SIEM-Projekte erfolgreich meistern – aber wie?

Autor
Björn Steffens
Veröffentlicht
14. September 2020

SIEM-Projekte sind von Natur aus komplex, langwierig und mit einem beträchtlichen Budget ausgestattet. Wie können SIEM-Projekte erfolgreich gemeistert werden? Im folgenden Blogartikel beschreibt Björn Steffens, Senior Security Engineer & Architect bei InfoGuard seine langjährige Erfahrung mit SIEM-Projekten, welche Herausforderungen sie mit sich bringen und wie sie erfolgreich geführt werden.

SIEM-Projekte und ihre Herausforderungen

SIEM (Security Information & Event Management) ermöglicht einen ganzheitlichen Blick auf die IT-Sicherheit. Dank der real-time Analyse von Informationen aus Ihrer Infrastruktur werden Bedrohungen und Schwachstellen in der ICT-Infrastruktur aufgedeckt, so dass diese gezielt und schnell eliminiert werden können. Gleichzeitig erhalten Sie die vollständige Transparenz über die Sicherheit Ihrer ICT-Infrastruktur und können so das Sicherheitsniveau nachhaltig erhöhen.

SIEM-Projekte werden schnell umfangreich da viele, wenn nicht sämtliche Bereiche in der IT-Organisation tangiert werden. Die technische SIEM-Installation selber ist nur ein Bruchteil vom Gesamtaufwand. Die organisatorischen und personellen Aspekte spielen auch eine wichtige Rolle und werden häufig ungenügend beleuchtet. Die grössten Herausforderungen lassen sich, wie folgt zusammenfassen:

  • Organisation: Es gibt immer eine grosse Anzahl von Plattformen über viele Teams hinweg, die mit der SIEM-Lösung und den Incident Response Plattformen koordiniert und integriert werden müssen.
  • Standards bzw. das Fehlen von Standards: Jeder Anbieter stellt seine eigenen Protokollformate und Syntax zur Verfügung. Die Wartung und der Aufwand für die Pflege dieses Parsers oder Übersetzers, die zur Normalisierung der Daten erforderlich ist, ist umständlich und zeitaufwändig.
  • Eigenentwickelte Anwendungen: Kundenspezifische Anwendungen werden mit einem eigenen Satz von Protokollen und Formaten geliefert, die ebenfalls geparst und normalisiert werden müssen. Dadurch wird die bereits grosse Anzahl von Anbieterformaten noch erweitert.
  • Herausforderungen in Bezug auf die Architektur und Kapazität: Die Planung und Dimensionierung einer SIEM-Lösung ist äusserst schwierig und die Erwartung sie gleich beim ersten Mal richtig zu meistern, ist unrealistisch.
  • Verfügbare und qualifizierte Ressourcen: SIEM-Projekte erfordern aufgrund der bereits oben erwähnten Komplexität erfahrene und technisch versierte Mitarbeitende. Es sind mindestens drei verschiedene Rollen erforderlich, um ein SIEM-Projekt zu starten: Sicherheitsarchitekt/Sicherheitsingenieur, Sicherheits-/SOC-Analytiker und ein Coach oder Projektleiter. Diese Fähigkeiten sind schwierig auf dem Arbeitsmarkt zu finden.

Was sind die Kostentreiber?

Die meisten SIEM-Projekte durchlaufen oftmals eine lange und teure Phase der Architektur- und Kapazitätsanpassung, in der die Informationen berücksichtigt werden, die bei der anfänglichen Erfassung der funktionalen und nicht funktionalen Anforderungen fehlten. Warum werden diese Anpassungen so teuer?

  • Die Log-Quellen, die das Gold der Cybersicherheit in Form von Protokollen liefern, werden meist manuell konfiguriert oder erfordern die Neukonfiguration kundenspezifischer Arbeitspakete, was zu einer Belastung für die bereits überlasteten Infrastrukturteams wird. Dazu kommen Log-Quellen, die sich in der Cloud befinden.
  • Die Infrastruktur der SIEM-Kollektoren ist in der Regel auf komplexe Netzwerksegmente ausgelegt, um Logs über Router und Firewalls hinweg zu erhalten. Solche Änderungen müssen sorgfältig überlegt werden und sind keineswegs schnelle Lösungen. Wenn SIEM-Infrastrukturkomponenten verschoben oder neue Komponenten eingesetzt werden müssen, dauert es gewöhnlich Wochen bis Monate, bis sie fertig gestellt sind.
  • Die Verfügbarkeit von Infrastrukturteams, die bei Änderungen an der Konfiguration von Netzwerk und Protokollquellen helfen, werden aufgrund der bestehenden Arbeitsbelastung schnell zu einer Herausforderung. Oder diese Teams sind vielleicht nicht mehr verfügbar oder wurden ausgelagert.
  • Aufgrund der Menge an Technologien und Ressourcen, die mit der Planung solcher Änderungen verbunden sind, wird die Planung solcher Änderungen zu einem grösseren Unterfangen. Dies erfordert die notwendigen Fachkenntnisse, da das Know-how über die gesamte Infrastruktur benötigt wird, die von solchen Änderungen betroffen ist.

So wird Ihr SIEM-Projekt ein Erfolg

Gibt es einen Weg, diese Probleme zu vermeiden? Ja, und die Antwort ist einfach:

  1. Planen Sie einen Projektleiter ein und gehen Sie davon aus, dass es Änderungen geben wird. Stellen Sie sicher, dass die SIEM-Architektur so aufgebaut ist, dass Infrastrukturanpassungen möglich sind und dass einige «Was-Wäre-Wenn»-Szenarien im Detail definiert werden.
  2. Konzentrieren Sie sich auf die Szenarien, von denen Sie wissen, dass sie teuer werden könnten. Stellen Sie sich die Frage: «Was ist, wenn wir hier mehr Kapazität für X oder Y benötigen». Definieren Sie dann die Antwort und die Massnahmen zu dieser Frage und stellen Sie sicher, dass sich das Management bewusst ist, dass im Fall X die Massnahme Y eine Option sein könnte. Machen Sie die möglichen Folgen hinsichtlich der benötigten Mittel und Ressourcen transparent.
  3. Der Schlüssel zum Erfolg ist die Transparenz. Wenn eine Änderung einer SIEM-Lösung notwendig wird, sollten alle Beteiligten einbezogen werden.

Wie sieht die Zukunft aus?

Zukünftige SIEM-Werkzeuge müssen in der Lage sein, die folgenden funktionalen Aspekte zu berücksichtigen, um die Komplexität, die Kosten (Einsatz und Betrieb) und die Zeit, die benötigt wird bis die SIEM-Lösung anfängt einen Nutzen zu bringen, zu reduzieren:

  • Automatische Erkennung von Protokollformaten, Syntax und Signalen, die darauf hinweisen, dass etwas Bösartiges geschieht oder sich eine Bedrohung aufbaut. Der Aufwand und die Zeit, die für die Entwicklung und Pflege von Parsern zur Normalisierung von Daten erforderlich sind, sollten aus der Gleichung herausgenommen werden. Hier gibt es ein grosses Potential für die KI, sich damit auseinanderzusetzen. 
  • Die Konfiguration und Filterung der Protokollquellen muss zu einer zentralen und automatisierten Funktion werden. Die grosse Anzahl der erforderlichen Teams und Organisationen muss reduziert werden, um die Geschwindigkeit zu erhöhen, mit der die richtigen Logs an die SIEM-Infrastruktur gesendet werden.
  • Die SIEM-Infrastruktur muss bei der Skalierung der Erfassungs-, Analyse- und Speicherkapazität flexibel sein, ohne dass kostspielige und langwierige Infrastrukturprojekte erforderlich sind. Einfach alles in die Cloud zu schieben, wird hier nicht die Antwort sein. Die meisten Installationen werden noch viele Jahre lang aus verschiedenen Gründen in den Rechenzentren der Kunden verbleiben.
  • Der analytische Teil des Korrelierens, des Identifizierens von Angriffsmustern und -vektoren muss automatisiert werden und zwar in zunehmendem Masse. Die maschinengestützte Unterstützung sollte die SOC-Analytiker in die Lage versetzen mit besseren, schnelleren und hochpräzisen Informationen zu arbeiten.

Wenn Ihre SIEM-Lösung nicht in der Lage ist, diese durch die Architektur eingeführten Herausforderungen zu bewältigen, werden EDR- und netzwerkbasierte Lösungen wahrscheinlich einen Teil der SIEM-Lösungen übernehmen müssen. Allerdings bringen solche Lösungen ihre eigenen Herausforderungen mit sich, aber sie haben nicht die immensen Auswirkungen auf eine Organisation, die eine SIEM-Lösung hat.

InfoGuard kann Sie bei der Konzeption und Umsetzung von SIEM-Projekten unterstützen und Ihnen geeignete SIEM-Sicherheitslösungen , wie IBM QRadar oder Splunk anbieten. Laden Sie jetzt unseren Flyer rund ums Thema SIEM-Service herunter und erhalten Sie viele nützliche und interessante Informationen.

Download SIEM-Service Flyer

Artikel teilen