Effizienz von SIEM-Lösungen

21. August 2019

Unzulänglichkeiten veralteter SIEM-Tools (Security Information and Event Management) deckt die SIEM Productivity Study des Ponemon-Instituts auf. Security Operation Center (SOC) mit ineffizienten Tools verschwenden etwa 25 Prozent ihrer Zeit damit Fehlalarme zu untersuchen. KI und maschinelles Lernen in Next-Gen-SIEMs erhöht Produktivität.

Eine aktuelle Befragung des Ponemon-Instituts und Exabeam von 596 Nutzern von SIEM-Lösungen gibt Aufschlüsse darüber, wie effizient SIEM-Lösungen (Security Information and Event Management) in Unternehmen sind. Die SOCs vieler Unternehmen stehen einer tagtäglichen Flut von Bedrohungen gegenüber und suchen nach effizienten Methoden um diese einzudämmen. SIEMs sind für die Cyber-Sicherheit in Organisationen von zentraler Bedeutung, da sie Bedrohungen erkennen, die andere Sicherheitslösungen nicht identifizieren können.

Bild Siem Magic Quadrant Dec
Gartners letzter ’Magic Quadrant’ für den SIEM-Markt listet die wichtigsten Anbieter auf. Gut beraten ist, wer die technologischen Unterschiede und die Effizienz der Lösungen in der Praxis kennt. Quelle: Gartner/Exabeam

Um dies zu erreichen, sammeln die Lösungen Protokolldaten aus verschiedenen Netzwerkquellen und analysieren diese im besten Fall in Echtzeit, um verdächtige Ereignisse im Netzwerk bewerten zu können. Doch SIEM ist nicht gleich SIEM: Auf dem Markt tummeln sich zahlreiche Anbieter mit mehr oder weniger fortschrittlichen Lösungen. Hier liefert die SIEM Productivity Study des Ponemon-Instituts wichtige Erkenntnisse, die Unternehmen bei der Wahl der richtigen Technologien helfen können.

Zeitfresser „False Positives“

Auf den ersten Blick scheinen die SIEM-Lösungen eines Großteils der befragten Unternehmen tatsächlich nicht hinreichend wirkungsvoll zu sein. In 80 Prozent der Fälle sind die Lösungen nicht sonderlich effektiv und schaffen es nicht den nötigen Personalaufwand im SOC zu senken.

Der Grund für diese Ineffizienz vieler SIEM-Lösungen ist, dass die Sicherheitsanalysten im Unternehmen 25 Prozent ihrer Zeit damit verbringen, den Irrungen sogenannter ‚False Positives‘ zu folgen, weil Sicherheitswarnungen oder Kompromissindikatoren (IOCs) nicht korrekt sind.

Kluft zwischen herkömmlichen SIEM und Next-Gen-SIEM-Lösungen

Solche Art Fehlalarme finden sich insbesondere bei herkömmlichen SIEM-Lösungen. Während die ältere Technologie auf entsprechend überholte Technologie zurückgreifen muss, nutzen moderne Next-Gen-SIEMs beispielsweise künstliche Intelligenz und Maschinelles Lernen. Aktuelle SIEM-Technologien wie UEBA (User and Entity Behavior Analytics) und SOAR (Security Orchestration, Automation & Response) konnten die Produktivität in den Unternehmen, die sie einsetzten, darüber hinaus noch weiter deutlich erhöhen.

Bild Incident Responder
SIEM-Lösungen listen die von ihnen erkannten Bedrohungen in einer Bedienoberfläche auf, hier der “Incident Responder” von Exabeam. Je mehr “False Positives” in dieser Liste auftauchen, je ineffektiver ist die Lösung – und damit auch das Sicherheitsteam. Quelle: Exabeam

Die Gesamtzeit für die Sicherheitsaufgaben verringerte sich in den Unternehmen um ganze 51 Prozent, verglichen mit der aufgewendeten Zeit vor der Nutzung der Lösung. Betrachtet man diese Ergebnisse vor dem Hintergrund, dass viele SOCs personell chronisch unterbesetzt sind, lässt sich daraus folgern, dass Next-Gen-SIEMs nicht nur dabei helfen können, die Produktivität zu steigern, sondern das Unternehmen auch besser absichern können.

Ausgewählte Ergebnisse der Ponemon-Studie sind:

  • Unternehmen müssen pro Woche im Schnitt circa 4000 Warnhinweise verarbeiten.
  • Sicherheitsanalysten verbringen mit 25 Prozent den größten Anteil ihrer Zeit damit, Fehlalarme zu untersuchen, weil
  • Sicherheitswarnungen oder Kompromissindikatoren (IOCs) falsch sind.
  • Die Untersuchung verwertbarer Informationen und der Aufbau von Zeitleisten von Vorfällen verbraucht hingegen nur 15 Prozent der Zeit.
  • Die manuelle Reparatur oder das Patchen von Netzwerken, Anwendungen und Geräten, die aus Sicherheitsvorfällen resultieren, nimmt ebenfalls nur 15 Prozent der Zeit eines Sicherheitsteams in Anspruch.
  • Die geringe Effizienz bei der Bearbeitung kann zu langsameren Reaktionen auf Cyberattacken führen, was das Sicherheitsrisiko für Unternehmen deutlich erhöht.
  • Moderne SIEM-Technologien wie UEBA und SOAR konnten die Produktivität bei den von ihnen eingesetzten Unternehmen deutlich verbessern. Die Gesamtzeit für die Erledigung von Sicherheitsaufgaben verringerte sich bei diesen Unternehmen um 51 Prozent.

Der anhaltende Kampf um die Verbesserung der Produktivität im SOC zeigt den Bedarf an neueren Technologien wie UEBA und SOAR. Moderne SIEMs sind offenbar dann am effektivsten, wenn sie maschinelles Lernen und Verhaltensanalysen nutzen, um die immer ausgefeilteren Cyber-Angriffe und zielgerichteten Hacking-Techniken zu identifizieren. In Verbindung mit einem vollständigen Arsenal an Tools, wie der intelligenten Erstellung von Vorfallszeiten und der automatisierten Reaktion, bieten moderne SIEMs deutlich mehr Kontext dafür, wie Angreifer denken, arbeiten oder was sie wollen.

„Unsere Studie ergab, dass Next-Gen-SIEMs Zeit sparen, die Produktivität steigern und die Effektivität für Sicherheitsteams verbessern“, sagt Larry Ponemon, Chairman und Gründer des Ponemon Institute. „95 Prozent der Nutzer des Marktführers attestieren der Lösung in dieser Studie eine sehr hohe Wirksamkeit. Die Lösung priorisiert Warnmeldungen so genau, dass die befragten Sicherheitsanalysten 83 Prozent ihrer täglichen Alarme untersuchen können – im Vergleich zu nur 45 Prozent bei anderen SIEMs. Außerdem reduziert die beste Lösung die Menge der Fehlalarme auf nur 10 Prozent, verglichen mit 33 Prozent bei herkömmlichen Lösungen.“

Methodik der Studie

Die von Exabeam in Auftrag gegebene-Umfrage holte die Meinungen von 596 erfahrenen IT- und IT-Sicherheitsexperten in den Vereinigten Staaten ein. Alle Befragten waren mit der in ihren Unternehmen eingesetzte SIEM-Lösung vertraut und an der Erkennung, Untersuchung und/oder Behebung von Sicherheitsbedrohungen in seinem Netzwerk beteiligt. Unter diesen Befragten befand sich eine Teilprobe von 42 Exabeam-Kunden.

Hier geht es zum vollständigen Bericht „Exabeam SIEM Productivity Study

Exabeam

Lesen Sie auch