Security, Network & Continuity

Die Zahl der Würmer, Viren, Hacker und böswilligen Attacken steigt jeden Tag. Vor diesem Hintergrund greifen Unternehmen auf die besten heterogenen Sicherheitsinfrastrukturen ihrer Klasse zurück, um sich und ihre Ressourcen zu schützen. Indem Unternehmen aber Millionen von Euro in eine ganze Reihe von Sicherheitslösungen wie Antiviren-Gateways, Firewalls und Intrusion Detection Systeme investieren, setzen sie sich selbst einem neuen Problem aus: der zunehmenden Komplexität.
Ohne den Einsatz eines intelligenten Managements und automatisierter Verknüpfungen müssen sich zahlreiche Unternehmen der Herausforderung stellen, dass sich ihre Sicherheitsprogramme in eine komplexe Zusammenstellung von ungleichen Systemen entwickelt haben, die eine erdrückende Datenflut erzeugen, aber wenige Einblicke in echte Gefahren und Angriffe gewähren. Diese Situation mag zwar in der Vergangenheit hingenommen worden sein, aber aufgrund des zunehmenden Drucks durch Compliance-Anforderungen und der immer vielfältiger werdenden Gefahren setzen Unternehmen heute die SIEM-Technologie ein, um Informationsrisiken zentral zu verwalten und kritische IT-Assets zu schützen.

Grundlegende Bausteine:

  • Leistungsstarke Zusammentragung und Verarbeitung: Die Zusammentragung, Normalisierung, Gruppierung und Filterung von Millionen Ereignissen von tausenden Netzwerk-Assets in einem kontrollierbaren Datenstrom bildet die solide Grundlage eines SIEM-Systems. Hierbei erfolgt eine Priorisierung nach Risiko, gefährdeten Schwachstellen und der Bedeutung der betroffenen Assets. Die Schicht für die Zusammentragung der Daten muss in der Lage sein, eine enorme Zahl von Ereignissen effizient zu managen ohne das Netzwerk zu stark zu belasten. Außerdem dürfen an den überwachten Systemen so wenige Änderungen wie möglich vorgenommen werden (z. B. agentenlose Umsetzung).


  • Langfristige Archivierung zu niedrigen Kosten: Die aktuellen Richtlinien und Normen schreiben vor, dass Ereignisse und Vorfälle über einen Zeitraum von mehreren Jahren archiviert werden. Daher ist es heute wichtiger denn je, die Ereignisse kostengünstig und sicher zu speichern und gleichzeitig den einfachen und schnellen Datenabruf für Analyse- und Berichtszwecke zu gewährleisten.


  • Verknüpfung in Echtzeit: Hinter zahlreichen relevanten und gefährlichen Aktionen steckt oftmals mehr als ein Ereignis. Bei der Verknüpfung werden die Beziehungen zwischen den einzelnen Ereignissen identifiziert und Rückschlüsse auf die Bedeutung dieser Beziehungen gezogen. Die Ereignisse und ihre Beziehungen werden überdies in eine bestimmte Rangfolge gebracht. So wird ein Rahmen für die entsprechenden zu ergreifenden Maßnahmen geschaffen. Eine derartige Verknüpfung sollte in Echtzeit erfolgen, sodass die Vorfälle so schnell wie möglich identifiziert werden können. Der Zeitfaktor spielt bei der SIEM-Technologie eine wichtige Rolle.