Wie effektiv sind SIEM-Lösungen für die IT-Security?

Eine aktuelle Befragung des Ponemon-Instituts und Exabeam von 596 Nutzern von SIEM-Lösungen gibt Aufschlüsse darüber, wie effizient SIEM-Lösungen (Security Information and Event Management) in Unternehmen sind.

Die SOCs vieler Unternehmen stehen einer tagtäglichen Flut von Bedrohungen gegenüber und suchen nach effizienten Methoden um diese einzudämmen. SIEMs sind für die Cybersicherheit in Organisationen von zentraler Bedeutung, da sie Bedrohungen erkennen, die andere Sicherheitslösungen nicht identifizieren können. Um dies zu erreichen, sammeln die Lösungen Protokolldaten aus verschiedenen Netzwerkquellen und analysieren diese im besten Fall in Echtzeit, um verdächtige Ereignisse im Netzwerk bewerten zu können. Doch SIEM ist nicht gleich SIEM: Auf dem Markt tummeln sich zahlreiche Anbieter mit mehr oder weniger fortschrittlichen Lösungen. Hier liefert die SIEM Productivity Study des Ponemon-Instituts wichtige Erkenntnisse, die Unternehmen bei der Wahl der richtigen Technologien helfen können.

Anzeige

Zeitfresser ‚False Positives‘

Auf den ersten Blick scheinen die SIEM-Lösungen eines Großteils der befragten Unternehmen tatsächlich nicht hinreichend wirkungsvoll zu sein. In 80 Prozent der Fälle sind die Lösungen nicht sonderlich effektiv und schaffen es nicht den nötigen Personalaufwand im SOC zu senken. Wo liegen die Ursachen und was kann man dagegen tun?

Der Grund für diese Ineffizienz vieler SIEM-Lösungen, so die Studie, liegt darin, dass die Sicherheitsanalysten im Unternehmen 25 Prozent ihrer Zeit damit verbringen, den Irrungen sogenannter ‚False Positives‘ zu folgen, weil Sicherheitswarnungen oder Kompromissindikatoren (IOCs) nicht korrekt sind.

Siem Magic Quadrant Dec 2018 2 700

Bild 1: Gartners letzter ’Magic Quadrant’ für den SIEM-Markt listet die wichtigsten Anbieter auf. Gut beraten ist, wer die technologischen Unterschiede und die Effizienz der Lösungen in der Praxis kennt.

Kluft zwischen herkömmlichen SIEM und Next-Gen-SIEM-Lösungen

Solche Art Fehlalarme finden sich insbesondere bei herkömmlichen SIEM-Lösungen. Während die ältere Technologie auf entsprechend überholte Technologie zurückgreifen muss, nutzen moderne Next-Gen-SIEMs beispielsweise künstliche Intelligenz und Maschinelles Lernen. Aktuelle SIEM-Technologien wie UEBA (User and Entity Behavior Analytics) und SOAR (Security Orchestration, Automation & Response) konnten die Produktivität in den Unternehmen, die sie einsetzten, darüber hinaus noch weiter deutlich erhöhen. Die Gesamtzeit für die Sicherheitsaufgaben verringerte sich in den Unternehmen um ganze 51 Prozent, verglichen mit der aufgewendeten Zeit vor der Nutzung der Lösung. Betrachtet man diese Ergebnisse vor dem Hintergrund, dass viele SOCs personell chronisch unterbesetzt sind, lässt sich daraus folgern, dass Next-Gen-SIEMs nicht nur dabei helfen können, die Produktivität zu steigern, sondern das Unternehmen auch besser absichern können.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Ausgewählte Ergebnisse der Studie

  • Unternehmen müssen pro Woche im Schnitt circa 4000 Warnhinweise verarbeiten.
     
  • Sicherheitsanalysten verbringen mit 25 Prozent den größten Anteil ihrer Zeit damit, Fehlalarme zu untersuchen, weil Sicherheitswarnungen oder Kompromissindikatoren (IOCs) falsch sind.
     
  • Die Untersuchung verwertbarer Informationen und der Aufbau von Zeitleisten von Vorfällen verbraucht hingegen nur 15 Prozent der Zeit.
     
  • Die manuelle Reparatur oder das Patchen von Netzwerken, Anwendungen und Geräten, die aus Sicherheitsvorfällen resultieren, nimmt ebenfalls nur 15 Prozent der Zeit eines Sicherheitsteams in Anspruch.
     
  • Die geringe Effizienz bei der Bearbeitung kann zu langsameren Reaktionen auf Cyberattacken führen, was das Sicherheitsrisiko für Unternehmen deutlich erhöht.
     
  • Moderne SIEM-Technologien wie UEBA und SOAR konnten die Produktivität bei den von ihnen eingesetzten Unternehmen deutlich verbessern. Die Gesamtzeit für die Erledigung von Sicherheitsaufgaben verringerte sich bei diesen Unternehmen um 51 Prozent.

Der anhaltende Kampf um die Verbesserung der Produktivität im SOC zeigt den Bedarf an neueren Technologien wie UEBA und SOAR. Moderne SIEMs sind offenbar dann am effektivsten, wenn sie maschinelles Lernen und Verhaltensanalysen nutzen, um die immer ausgefeilteren Cyberangriffe und zielgerichteten Hacktechniken zu identifizieren. In Verbindung mit einem vollständigen Arsenal an Tools, wie der intelligenten Erstellung von Vorfallszeiten und der automatisierten Reaktion, bieten moderne SIEMs deutlich mehr Kontext dafür, wie Angreifer denken, arbeiten oder was sie wollen.

Methodik

Die von Exabeam in Auftrag gegebene-Umfrage holte die Meinungen von 596 erfahrenen IT- und IT-Sicherheitsexperten in den Vereinigten Staaten ein. Alle Befragten waren mit der in ihren Unternehmen eingesetzte SIEM-Lösung vertraut und an der Erkennung, Untersuchung und/oder Behebung von Sicherheitsbedrohungen in seinem Netzwerk beteiligt. Unter diesen Befragten befand sich eine Teilprobe von 42 Exabeam-Kunden.

www.exabeam.com
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.