Die Herausforderungen bei einem SIEM

Die frühzeitige Erkennung von Cyber-Angriffen gehört zu den grundlegenden Aufgaben eines Security Operations Centers (SOC). Viele Unternehmen haben in der Vergangenheit als zentrales Element ein Security Information & Event Management System (SIEM) eingesetzt, welches auf Basis von Log-Daten sowie darauf aufbauenden «Detection Use Cases» Angriffe erkennen soll.

Dieser Ansatz gerät jedoch immer mehr unter Druck, mögliche Gründe sind:

Ungenügende Threat Coverage

• Trotz des teils aufwendigen Use Case Engineerings wird keine zuverlässige Erkennung erreicht.
• Die Transparenz hinsichtlich Abdeckung fehlt oder wird der Dynamik der Bedrohungslandschaft nicht gerecht (z.B. mittels eines dynamischen Mappings auf die Angreifer-Taktiken und -Techniken gemäss MITRE ATT&CK).
• Use Cases, die einmal funktioniert haben, werden nicht regelmässig getestet und funktionieren irgendwann nicht mehr.

Stetig steigende, zu hohe Kosten

• Die klassischen SIEM-Anbieter lizenzieren nach dem Log-Volumen, dies führt zu einer schlechten Planbarkeit und stetig steigenden Kosten.
• Im schlechtesten Fall können sicherheitsrelevante Logs nicht mehr an das SIEM gesendet werden, da die Kosten zu hoch würden.

Zu viele Security Events/False-Positives

• Eine ungenügende Qualität der Use Cases führt zu einer hohen Anzahl an Security Events sowie False-Positives.
• Das SOC Team verwendet wertvolle Zeit bei der manuellen Analyse potenzieller Security Events, die sich im Gesamtkontext als uninteressant herausstellen.

Zusammengefasst könnte man sagen, dass der klassische SIEM-Ansatz mit den immer komplexeren IT-Landschaften und den sich schnell verändernden Bedrohungsszenarien an seine Grenzen stösst.

Die Problematik wurde von der Security-Industrie zwar erkannt, diese hat aber auch zugleich mit vielen neuen Begriffen wie XDR (eXtended Detection & Response) und eigenen Interpretationen für Verwirrung bei den Anwendern gesorgt.

Bevor man sich auf die Suche nach einer SIEM-Alternative macht, sollte man sich daher zuerst über einige Anforderungen Gedanken machen, folgende Fragestellungen können dabei helfen:

Wo soll die zukünftige Lösung betrieben werden?

• Via Cloud oder On-Premise?
• Gibt es Einschränkungen bezüglich Datenhaltung (im Ausland)?

Wie sieht das Lizenzmodell idealerweise aus?

• Volumenbasiert vs. Endpoint-basiert?

Werden Detection Use Cases bereitgestellt und gepflegt?

• Können bei Bedarf eigene Use Cases erstellt werden?
• Ist die Abdeckung, z.B. gemäss MITRE ATT&CK Framework, jederzeit einsehbar?

Geschlossenes oder offenes Ökosystem?

• Passt mein Security Stack zum Integrations-Ökosystem des Anbieters?
• Sollen eigene Datenquellen angebunden werden können?

Auf welcher Ebene soll die Korrelation stattfinden?

• RAW-Telemetrie vs. Alert-Daten-Korrelation?

Erwarteter Automatisierungsgrad

• Hinsichtlich Korrelation, Investigation und Response?

Eine zentrale Komponente, welche die Anforderungen stark beeinflusst, ist der mittelfristig angestrebte Maturitätsgrad. Einschränkungen, die zu Beginn kaum ins Gewicht fallen, können mit Erhöhung der Maturität zum Problem werden. Es empfiehlt sich, das Zielbild für die nächsten zwei bis drei Jahre bereits mitzuberücksichtigen.

Viele Unternehmen setzen im Bereich Cyber Defense auf einen Managed-Service-Partner, da der Aufbau eines eigenen SOC mit 24/7-Bereitschaft in den meisten Fällen wirtschaftlich nicht sinnvoll ist. Der Managed-Service-Partner stellt im Normalfall neben den benötigten Cyber-Security-Experten und Prozessen auch die Detection-Technologie als Teil des Services bereit. Auch wenn die Technologie bei der Wahl des geeigneten Managed-Service-Partners etwas weniger stark im Vordergrund steht, sollten die erwähnten Aspekte genauso sorgfältig geprüft werden.

Sind die Anforderungen, das Betriebsmodell und das mittelfristige Zielbild definiert, kann die Suche nach einem passenden Managed-Service-Partner oder Lösungsanbieter starten. Dabei empfiehlt es sich, auf der geschaffenen Basis eine «Shortlist» von zwei bis drei passender Partner und Anbieter zu erstellen, um sich nicht im «Security-Analytics-Dschungel» zu verirren. Bevor man sich auf Begrifflichkeiten wie XDR, Next-Gen SIEM, SOC-Plattformen usw. zu sehr versteift, ist es wichtig, das Angebot hinsichtlich Service-Umfang (SLA) und Technologie zu verstehen. Anbieter mit einem modularen Aufbau ermöglichen eine Steigerung der Maturität über mehrere Ausbaustufen.

Der Security-Analytics-Markt ist aktuell stark im Umbruch. XDR-Anbieter, die vielfach aus dem Endpoint-Detection-and-Response-Bereich (EDR) heraus entstanden sind, ermöglichen die Korrelation mit zusätzlichen Datensourcen aus den Bereichen Identität, Cloud, Netzwerk, Mail, Web und weiteren Domänen. Diese Anbieter erweitern somit die Threat Detection des EDR um sinnvolle Integrationen, meist in einem geschlossenen Ökosystem des Herstellers sowie definierten Technologie-Partnern. Für viele Anwender, speziell im Bereich der mittelständischen Unternehmen, stellt dies eine sehr kosteneffiziente Möglichkeit dar, die Erkennung von Cyber-Bedrohungen zu erweitern. Eine vollständige Ablösung eines SIEM ist zumindest zum aktuellen Zeitpunkt, aber nicht in allen Fällen möglich. Sind die Anforderungen hinsichtlich der zu integrierenden Datensourcen und Korrelation umfangreicher, gibt es moderne Security-Analytics-Plattformen, welche die Vorteile des XDR-Ansatzes, bei welchem das Detection Engineering durch den Anbieter zu grossen Teilen übernommen wird, mit der Flexibilität eines SIEM vereinen. Das AVANTEC Cyber Defense Team evaluiert laufend neue Lösungen und berät Unternehmen bei der Ausgestaltung der Threat Detection. Gerne steht unser Team jederzeit für einen unverbindlichen Austausch zur Verfügung.

www.avantec.ch/services/cyber-defense-center

www.tec-bite.ch/welches-soc-passt-intern-extern-hybrid-passende-soc

www.tec-bite.ch/cyber-security-ist-teuer-auch-gleich-besser

www.tec-bite.ch/erhoehung-der-cyber-resilience-cybersecurity-vorfaelle-richtig-trainieren