möchten, sollten daher folgende Schritte beachten:

Schritt 1: Ohne SIEM-Fahrplan keine Sicherheit!

Die IT-Governance stellt, indem sie z.B. Prozess- und Führungsstrukturen festlegt, sicher, dass die IT die Strategie eines Unternehmens optimal unterstützt und potenzielle Risiken minimiert. Daher sollten Unternehmen im ersten Schritt die bestehende Richtlinie zur Informationssicherheit um das Thema „SIEM“ erweitern: Wer ist für den Betrieb und für die nachgelagerte Incident-Bearbeitung verantwortlich? Für welche Assets soll das Monitoring aufgebaut werden? Je klarer die Antwort, desto besser. Andernfalls besteht die Gefahr, dass Missverständnisse entstehen und nicht geprüft werden kann, ob die genannten Ziele erreicht wurden. Beides verursacht höhere Kosten und verzögert die Leistung.

Zur Governance gehören außerdem die Prozesse. Damit das SIEM schnellstmöglich einsatzbereit ist, muss ein Unternehmen Prozesse, z.B. zur Incident-Bearbeitung, definieren. Im schlimmsten Fall erzeugt das SIEM zwar Alarme oder sogenannte „Offenses“, aber es ist niemand da, der sich darum kümmert. Daher ist zu klären, welche technischen und personellen Ressourcen bereitstehen.

Sollten die technischen und personellen Ressouren intern nicht zur Verfügung stehen, bietet sich ein MSSP-Ansatz (Managed Security Service Provider) an. Die TWINSOFT unterstützt Sie hier gerne mit ihren unterschiedlichen MSSP-Modellen.

Schritt 2: Welches SIEM-Tool passt am Besten zu mir?

Inzwischen tummeln sich am Markt viele Anbieter von SIEM-Software. Zu den größeren – in den USA ansässigen – gehören Splunk, QRadar, Alienvault oder Logrhythm. Die TWINSOFT hat sich u.a. auf den Partner LogRyhthm spezialisiert, da dieser Partner für State-of-the-art und NextGeneration-SIEM und -UEBA steht und vor allem für den Mittelstand optimale Lösungen bietet. Als rein europäischen Anbieter empfehlen wir bspw. Logpoint, die mit ihren EAL3+-Zertifizierungen für höchste Sicherheit stehen und mit ihren innovativen und zukunftsweisenden Technologien den Markt revolutionieren.

Wer der richtige Partner für die eigene IT-Infrastruktur ist, sollte gut durchdacht sein. Hier hilft eine professionelle Anforderungsanalyse. Anhand der zu überwachenden Assets und der daraus abgeleiteten Events pro Stunde lässt sich bereits eine sinnvolle Vorauswahl für ein SIEM-Tool treffen.

Die TWINSOFT unterstützt Sie gerne bei der Auswahl.

Zudem sollten Unternehmen zwei Fragen klären: Erstens, lässt sich ein bereits vorhandenes Incident-Management-Tool problemlos anbinden? Zweitens, wo sind die Log-Daten besser aufgehoben: in der Cloud oder on-premise? Eine gründliche Anforderungs- und Marktanalyse schützt vor Fehlkäufen, erspart Zeit und sorgt dafür, dass das SIEM-Tool in die Systemlandschaft passt.

Schritt 3: SIEM und Infrastruktur miteinander verzahnen!

Ist die Lizenz beschafft, gilt es, das System in die bestehende Infrastruktur zu integrieren. Die meisten SIEM-Tools verfügen über eine breite Auswahl möglicher Schnittstellen. Und die meisten IT-Assets erzeugen bereits von Haus aus einiges an Log-Daten. Ist das SIEM-Tool dann schließlich auch mit der Lösung zur Incident-Bearbeitung verbunden, ist es einsatzbereit.

Bis das SIEM zu einem festen Bestandteil der Sicherheitsinfrastruktur geworden ist, müssen aber einige Hürden genommen werden. So muss jedes Unternehmen für sich selbst definieren, wie es mit der – in der Regel recht hohen – Anzahl an „False Positives“ umgeht. Auch werden längst nicht alle notwendigen Logs vorhanden sein, um im Monitoring verarbeitet zu werden.

Fazit:

Die Praxis lehrt – es braucht eine Strategie, genügend Ressourcen und Kenntnis der eigenen Infrastruktur, damit ein SIEM-Projekt erfolgreich ist und profitabel sowie einsatzbereit bleibt.

Interesse geweckt? Für Fragen stehen die SIEM-Experten bei der TWINSOFT gerne zur Verfügung

Julian Steinbichler

Senior Produktmanager

TWINSOFT jetzt kontaktieren

Ein persönliches Gespräch ist durch nichts zu ersetzen. Wir freuen uns auf deinen Anruf und beraten dich gerne unter +49 2102 – 30040 oder info@twinsoft.de

de_DE

Die mit * markierten Felder sind Plichtfelder