Systeme für das Security Incident and Event Management, Teil 2Gründe für die Ablösung eines SIEM

25. Juli 2023

In der globalisierten digitalen Wirtschaft ist es von entscheidender Bedeutung, dass Unternehmen ihre Daten überwachen und schützen, um sich vor zunehmend fortschrittlichen Cyber-Bedrohungen zu schützen. Unternehmen haben inzwischen mehr Daten gesammelt als je zuvor und müssen diese nun analysieren. Laut der IDC-Studie „Data Age 2025“ wird die globale Datensphäre bis 2025 auf 163 Zettabyte (eine Billion Gigabyte) anwachsen. Das ist das Zehnfache der 16,1 Zettabyte an Daten, die 2016 erzeugt wurden.

Security Incident and Event Management (SIEM) gibt es seit 2005. Im Kern sammeln diese Systeme Daten der Logfiles aller im Unternehmen vorhandenen IT-Komponenten in Echtzeit, mit dem Ziel einer Erkennung von Anomalien über stetige Echtzeitanalysen. Jede Führungskraft ist sich im Klaren, dass sich die Bedrohungslage gravierend verändert hat, hin zu einem Hacker-Business.

Konzernartige Strukturen der Angreifer bringen immer ausgefeilte und zahlreichere Angriffe mit sich gegen jeden und alles was IT-seitig angebunden ist. Unternehmen müssen in der Lage sein, Aktivitäten, die zu potenziellen Bedrohungen führen können, nicht nur in Echtzeit zu überwachen, sondern auch in Echtzeit darauf richtig und umfassend zu reagieren. Unternehmen benötigen dazu Lösungen, mit denen interne wie externe Cyber-Sicherheitsteams im Security Operation Center (SOC) die Aufgaben des Vulnerability Managements, der Echtzeit-Mitigation und des Thread Huntings immer 24/7 nahtlos über eine Plattform durchführen können.

Gleichzeitig hat sich mit der New Work-Bewegung das Umfeld von IT-Services in Unternehmen in sehr kurzer Zeit wesentlich verändert. Das hat die vorher gut definierten Sicherheitsgrenzen aufgeweicht und bietet Cyber-Kriminellen nun eine größere Angriffsfläche. Infolgedessen wird die Netzwerkinfrastruktur immer komplexer und größer. Gleichzeitig steigt die Zahl der Probleme, die durch einen Cyber-Angriff entstehen können. Genau diese Entwicklung erfordert mehr denn je ein einfach integrierbares SIEM das sich per „Drag and Drop“ in alle erweiterten Technologien wie IAM, EDR, XDR einbinden lässt. Es entsteht eine „Single Source of Truth“ genau wie bei einem CRM-System wird das SIEM zu dem zentralen, vielleicht entscheidenden Element der Cyber-Sicherheit.

Der Fachkräftemangel ist bei der Cyber-Sicherheit ein „Skills Gap“ also eine Qualifizierungslücke. Im Ergebnis haben IT-Sicherheitsteams immer mehr Mühe, mit der Flut von Sicherheitswarnungen Schritt zu halten. Sie müssen sich häufig auf manuell erstellte Krisenpläne und ebenso manuell gepflegte dokumentenbasierte Verfahren für den IT-Betrieb und im Krisenfall verlassen. Um diese Hindernisse zu überwinden, haben viele Unternehmen im Laufe der Jahre SOAR-Lösungen im SIEM eingeführt.

Die Fähigkeit eine SIEMs ist unendlich große Datenmengen aus allen vorhandenen IT-Quellen zu sammeln und zu analysieren. Das haben insbesondere Hyperscaler wie Google und Microsoft Azure sehr schnell erkannt und verschenken ihr SIEM-Frontend.
Moderne SIEM-Lösungen müssen schnell den wachsenden Anforderungen eines Unternehmens standhalten und das setzt voraus das ein Anbieter sich vollständig auf das Thema SIEM konzentriert und es nicht irgendwie mitmacht.

Heute stehen Unternehmen SOC und Security-as-a-Service-Partner zur Seite, die ihrerseits viel Zeit und Mühe in die Einrichtung und Pflege von SIEMs investiert haben. Darüber hinaus sehen diese Teams über den Tellerrand hinaus, lernen schneller und „mitigieren“ besser. Unternehmen müssen beim Betrieb eigener SIEMs ihre IT-Sicherheitsteams permanent schulen und gleichzeitig die Arbeitsabläufe rund um das SIEM stetig effizienter operationalisieren – ein Aufwand, der Jahre dauern kann.

IT-Sicherheitsteams sollten über ein modernes SIEM nachdenken, wenn einer oder mehrere der folgenden Punkte zutreffen:

  • SIEM ist umständlich in der Bereitstellung und Verwaltung: Es hat Monate gedauert, das SIEM einzurichten. Nach einer langsamen und schwierigen Implementierung sind viele Unternehmen immer noch damit beschäftigt, neue Arten von Datenfeeds zu erfassen oder einfach nur Analysen einzurichten. Änderungen an der Konfiguration erfordern viel Zeit und Sicherheitsressourcen, um sie durchzuführen.
  • Das bisherige SIEM ist unflexibel: Die SIEM-Lösung ist auf Datentypen aus Sicherheitslösungen beschränkt, was die Analysefähigkeiten des IT-Sicherheitsteams bei der Erkennung, Untersuchung und Reaktion einschränkt. Automatisierte Anbindungen von Drittsystemen erfordert manuellen Aufwand.
  • Das SIEM ist veraltet oder eigentlich nur ein ISMS: Die Hauptfunktion des SIEM ist die Datenerfassung und bietet ohne erfahrene Analysten nur wenig Mehrwert. Es ist nicht in der Lage, mehrere Quellen für Bedrohungsdaten zu nutzen und fortschrittliche Analysen und Automatisierung durch maschinelles Lernen, Automatisierung und Orchestrierung bereitzustellen.
  • Anschaffungs- und Betriebskosten sind unvorhersehbar: Das komplizierte Preisschema des derzeitigen SIEMs macht es unmöglich, die Transparenz und die Erkennungs- und Reaktionsmöglichkeiten zu erhalten, die Unternehmen benötigen. In Wirklichkeit ist das, was angeschafft wurde, eine Plattform und keine Sicherheitslösung. Sie benötigen eine Menge erfahrenes Personal nur um das aktuelle System betriebsbereit zu halten.

Unternehmen müssen heute darauf achten, in das richtige IT-Sicherheitsfachwissen zu investieren, um potenzielle Bedrohungen abzuwehren. Zwar wurde in die Ausbildung und Schulung von Fachkräften investiert, doch die Lücke in der IT-Sicherheit wird immer größer.

Um dieser Kompetenzlücke entgegenzuwirken, müssen Unternehmen in die richtigen technologischen Fähigkeiten investieren, um der „Alarm Fatigue“ und der Überlastung durch IT-Sicherheits-Tools entgegenzuwirken. Hier kommen moderne SIEM-Lösungen ins Spiel, die über Integrationen und sogar native Tools für maschinelles Lernen und Automatisierung verfügen, um viele der Aufgaben zu erledigen, für die Unternehmen keine Mitarbeiter einstellen können.

Ein SIEM-System ist als IT-Data Lake der „Katalysator im IT-Netz“ wo alle IP-Päckchen vorbeikommen und analysiert werden können. Mit modernen integrierten SIEM-Lösungen können Unternehmen oder beauftragte Partnerunternehmen im Falle einer Bedrohung oder eines Datenlecks schnell und präzise reagieren.

Sven Bagemihl ist Regional Director für die Region CEMEA bei Logpoint.

Logpoint

Lesen Sie auch