Was wurde den Unternehmen nicht alles versprochen, was ein SIEM (Security Information and Event Management) zu leisten vermag. Eine Alarmanlage, die nur genügend Logs sammeln müsse und mit ein bisschen Konfiguration die Alarme auslöst, sobald ein Angreifer versucht, sich an den Daten zu schaffen zu machen. Je mehr Logs gesammelt würden, umso klarer würde das Bild sein, so der Tenor. Was sind wir wie die Lemminge dieser Idee hinterhergelaufen, haben immer mehr Logs eingesammelt, um schliesslich in einer Spirale von immer mehr Logs, weiteren personellen Ressourcen, mehr Applikationsüberwachung, neuen sog. Use Cases, dem Chaos immer schneller entgegenzustürzen.
Wer mit seinem SIEM zufrieden ist, betreibt es nicht richtig. Das ist die Wahrheit. Nicht nur die ständig steigenden Kosten für immer mehr zusätzliche Logquellen fressen die Budgets nachhaltig auf, sondern auch der Betrieb ist zufriedenstellend nicht mehr möglich. Rick Ferguson, ein anerkannter Security Spezialist, forderte provokant 1‘736 SOC Analysten, um die Alarme eines Unternehmens bearbeiten zu können. Selbst wenn wir der provokanten These nicht folgen, so ist es doch eine einfache Rechnung: Nehmen wir an, dass in einem SIEM nur 100 Alarme pro Tag auftauchen. Ein Grossteil davon sind Fehlalarme, sog. False Positives. Verbleiben vielleicht noch ca. 20, die man untersuchen muss. Jeder einzelne braucht dann zwischen Stunden und Tagen, um vollständig analysiert zu werden. Ein SIEM, so wie wir es kennen, ist damit gescheitert. Auch ein Managed Service ändert daran nichts. SIEM ist tot!
Was haben wir also falsch gemacht? Vieles! Wir haben zum einen versucht, eine Technologie aus der Jahrtausendwende auf moderne dynamische IT-Prozesse anzuwenden. Das ist in etwa so, als ob man mit Pfeil und Bogen ein Auto mit 200 km/h zum Stehen bringen will. Zum anderen haben wir uns wenig Gedanken darüber gemacht, was das Ziel eines SIEM’s sein soll, aber das Hamsterrad immer schön am Laufen gehalten.
Was also tun? Wir müssen umdenken. Welche Use Cases braucht man wirklich? Über 90% der erfolgreichen Angriffe, nutzen gültige Benutzernamen und Passwörter. Diesen Angriffen ist nur mit einer Anomalie Erkennung beizukommen, die automatisch und dynamisch lernt. Wir müssen uns also fragen lassen, wie fit unser SIEM gegen Insider Threat und Compromised Credentials aufgestellt ist. Weiterhin braucht es eingespielte Arbeitsabläufe, die dann beginnen, wenn traditionelle SIEM Lösungen glauben, Ihre Arbeit gemacht zu haben. Welchen Kontext brauche ich, wie bekomme ich schnell Informationen zu dem Ausmass des Angriffes, welche Gegenmassnahmen sind einzuleiten, usw. Wir brauchen also Use Cases, die von Ende zu Ende definiert sind und nicht schon nach den ersten 10% den SOC Analysten allein lassen.
Nun stellt sich noch die Frage, ob ein bestehendes SIEM zum alten Eisen gehört, also ausgetauscht werden muss. Es kommt darauf an, welche Aufgaben das bestehende SIEM hat. Sind die ganzen Compliance Regeln dort abgebildet, sind IT-Operations Prozesse damit abgestützt, dann würde man das installierte SIEM belassen, aber mit modernen Technologien ergänzen, die sich genau auf den oben beschriebenen Nutzen spezialisiert haben. Auf jeden Fall ist eine Modernisierung notwendig, um mit den dynamischen IT-Prozessen mithalten zu können. Entweder mit dem Austausch oder der Modernisierung ist Ihr SIEM dann wieder fit für die Gegenwart und Zukunft. Es lebe das neue SIEM!
Was will man also erreichen? Man will Angriffe auf die Daten und die Infrastruktur automatisch erkennen, analysieren und auch gleich Gegenmassnahmen einleiten. Nach Definition von Gartner ist das eine XDR (Extended Detection and Response) Lösung. Aber aufgepasst! Nur wenige Hersteller, wie z.B. Exabeam können herstellerübergreifend in gleicher Weise mit den Log Daten umgehen und diese automatisch analysieren. Ein sog. ‚Vendor Lock-In‘ ist also auf jeden Fall zu vermeiden. Aus SIEM wird nun also Open-XDR, sowie aus Anti-Virus EDR geworden ist. SIEM ist tot!
Erfahren Sie hier mehr darüber, wie Exabeam Sicherheitsteams dabei hilft, die Chancen zu überlisten, indem sie ihre bestehenden Sicherheitstools durch Analysen und Automatisierung intelligenter machen, oder kontaktieren Sie Ihren lokalen Exclusive Networks Account Manager.