SIEM
PERMANENTE ÜBERWACHUNG IHRER IT?
Dies geht mit einer guten SIEM-Lösung (Security Information Event Management Tool). Wenn Sie einen Einbruchsversuch nicht rechtzeitig bemerken, kann sich ein kleiner Vorfall zu einer großen Krise ausweiten. Schnellstmögliche Erkennung und Reaktion sind daher wesentlich. Alles dreht sich um die Reduzierung der „Mean Time to Resolve“ (mittlere Zeit bis zur Lösung).
SIEM-WERKZEUGE FÜR IHR SOC
Möchten Sie die Erkennung und die Reaktion verbessern? Dann ist es gut zu wissen, dass neben sicherem Design und Prävention ein wichtiger erster Schritt darin liegt, ein Security Operations Center (SOC) einzurichten.
Ihr SOC arbeitet dann mit einem sogenannten SIEM-Tool, einem Security Information Event Management Tool. Von diesen SIEM-Lösungen sind verschiedene Arten verfügbar. Einige bekannte sind AlienVault, ArcSight, LogRythm, Splunk und Q-Radar (IBM). Die Spezialisten von Northwave sind mit jeder dieser Software bestens vertraut.
SIEM in der Cloud
Neben den aktuellen Tools bieten die großen Cloud-Anbieter nun auch eigene Lösungen an. So bietet Microsoft Sentinel an und auch Google und Amazon haben SIEM-Tools.
Grundsätzlich funktionieren die verschiedenen Security Information Event Management Tools auf dieselbe Weise. Sie sammeln Informationen zur Cybersicherheit und Log-Events. Anschließend werden vom SIEM-Tool sogenannte Sicherheitsalarme ausgegeben. Sie kommen durch Korrelation und intelligente Fragen an die gesammelten Daten zustande. Die meisten Plattformen verwenden auch extern bezogene Cyber-Bedrohungsdaten.
False Positives
Kein SIEM ist Plug-and-play-tauglich, was auch immer die Werbung verspricht. Sogenannte Fehlalarme (False Positives) sind ein bekanntes Problem. Es gibt eine Flut von Alarmen, aber nur ein Teil ist relevant. Das SIEM ist für Ihre Cybersicherheit dann nicht effektiv. Dies kann nur durch eine fachmännische Implementierung und Kalibrierung des SIEM gelöst werden.
Ein Sicherheitsanalyst muss dann einen solchen SIEM-Alarm weiter untersuchen, um Art und Ursache des Vorfalls zu ermitteln. Anschließend bestimmt er die Lösung für den Vorfall (Incident Response).
Jedes SIEM-Tool hat seine Vor- und Nachteile. Es gibt verschiedene technische Möglichkeiten, sowohl bei den Lizenzmodellen als auch bei den Kosten. Ein guter Vergleich der SIEM-Tools erfordert fundierte Kenntnisse in den Bereichen Sicherheitsanalyse, Forensik und Reaktion auf Vorfälle.
Northwave hilft Ihnen gerne dabei. Wir machen das auf zwei Arten:
- Sie können diese Funktion vollständig an uns auslagern. Mehr dazu lesen Sie hier.
- Wir helfen Ihnen beim Einrichten Ihres Security Operations Centers, indem wir Ihnen bei der Auswahl eines Tools helfen (wir sind kein Vertriebspartner), Ihre Prozesse einrichten und Ihre Mitarbeiter schulen und/oder temporäre Kapazitäten anbieten.
SIEM/SOC-DIENSTLEISTUNGEN
Unser Security Operations Center (SOC) ist eines der modernsten in den Benelux-Ländern. Unser Team ist sehr erfahren und unsere Mitarbeiter waren an der Gründung und Verbesserung vieler SOCs multinationaler Unternehmen und staatlicher Behörden beteiligt.
SIEM-SPEZIALISTEN FINDEN, BINDEN, TRAINIEREN
Der Unterscheidungsfaktor ist der Mensch. Jede Plattform kann Sie im Falle eines Vorfalls benachrichtigen. Der Output eines SIEM erfordert immer eine spezielle Analyse und Kenntnis Ihrer Landschaft. Kein Tool automatisiert diesen Prozess bereits gut genug, dass man sich auf allgemeine Administratoren beschränken könnte.
Leitprinzip beim Einrichten einer SOC-Funktion ist daher nicht das Tooling, sondern die Frage, ob Sie die richtigen Personen finden und binden können, damit sie die Rolle des Analysten und des Incident-Responders gut ausüben können. Die meisten Organisationen, einschließlich multinationaler Unternehmen, sind dazu nicht in der Lage. Häufig kommt es dann zu einer Form des Outsourcings oder des Co-Sourcings.
Wir haben viel Erfahrung mit dieser Materie und Problematik. Wir können Ihnen unabhängig helfen, die richtigen Entscheidungen zu treffen. Wir tun dies für Auftraggeber aus nahezu allen Branchen. Zu ihnen gehören Organisationen, die Teil der kritischen Infrastruktur der Niederlande sind.
CYBER SECURITY AS A SERVICE
Mit dem 360-Grad-Ansatz von Northwave für Informationssicherheit stellen Sie sicher, dass Ihre wichtigen Informationen immer gut geschützt sind. Wir übersetzen abstrakte Risiken in eine konkrete Verbesserung Ihrer IT-Sicherheit.
Wünschen Sie auch eine permanente IT-Überwachung oder möchten Sie sie selbst durchführen? Kontaktieren Sie uns oder fordern Sie ein Angebot an.
