siem
Wichtige Frage bei Sicherheitsvorfällen: Was ist vorher passiert? Oft führen die Spuren zu kompromittierten Benutzerkonten. Der Verkauf von Anmeldedaten ist schon fast eine eigene kriminelle Branche geworden. Auf illegalen Märkten werden massenhaft Benutzernamen und Passwörter feilgeboten. Damit werden Angriffe auf Unternehmensinfrastrukturen zum Kinderspiel. Verschiedenste Methoden für den Fernzugriff machen es den Kriminellen noch einfacher. Im Anfangsstadium wirken solche Angriffe meist wie legitime Aktionen der Mitarbeiter und bleiben den herkömmlichen Sicherheitsmechanismen häufig verborgen.
Maßnahmen und Richtlinien zum Schutz von Benutzerkonten und Passwörtern sind schön und gut, reichen aber längst nicht aus. Allzu leicht können Passwörter von Mitarbeitern in die falschen Hände geraten: Phishing-Angriffe und Infostealer-Malware warten an jeder Ecke. Oder nachlässige Mitarbeiter verwenden dasselbe Passwort für geschäftliche und private Benutzerkonten oder passen einfach nicht auf ihre Daten auf.
Wenn es um Angriffe auf Unternehmensinfrastrukturen geht, sind nicht nur Tools erforderlich, die bestimmte Bedrohungen identifizieren können. Ebenso unentbehrlich ist hier eine Verhaltensanalyse, die Abweichungen von normalen Benutzer- und Systemprozessen erkennt.
Erkennung von kompromittierten Accounts – KI in SIEM
Wie bereits in einem anderen Beitrag erwähnt, haben wir unser SIEM-System (Kaspersky Unified Monitoring and Analysis Platform) mit einer Reihe von UEBA-Regeln ausgestattet. Diese verbessern die Erkennung von Angriffen, bei denen kompromittierte Konten ausgenutzt werden. Sie erkennen Anomalien bei Authentifizierungsprozessen, in der Netzwerkaktivität und bei der Ausführung von Prozessen auf Windows-basierten Workstations und Servern. Im neuesten Update haben wir das System in die gleiche Richtung weiterentwickelt und um KI-Ansätze erweitert.
Das System erstellt Authentifizierungsvorgängen ein Modell für normales Benutzerverhaltens und überwacht Abweichungen von üblichen Szenarien: untypische Anmeldezeiten, ungewöhnliche Ereignisketten und anomale Zugriffsversuche. Mit diesem Ansatz kann das SIEM-System sowohl Authentifizierungsversuche mit gestohlenen Anmeldedaten als auch die Nutzung bereits kompromittierter Benutzerkonten aufdecken. Dazu zählen auch komplexe Szenarien, die zuvor unbemerkt geblieben wären.
Das System sucht nicht nach einzelnen Indikatoren, sondern analysiert Abweichungen von normalen Mustern. Komplexe Angriffe werden früher erkannt und gleichzeitig wird die Anzahl falsch positiver Ergebnisse reduziert. Und nicht zuletzt: Das SOC-Team wird erheblich entlastet.
Bisher war die Verwendung von UEBA-Regeln zur Anomalie-Erkennung relativ aufwendig: Es ging nicht ohne mehrere vorläufige Regeln und extra Listen mit zwischengespeicherten Daten. Die neue SIEM-Version hat einen neuen Korrelator. Darum können Diebstähle von Benutzerkonten jetzt mithilfe einer einzigen spezialisierten Regel dingfest gemacht werden.
Weitere Neuerungen in Kaspersky Unified Monitoring and Analysis Platform
Je komplexer die Infrastruktur und je mehr Ereignisse, desto wichtiger werden die Leistung der Plattform, die Flexibilität bei der Zugriffsverwaltung und praktische Aspekte. Ein modernes SIEM-System muss Bedrohungen präzise erkennen und zudem auch „resilient“ sein, ohne dass Geräte ständig aktualisiert und Prozesse neu erstellt werden müssen. Daher sind wir in Version 4.2 einen Schritt weiter gegangen, um die Plattform praktischer und flexibler zu gestalten. Die Neuerungen betreffen Architektur, Erkennungsmechanismen und Benutzererfahrung.
Neu: flexible Rollen und granulare Zugriffskontrolle
Eine der wichtigsten Neuerungen in der neuen SIEM-Version ist das flexible Rollenmodell. Die Kunden können jetzt eigene Rollen für verschiedene Systembenutzer erstellen und vorhandene Duplikate sowie Zugriffsrechte für die Aufgaben bestimmter Spezialisten anpassen. Vorteile: genauere Unterscheidung der Verantwortlichkeiten von SOC-Analysten, Administratoren und Managern, verringertes Risiko von überflüssigen Berechtigungen und mehr Transparenz für interne Unternehmensprozesse in den SIEM-Einstellungen.
Neuer Korrelator – stabilere Plattform
In Version 4.2 stellen wir die Beta-Version eines neuen Korrelationsmoduls (2.0) vor. Es verarbeitet Ereignisse schneller und entlastet die Hardware. Für die Kunden bedeutet dies:
- stabiler Betrieb unter hoher Belastung
- Verarbeitung großer Datenmengen, ohne dass die Infrastruktur dringend erweitert werden muss
- verbesserte Vorhersehbarkeit der Leistung
Berücksichtigung von TTPs gemäß MITRE ATT&CK-Matrix
Außerdem bauen wir die Integration der MITRE ATT&CK-Matrix für Techniken, Taktiken und Prozeduren systematisch weiter aus: Kaspersky SIEM deckt derzeit mehr als 60 % der gesamten Matrix ab. Die Erkennungsregeln werden regelmäßig aktualisiert und durch Empfehlungen für geeignete Reaktionen ergänzt. Dadurch können Kunden feststellen, welche Angriffsszenarien bereits unter Kontrolle sind, und ihr Schutzkonzept auf Basis eines branchenweit anerkannten Modells optimal planen.
Weitere Verbesserungen
Daneben bietet Version 4.2 eine Backup- und Wiederherstellungsfunktion für Ereignisse sowie den Datenexport in sichere Archive mit eingebauter Integritätskontrolle. Dies ist besonders wichtig für Untersuchungen, Audits und Compliance. Analysten werden entlastet, da Abfragen im Hintergrund ablaufen. Komplexe und ressourcenintensive Suchvorgänge können jetzt im Hintergrund ausgeführt werden und bremsen wichtige Aufgaben nicht aus. Das heißt: Vollgas bei der Analyse großer Datenmengen.
Wir aktualisieren Kaspersky SIEM regelmäßig, erweitern die Erkennungsfunktionen, verbessern die Architektur und fügen KI-Funktionen hinzu, damit die Plattform dem harten Alltag von Informationssicherheitsteams optimal gewachsen ist. Denn ein SIEM-System soll nicht nur auf Vorfälle reagieren, sondern muss ein nachhaltiges, zukunftsfähiges Schutzmodell bieten. Auf der offiziellen Produktseite finden Sie immer die neuesten Infos über unser SIEM-System Kaspersky Unified Monitoring and Analysis Platform.
