Bekämpfung von Cyberbedrohungen mit SIEM und Bedrohungsintelligenz der nächsten Generation

Exabeam Bedrohungsintelligenz Services (TIS) mit SIEM: SIEMs sind zwar für die SOC-Cybersicherheit von zentraler Bedeutung, reichen aber oft nicht aus. Angesichts der zunehmenden Raffinesse organisierter, moderner Cyber-Angreifer und ihrer hochgradig zielgerichteten Techniken können Unternehmen allein durch die Verwendung von SIEM ernsthafte Schwachstellen aufweisen.

​SIEMs sind zwar für die SOC-Cybersicherheit von zentraler Bedeutung – sie sammeln Protokolle und Daten aus verschiedenen Netzwerkquellen zur Auswertung, Analyse und Korrelation von Netzwerkereignissen zur Bedrohungserkennung –, reichen jedoch oft nicht aus. Angesichts der zunehmenden Raffinesse organisierter, moderner Cyber-Angreifer und ihrer hochgradig zielgerichteten Techniken können Unternehmen allein durch die Verwendung von SIEMs ernsthafte Schwachstellen aufweisen. Um Cyber-Angreifer optimal zu identifizieren und zu stoppen und die Leistungsfähigkeit ihrer SIEM-Sicherheit zu verbessern, benötigen Unternehmen ein umfassendes Arsenal an Tools, die ihnen helfen, die Denkweise, Vorgehensweise und Ziele der Angreifer zu verstehen.

Bedrohungsintelligenz zusätzlich zu SIEM

Durch die Nutzung von Threat Intelligence zusätzlich zu SIEM können Unternehmen einen besseren Einblick in ihre Bedrohungslandschaft gewinnen und so den nötigen Kontext für die Überwachung und Bestimmung der Aktionen böswilliger Akteure schaffen sowie ermitteln, wo Unternehmen bei einem Angriff am anfälligsten sein könnten.

Was genau ist also Threat Intelligence? Laut Gartner handelt es sich bei Threat Intelligence um beweisbasiertes Wissen, das Kontext, Mechanismen, Indikatoren, Auswirkungen und umsetzbare Ratschläge zu einer bestehenden oder entstehenden Bedrohung oder Gefährdung von Vermögenswerten umfasst und als Grundlage für Entscheidungen über die Reaktion des Betroffenen auf diese Bedrohung oder Gefährdung dienen kann.

„SIEM und Threat Intelligence Feeds sind eine himmlische Verbindung“, so Anton Chuvakin, Research VP und Distinguished Analyst bei Gartner. „Tatsächlich sollte jeder SIEM-Benutzer technische TI-Feeds in sein SIEM-Tool einspeisen.“

Tipps vom Experten

Steve Moore ist Vice President und Chief Security Strategist bei Exabeam. Er entwickelt Lösungen zur Bedrohungserkennung und berät Kunden zu Sicherheitsprogrammen und der Reaktion auf Sicherheitsverletzungen. Er ist Moderator des „The New CISO Podcast“, Mitglied des Forbes Tech Council und Mitbegründer von TEN18 bei Exabeam.

Meiner Erfahrung nach sind hier einige Tipps für die effektive Integration und Nutzung von Threat Intelligence Services (TIS) mit einem SIEM wie Exabeam, um die Sicherheitslage Ihres Unternehmens zu verbessern:

Aktivieren Sie die proaktive Bedrohungssuche
Nutzen Sie TIS, um proaktiv nach Bedrohungen in Ihrer Umgebung zu suchen. Durchsuchen Sie historische Protokolle nach Indikatoren für Kompromittierungen (IOCs) aus Threat Intelligence-Feeds, um ruhende Bedrohungen oder übersehene Erkennungen zu identifizieren.

Priorisieren Sie hochwertige Threat Intelligence-Feeds
Nicht alle Threat Intelligence-Feeds sind gleich. Konzentrieren Sie sich auf Feeds, die kuratiert, regelmäßig aktualisiert und für Ihre Branche relevant sind. Vermeiden Sie es, Ihr SIEM mit wenig wertvollen Feeds zu überlasten, die nur für Verwirrung sorgen, ohne verwertbare Erkenntnisse zu liefern.

Kontextualisieren Sie Bedrohungsinformationen mit internen Daten
Nutzen Sie Ihr SIEM, um Bedrohungsindikatoren wie bösartige IPs oder Domänen mit Ihren internen Daten zu korrelieren. Diese Kontextualisierung hilft dabei, spezifische Bedrohungen für Ihre Umgebung zu identifizieren, wie verdächtige Verbindungen oder kompromittierte Konten.

Integrieren Sie die Bedrohungsbewertung in Risikomodelle
Kombinieren Sie Bedrohungsinformationen mit der Analyse des Benutzer- und Entitätsverhaltens (UEBA) in Ihrem SIEM. Weisen Sie beispielsweise Benutzern, die mit gekennzeichneten IPs oder Domänen interagieren, höhere Risikobewertungen zu und verbessern Sie so die Priorisierung von Warnmeldungen.

Automatisieren Sie Anreicherungs-Workflows
Nutzen Sie Automatisierung, um Warnmeldungen mit Bedrohungsdaten anzureichern. Erkennt ein SIEM beispielsweise eine Kommunikation mit einer verdächtigen IP-Adresse, automatisieren Sie die Suche nach zugehörigen Bedrohungsdaten, um Analysten sofort umsetzbare Erkenntnisse zu liefern.

Wenn die Nutzung von Bedrohungsintelligenz nicht ausreicht

Viele Unternehmen profitieren von der Nutzung von Threat Intelligence, um ihr SIEM besser priorisieren, steuern und aufwerten zu können. Allerdings ist es für sie oft schwierig zu verstehen, wie sie dies effektiv umsetzen können.

Viele Organisationen verlassen sich auf veraltete, signaturbasierte Intelligence-Feeds, die jedoch unzureichend sind. Ein tieferes kontextuelles Verständnis der Herkunft und des Bewertungsprozesses der Intelligence-Feeds ist erforderlich, damit die Informationen richtig genutzt werden können und nicht nur Rauschen darstellen.

Darüber hinaus stoßen selbst die besten Analysten an ihre Grenzen und kämpfen mit der Informationsflut, die sie überflutet, wie beispielsweise der enormen Anzahl an Fehlalarmen. Angesichts des Fachkräftemangels ist es zudem immer eine Herausforderung, die richtigen Talente zu finden. Und schließlich schalten SOCs die Bedrohungsinformationen in ihrem SIEM allzu oft ein, schalten sie aber aufgrund der Flut an Alarmen und Fehlalarmen schnell wieder ab.

Vorteile der Kombination von SIEM und Bedrohungsintelligenz

Richtig implementiertes SIEM mit integrierter Bedrohungsanalyse kann die Abwehr Ihres Unternehmens verbessern, Zeit sparen und Ihnen helfen, bessere strategische Sicherheitsentscheidungen zu treffen. Hier sind einige Vorteile:

• Schnellere Erkennung– Durch die Kombination interner SIEM-Daten mit Bedrohungsdaten können Unternehmen Bedrohungen in Echtzeit erkennen. Die Anwendung von Bedrohungsdaten bei der Erkennung potenzieller Angriffsindikatoren trägt zu leistungsstarken Sicherheitsfunktionen bei.
• Verbesserte Reaktion– Mit einem integrierten Mechanismus zur Bedrohungsaufklärung und eingebauten Regeln können Unternehmen Daten kontextualisieren und Bedrohungen besser verstehen, um daraus umsetzbare Erkenntnisse zu gewinnen.
• Produktivitätssteigerung– Es kann dazu beitragen, zuvor manuelle Aufgaben zu automatisieren und die Produktivität bei Sicherheitsvorgängen zu verbessern.

Exabeam Bedrohungsintelligenz Services (TIS)

Exabeam Bedrohungsintelligenz Services (TIS) bietet in Echtzeit umsetzbare Einblicke in potenzielle Bedrohungen, die SOCs benötigen, indem es Indikatoren für Kompromittierungen (IOC) und bösartige Hosts aufdeckt.

Exabeam ist das erste Enterprise-SIEM, das nativ entwickelte Threat-Intelligence-Dienste vollständig direkt in seine SIEM-Plattform und alle ihre Arbeitsabläufe integriert.

Exabeam TIS nutzt automatisch die IP- und Domänenreputation, ohne dass Apps installiert, Skripte geschrieben oder Workflows geändert werden müssen. TIS kann in Korrelationsregeln oder Verhaltensanalysemodellen verwendet werden, um bestimmte Benutzer und Entitäten mit Risiken zu versehen. Sie können beispielsweise Regeln hinzufügen, um automatisch Warnmeldungen zu erhalten, wenn in Ihrer Umgebung eine IP des Threat Intelligent Service gefunden wird, oder es für Analysen verwenden, die den Risikobewertungsalgorithmus ergänzen.

Exabeam Bedrohungsintelligenz Services ist sofort einsatzbereit und bietet neue Sicherheitsfunktionen ohne zusätzliche Kosten oder Auswirkungen für Kunden. Mit dem direkt in Ihr SIEM integrierten Threat Intelligence Feed verfügen Sie stets über die aktuellsten Bedrohungsinformationen und können neue und aufkommende Angriffe schnell erkennen und abwehren.