SIEM System & Services: Überblick & Reaktion in Realtime


Security wird zum Wettlauf gegen die Zeit. Remote Work macht die Netzwerke noch angreifbarer. Eine Kombination aus Tools & Services von Axians ICT Austria erhöht jetzt den Speed.


Security ist eine komplexe Sache. Das haben die zunehmende digitale Vernetzung, Industrie 4.0., Sensorik, Data Driven und das Zusammenspiel von IT und OT schon lange vor der Pandemie klargemacht. Mit dem Boom von Home Office und Remote Work kam im letzten Jahr allerdings noch einmal eine neue Ebene dazu … und brachte neue, zusätzliche Risiken.




Die User greifen von daheim aus mit allen möglichen Endgeräten auf alle mögliche Webservices genauso zu wie auf Systeme und Prozesse des Unternehmens. Ein Gesamtbild der potenziellen Gefahren und Schwachstellen zu gewinnen und entsprechende Security Policies darauf abzustimmen, wird da zur großen Herausforderung. Das gleiche gilt für das Thema Compliance, bei dem die Vorgaben für definierte und automatisierte Prozesse genauso angestiegen sind wie die Strafen für etwaige Verstöße dagegen.


Die soziale Distanz bei der gleichzeitig wachsenden Flut an digitaler Information und Kommunikation macht diese neuen Gefahrenquellen noch einmal dramatischer und prädestiniert die User quasi als Angriffspunkte für ausgeklügelte Phishing-Attacken und als Einfallstore in Firmennetzwerke. Immer mehr Unternehmen erleben das in der eigenen Praxis … als Opfer von Ransomware, Datendiebstahl und Erpressungen. Die Taktik und die technischen Mittel der Angreifer, um sich in einem Netzwerk über alle möglichen Schnittstellen unbemerkt auszubreiten, werden immer ausgefeilter und professioneller. Das Ausrollen von Sicherheitsmechanismen wie Endpoint- oder VPN-Lösungen reicht dagegen nicht aus. Die Bedrohungen müssen übergreifend und vor allem rasch erkannt, verstanden und natürlich auch eliminiert werden.



Bedrohungen in Echtzeit erkennen

Genau dafür ist SIEM gemacht. Security Information and Event Management ist als Sicherheitsmanagementansatz nicht neu, aber auch dank der Intelligenz, die in die technischen Lösungen immer mehr einfließt, liefert SIEM als „Frühwarnsystem“ die punktgenaue Antwort auf die aktuellen brennenden Anforderungen. Es erfasst in einem permanenten Monitoring die Login-Informationen aus den unterschiedlichsten Komponenten und Geräten an den verschiedensten Stellen der Infrastruktur und des Netzwerks, verbindet und korreliert die Daten auf Basis von Regeln oder Machine Learnng und identifiziert so frühzeitig atypische Muster und sicherheitsrelevante „Events“, sprich Bedrohungen.


Dabei erkennt es nicht nur Anomalien beim Traffic, bei den User-Aktivitäten oder bei Services und Prozessen, sondern analysiert und evaluiert als lernendes System, welche davon tatsächliche Gefahren darstellen, und welche Anomalien unneuralgisch sind. Und liefert ein Dashboard, das die tatsächliche Gefahr mit relevanten messbaren Kennzahlen auf einen Blick visualisiert. Und zwar nicht als Review, sondern genauso wie die Analyse in Realtime als Basis um die Bedrohung, die sich gerade in dieser Sekunde auftut, umgehend zu eliminieren. Falls so definiert, auch, indem automatisiert ein Alarmplan und Maßnahmen ausgelöst werden.


SIEM verbindet somit die zwei entscheidenden Hebel gegen Angriffe auf die IT-Security: die bereichsübergreifende Sicht und Analyse und den Zeitfaktor.

Expertise, um das System effektiv einzusetzen

Um diese beiden Hebel möglichst effektiv einzusetzen, kombiniert Axians ICT Austria Tools mit Services und Dienstleistungen und damit mit der Expertise und der langjährigen Erfahrung seiner Cyber-Security-Spezialisten zu einer echten, schlagkräftigen SIEM-Lösung. Den strukturierten Rahmen dafür bietet ein 3-Phasen-Plan, der mit Prevent und einem Security Healthcheck startet, danach in die Detect-Phase mit dem SIEM-System als Herzstück übergeht, und schließlich in die Response-Phase mit Security Operation und Automation mündet.


Konkret beginnt die Unterstützung der Experten bei der Bedrohungsanalyse und der Definition, welche Komponenten und Geräte im Netzwerk kommunizieren und in das SIEM- System mit Login-Daten eingebunden werden müssen, und bei der Visualisierung eines Dashboards, das auf die Bedrohungslage des jeweiligen Unternehmens zugeschnitten ist. Und kann vor allem dann entscheidend werden, wenn es um Fragen geht wie: Was soll passieren, wenn die rote Lampe irgendwo angeht? Welche automatisierten Prozesse müssen sofort ausgelöst werden? Wie sehen die Kommunikationsflüsse aus? Welche Server oder Segmente können und müssen runtergenommen oder abgeschottet werden, ohne den ganzen Betrieb lahmzulegen?

Variable Ressourcen und Services

Neben dem tiefgreifenden Know-how seiner Security-Spezialisten kann Axians ICT Austria hier auch eine 25-jährige Erfahrung aus einer Vielzahl von Projekten in unterschiedlichen Branchen als wertvolles Asset einbringen ... und damit die Nähe zu den heimischen Kunden: mit dem Wissen um ihre Anforderungen und ihr Business und auch mit kurzen Wegen vor Ort, die gerade in hochdigitalisierten Zeiten im Notfall dann doch immer wieder den entscheidenden Unterschied ausmachen. Und vor allem setzt man, wie bei vielen anderen Kernthemen auch, auf variable Deployment- und Servicemodelle.


Den Kunden bieten sich verschiedene Varianten, wie sie ein SIEM-System, aber auch die Ressourcen und das Know-how des Partners Axians in Sachen SIEM nutzen können.

Von der On-Premise-Variante einer eigenen SIEM-Appliance, über die Nutzung einer dedizierten Appliance mit fixen monatlichen Kosten bis zur SIEM-Funktionalität über die Shared Appliance, die im Wiener Rechenzentrum von Axians gehosted wird.


In der BASIC-Version wird den Kunden das SIEM-System in der gewünschten Variante zur Verfügung gestellt, die Betriebsverantwortung liegt komplett beim Kunden.

Bei SIEM-AS-A-SERVICE übernimmt Axian