Exabeam – Next Generation SIEM für eine sichere IT

/ News

Mit Hilfe eines Security Information- und Eventmanagement Systems oder kurz SIEM können Sie sich in Echtzeit gegen die steigende Anzahl von Cyber Security Angriffen gegen Ihr Unternehmen zur Wehr setzen.

Es gilt also möglichst viele Logdaten zu konsolidieren und auf deren Basis eine Auswertung durchzuführen. Diese Technologie wurde um die Jahrtausendwende entwickelt, um ursprünglich für Banken und andere kritische Infrastrukturen den Nachweis über die Durchsetzung der Security Policy (Compliance) zu führen. Kurz darauf hat man die gleiche Technologie auch dazu verwendet Angriffe auf die Infrastruktur erkennen zu wollen. Mit statischen IP Adressen, einem zugewiesenen Rechner pro Arbeitsplatz und einem klassischen Rechenzentrum bei gleichzeitig „einfachen“ Angriffsmethoden lies sich die Aufgabe bewerkstelligen. Im Zeitalter von Cloud, BYOD, Mobile Computing und Virtualisierung versucht man weiterhin Angriffe auf dynamische IT-Infrastrukturen mit statischen Regeln zu erkennen, was mit vertretbarem Arbeitsaufwand nicht mehr möglich ist. Zudem haben Hacker neue komplexe Methoden entwickelt, die sich täglich ändern und den jeweiligen Gegebenheiten anpassen. Auch hier hat die Dynamik zugelegt, die man statisch nicht mehr erfassen kann.

Exabeam, einer unserer Technologiepartner, geht dieses Problem intelligenter an. Stellen wir uns aber zuerst die Frage, was wir erreichen wollen. SIEM dient weiterhin als Compliance Tool. Dazu benötigt man weiterhin statische Regeln (z.B. Hat User A auf Applikation B zugegriffen?). Exabeam verwendet statische Regeln aber nur für die Compliance. Weiterhin möchte man Angriffe auf Benutzer und die Infrastruktur detektieren sowie Gegenmaßnahmen (teil-)automatisieren.  Für die Angriffserkennung werden mit Machine Learning Algorithmen und Data Science Methoden Anomalien von Benutzern und Endpunkten erfasst und automatisch angezeigt. Die Technologie ist dabei ohne Konfiguration so intelligent, dass selbst Kunden mit Installationen von mehr als 60.000 Benutzern nur ca. 8-12 Alarme pro Tag bekommen.

 

Exabeam 1

 

Versucht nun ein Hacker, sich eines Accounts zu bedienen und Daten zu entwenden oder zu manipulieren wird er sich anders verhalten als der Benutzer selbst. Die aufgeräumte Oberfläche und eine komplette „Session Timeline“ pro Benutzer helfen den Angriff schnell zu erkennen und auch den Weg des Angriffs schnell nachzuverfolgen. In klassischen SIEM Lösungen dauert dies Stunden bis Tage, bei Exabeam passiert dies automatisch, selbst wenn der Angreifer den Benutzer wechselt (Account Switch).

Was sind nun die Vorteile der Exabeam Lösung?

  • Massive Reduzierung der Betriebskosten
  • Betrieb mit weniger hoch qualifizierten Personal möglich
  • Geringer Installationsaufwand (da keine Regeln nötig)
  • Lizensierung nach Usern und nicht nach Datenvolumen (!)

 

Wir sehen, dass Kunden klassische SIEM Lösungen durch Exabeam ersetzen, da sie mit Exabeam endlich die SIEM Lösung bekommen die sie eigentlich haben wollten.

Interessant sei noch anzumerken, dass man Exabeam auch auf Basis einer bestehenden SIEM Lösung betreiben kann. Haben sie also Splunk, QRadar, ArcSight oder Ähnliches schon implementiert, können sie das Advanced Analytics Modul von Exabeam aufsetzen. Planen sie eine Neuinstallation, bringt Exabeam auch einen eigenen Data Lake mit, der wie schon erwähnt, per User und nicht per Datenvolumen lizensiert wird damit die Lizenzkosten überschaubar bleiben.

Zu einer Security Intelligence Plattform gehört aber auch die (Teil-)Automatisierung der Gegenmaßnahmen. Auch hier liefert Exabeam die richtige Lösung für das Problem welche kostbare Zeit einspart. Gegenmaßnahmen können nun in immer gleicher Qualität ausgeführt werden, da sog. Playbooks diese automatisch ausführen. Genehmigungsprozesse incl. Einbindung von Ticketing Tools sind selbstverständlich enthalten.

 

exabeam 2

 

Eine Demonstration anfordern