SIEM Auswahl - Gibt es eventuell ein "SIEM-Light"?

Das IT-Sicherheitsgesetz 2.0 ist nun in Kraft. Damit wird unter anderem eine SIEM Plattform explizit verpflichtend. Doch wie identifiziert ein Unternehmen ein geeignetes SIEM? Die Angaben aus dem SIEM Quadranten des Gartner-Ranking oder vergleichbaren Quellen erweisen sich als sehr hilfreich, wenn es um Kontext der zu vergleichenden SIEM-Lösungen geht. Das ist allerdings etwas komplexer und zeitaufwändiger als es sich anhört! Und es reflektiert erst einmal die Sicht der Hersteller!

Wie so oft gibt es aber mindestens noch eine weitere Sicht! Genau so wichtig, zumindest aus unserer Projekterfahrung der letzten 20 Jahre, ist die Sicht auf die individuellen MSK-Kriterien der Organisation, die spezifischen Anforderungen und organisatorischen Rahmenbedingungen die mit Unterstützung einer dieser Lösungen erfüllt und umgesetzt werden sollen.

Aus Sicht des Marketings klingt das alles oft sehr vielversprechend und nach einem Hauch "light - wie Leichtigkeit"! Die Praxis kennt scheinbar kein Marketing. Vergleichsweise wurde bisher auch nichts über einen "42 KM Marathon light" bekannt, der einfach nur geschafft wurde, weil der Läufer den besten oder modernsten Laufschuh getragen oder eine 30%ige Abkürzung genommen hat :)

IT-Sicherheit funktioniert nur, wenn jeder in der Organisation ein MindSet dafür entwickelt und auch aktiv lebt! Tools können diesen Prozess bestenfalls unterstützen!

Aus meiner Erfahrung kann ich folgendes dazu reflektieren: "Big Data is Big Work!"

SIEM Auswahl - Security Awareness!

Eine SIEM Strategie fängt im Kopf an! Beispielsweise mit der Frage: "Wie Sie in 7 Schritten die Strategie optimieren und Cyberbedrohungen besser erkennen!"

Gerade im Zeitalter der Digitalisierung & Cloud Computing wird eine zentrale Cyber-Defense Strategie immer wichtiger!

SIEM Auswahl - Faktor Mensch!

Es muss nicht immer der Hacker sein! Sicherheitslücken sind oft hausgemacht! Konfigurationsfehler sind beispielsweise einer der Top4 Ursachen für Security Incidents und sind mit Blick auf die IT-Sicherheit genau so schwerwiegend wie die Gefahren von außen. Das zeigt, wie komplex und kompliziert die IT Landschaft geworden ist.

Das bedeutet aber auch, dass die durch eigenes oder Fremdpersonal verursachten Fehler bei einer 360 Grad Sicherheitsbetrachtung nicht differenziert betrachtet werden können. Genau diese gilt es aber zu korrigieren. Dazu benötigen wir angepasste Policies, die wir Use-Cases nennen.

Faktor Mensch = Risiko & Erfolg!

SIEM Auswahl - Risk Management

Auf Grund der Innovationsgeschwindigkeit in der IT und bei den Geschäftsprozessen ist unsere Businesswelt im steten Wandel. Herausforderung hierbei ist, dass wir aktuell noch zu wenig Mitarbeiter dafür haben, das erforderliche Know-How sehr komplex ist und die dynamischen organisatorischen Anforderungen dazu kommen.

SIEM Auswahl - Compliance

Die Gründe, sich mit dem Thema Security Monitoring intensiver auseinanderzusetzen, kommen aus unterschiedlichen Richtungen. Ich möchte bewusst nur mal den Bereich Compliance heraus greifen. Das ist ein oft genannter Punkt der in unseren SIEM Projekten genannt wird!

Für den Nachweis von Compliance sind allerdings bestimmte Berichte erforderlich. Die Erstellung dieser Berichte ist zeitaufwändig. Welche Berichte müssen erstellt werden und wie viele Ressourcen werden für diese Aufgabe gebunden? Sind die dafür notwendigen Daten überhaupt vorhanden und in welchem Format? Welche Informationen können verwendet werden, um die Informationssicherheit so zu steuern, dass die Risiken minimiert werden?

Wenn wir uns das im Detail anschauen, dann sind wir mit einer Vielzahl von Gesetzeswerken konfrontiert. Das IT-Sicherheitsgesetz beispielsweise wurde gerade im Sommer 2021 in der Version 2.0 überarbeitet. Darin wird beispielsweise der Einsatz einer SIEM Lösung explizit verpflichtend! Und ein geeignetes SIEM kann Antworten auf die gestellten Fragen liefern!

SIEM Ereignisse - Ca. 100 Mio Bewegungsspuren pro Tag

So ungefähr sieht die Realität in einem mittelständigen Unternehmen aus. Das ist eine echte Herausforderung! Oft zu viele Tools im Einsatz, zu viele Events und zu viele manuelle Tätigkeiten für meist zu wenige Analysten.

Erschwerend dazu kommt, dass Tools in unterschiedlichen Abteilungen eingesetzt werden. Was dann oft darunter leidet, ist Transparenz und die Zeit! Und damit fällt es zunehmend schwerer, mögliche Sicherheitsvorfälle besser und vor allem zeitnah zu erkennen!

SIEM Architektur

Eine entsprechende SIEM Auswahl kann dabei helfen, die relevanten Datenquellen im Blick zu haben und Silos somit weitestgehend zu eliminieren. Hilfreichen Kontext für eine Entscheidungsfindung bei SIEM Auswahl kann über das SIEM Gartner Ranking hinzugezogen werden

SIEM Markt

Den Gartner Quadranten kennen sicherlich viele. Mindestens so interessant sind aber auch die Aussagen im Gartner Report, sehr empfehlenswert sich das durchzulesen.

Hier sind Pros & Cons zu den Lösungen beschrieben und geben eine Orientierung aus Sicht der Hersteller. Genau das gilt es in der Praxis mit den eigenen Anforderungen und Rahmenbedingungen (Ressourcen, Skill, Zeit & Budget) in Einklang zu bringen.

Erst am Ende einer vollumfänglichen Betrachtung zeigt sich, welches SIEM Tool sich im Gesamtpaket eignet!

SIEM Auswahl-Kriterien - (M)uss-(S)oll-(K)ann

Es ist nicht immer einfach, herauszufinden, welche Produkte in die engere Auswahl einbezogen werden sollen. Noch schwieriger ist es, das beste Produkt für eine Organisation oder eine Abteilung innerhalb einer größeren Einheit zu finden.

Teil der Evaluierung von SIEM-Lösungen sollte aus diesen Gründen die Erstellung einer Liste mit Anforderungen und wichtigen Kriterien sein (M-S-K), die dann genutzt werden kann, um benötigte Fähigkeiten herauszufiltern, die für das jeweilige Unternehmen besonders wichtig sind.

Ein weiteres sehr wichtiges Kriterium für die SIEM-Tool-Auswahl sind die "Use-Cases", die später mit dem Tool umgesetzt werden sollen. Selbst das "beste" Tool erfordert gegebenenfalls manuellen Projekt-Aufwand für die Umsetzung eines "Use-Cases", da dieser im Standard des Tools nicht enthalten ist.

SIEM Auswahl - Support des Herstellers

Als komplexe Softwaresysteme erfordern SIEM sehr gute Unterstützung durch den Hersteller. Dies ist in Deutschland nicht bei allen Anbietern in ausreichend guter Form der Fall. Könnte aber durchaus ein Entscheidungskriterium bei der SIEM Auswahl darstellen.

SIEM Auswahl - Kick-Off

Das Projekt "SIEM Auswahlverfahren" startet mit einem gemeinsamen Kickoff, bei dem die Ziele, soweit noch nicht festgelegt, und vor allem die detaillierte Vorgehensweise festgelegt werden. Der Projektplan inklusive Meilensteine wird anschließend verabschiedet und wenn notwendig angepasst.

SIEM Auswahlverfahren - Vorgehensweise

Das Projektvorgehen beinhaltet eine GAP-Analyse, die auf Basis des Inputs zu den dokumentierten Projektanforderungen erfolgt. Die Projektanforderungen werden in einer Mind-Map erfasst und dokumentiert.

Dieses Dokument wird laufend aktualisiert, gemeinsam abgestimmt und an die beteiligten Projektabteilungen als PDF Export verteilt.

SIEM Auswahl - Ergebnispräsentation

Die Ergebnisse aus dem SIEM Kriterienkatalog fließen in eine SWAT Analyse ein, die als Basis für die Produktentscheidung für den PoC dient. Die Entscheidung über das im PoC einzusetzende Produkt wird in einem Abstimmungsmeeting nach der Präsentation der Analyseergebnisse getroffen.

SIEM Auswahl - Budget & Sizing

Für das Budget bei der Beschaffung eíner SIEM Lösung ist das Sizing, also die Größenberechnung, ein wesentliches Kriterium. Dabei spielt das Lizenzmodell des Herstellers eine wesentliche Rolle.

SIEM Lizenzmodell

Es gibt unterschiedliche Arten von Lizenzmodellen bei SIEM-Systemen. Diese variieren je nach Hersteller:

• Basierend auf der (maximal) zu verarbeitenden Logdatenmenge (EPS: Events per Second)
• Basierend auf der Anzahl Logdatenquellen (Devices)
• Basierend auf der Logdatenmenge (GB/Tag)

Einige SIEM-Hersteller verwenden auch Lizenzmodelle aus Kombinationen dieser Methoden.

Zur Ermittlung der tatsächlich notwendigen Beschaffungskosten ist ein detailliertes SIEM-Sizing notwendig. Auf Basis dieses Sizing sollten individuelle Angebote eingeholt werden. Um dies vorzubereiten könnte ein PoC wertvolle Dienste leisten.

Für ein SIEM-Tool-Auswahlverfahren in Ihrem Unternehmen unterstützen wir Sie gerne mit unserer Erfahrung!