Ein SIEM-System ist heute ein zentrales und notwendiges, aber auch sehr komplexes IT-Security-Ökosystem. Es ist weit mehr als nur ein „Tool“ und erfordert tiefgehendes Wissen über die zu integrierenden Datenquellen. Logmanagement allein ist kein SIEM und SIEM ist nicht nur Logmanagement! Logmanagement ist ein Teil der benötigten 360-Grad-Sicht, um fehlende Transparenz herzustellen. SIEM benötigt wesentlich mehr Kontext als nur Logdaten! Um Phishing, Malware und Mis-Konfigurationen zu erkennen, werden auch Netzwerkaktivitäten, User Analytics, Assets, Schwachstelleninformationen und weitere Indikatoren für IoCs benötigt.
Gründe für das Scheitern von SIEM-Projekten
Oftmals wiederholen sich dieselben Fehler, die ein SIEM-Projekt scheitern lassen. Eine zentrale SIEM-Strategie beginnt im Kopf und erfordert von Anfang an einen Mindset-Change. Am Ende dieses Prozesses stehen dann die „Tools“, die helfen können, die SIEM-Strategie lösungsorientiert umzusetzen oder anzupassen. Häufig wird versucht, SIEM durch ein einzelnes Tool zu lösen. Doch genau hier liegt der Kern des Problems. SIEM erfordert zuerst einen Mindset-Change, eine klare Zielsetzung, Durchhaltevermögen, Disziplin und Regelmäßigkeit.
SIEM ist als „Mannschaftssport“ zu verstehen. Alle im Team müssen die Strategie kennen und ihre Rollen umsetzen. Regelmäßiges Training ist essenziell.
Fehlerquellen und Lösungsansätze
1. Infrastruktur der SIEM-Lösung Je umfangreicher die IT-Landschaft, desto leistungsfähiger muss die SIEM-Architektur sein. Eine einfache VM mit minimalen Anforderungen reicht nicht aus. Leistungsstarke, bei größeren Deployments auch hochverfügbare Systeme (HA-Systeme), sind notwendig. Halten Sie sich stets an die empfohlenen Parameter des Herstellers und unterschätzen Sie nicht die Kosten für Betrieb und Pflege solcher Systeme.
2. Fehlendes oder unvollständiges Asset-Management Unbekannte Assets können nicht überwacht werden. Lückenhafte oder veraltete Informationen führen dazu, dass wichtige Komponenten übersehen werden. Ein strukturierter Onboarding-Prozess für Datenquellen ist entscheidend. Nur wenn klar ist, wofür ein IT-System eingesetzt wird, können die richtigen Maßnahmen ergriffen werden.
3. Onboarding der Datenquellen Das Onboarding von Datenquellen kann je nach Produkt und Reifegrad der Lösung zur Herausforderung werden. Detaillierte Dokumentationen sind notwendig, um sicherzustellen, dass die erwarteten Daten im passenden Format ankommen und normalisiert werden können. Besonders individuelle Software erfordert erhöhten Aufwand für das Onboarding.
4. Auswahl der SIEM-Lösung (Cloud, On-Prem, Multi-hybrid Cloud) In Unternehmen müssen oft hunderte bis tausende Assets überwacht werden. Die Komplexität der Cloud-Rahmenbedingungen erhöht die Anforderungen. Eine unzureichend dimensionierte Internet-Leitung kann die Performance eines SIEM-Deployments mindern. Auch hohe Datenmengen können das Budget belasten.
5. Fehlende Testumgebung Testen Sie immer vorher! Die Anbindung neuer Assets, Log-Datenquellen und Parser sollte vorab getestet werden, um Seiteneffekte oder unerwartete Abhängigkeiten zu erkennen und Überraschungen zu vermeiden.
6. Zu wenig Zeit für SIEM SIEM ist kein Projekt, sondern ein Ökosystem. Es erfordert Zeit, Geduld und Durchhaltevermögen. Analysten benötigen Zeit, um Root-Cause-Analysen durchzuführen und sich in die komplexen Technologien einzuarbeiten.
7. Auswahl eines geeigneten Dienstleisters Die Auswahl eines IT-Dienstleisters sollte nicht nur nach Größe, sondern auch nach Praxiserfahrung, Hands-On-Kompetenz, Team-Strukturen und Schulungsangeboten erfolgen. Vertrauen ist ebenso wichtig.
8. Kosten und Nutzen SIEM hat seinen Preis und das Return-of-Security-Investment lässt sich schwer bemessen. SIEM bedeutet Big Data und damit „big work“. Ein „SIEM-light-Bezahl-Model“ existiert derzeit nicht. Gesunder Menschenverstand bleibt essenziell.
9. Use Case Definition und Rahmenbedingungen Ein Use Case steht in engem Zusammenhang mit den erforderlichen Log-Datenquellen. Generische Use Cases ohne Berücksichtigung der Datenquellen führen zu erhöhtem Aufwand für Test, Analyse und Troubleshooting. Auch die SIEM-Performance kann durch die Use-Case-Erstellung beeinflusst werden.
10. KI, Generative AI und intelligente IT-Security-Lösungen Auch intelligente Werkzeuge erfordern viel Hands-On, Disziplin und Training. AI kann unterstützen, aber nicht alle Probleme lösen. Der Mensch bleibt entscheidend für die finale Bewertung der Ergebnisse.
Conclusion
Ein ausgewogenes Team aus Kunden und erfahrenen SIEM-Experten ist entscheidend. Nur durch gemeinsame „Lessons learned“ können SIEM-Strategien optimiert und weiterentwickelt werden.
Hinweis: Dieser Artikel orientiert sich thematisch an einem Beitrag von Stephan H. Wenderlich / Security Insider (15.05.2024) und wurde durch zusätzliche Perspektiven und Ergebnisse erweitert.
Managed SIEM - die Vollumfängliche Überwachung Ihrer IT Infrastruktur Mit dem connecT MANAGED SIEM haben Sie die Möglichkeit für eine sichere Überwachung und Visualisierung Ihrer IT Infrastruktur zu sorgen.
