Proact Blog

SIEM – zum Scheitern verurteilt

Robert Wortmann, Head of Strategic Security Consulting, Proact Deutschland

Zentrales Logging wird in vielen Firmen ein immer wichtigeres Thema. Egal ob aus Gründen von gesetzlichen bzw. auditorischen Auflagen oder dem eigenen Wunsch nach mehr zentralem Durchblick, Technologien wie SIEM erfreuen sich immer größerer Beliebtheit. Im heutigen Blogartikel möchte ich ein paar der am häufigsten gestellten Fragen beantworten. Viele der dargestellten Ansichten stellen meine persönliche und subtile Meinung dar. Ich versuche diese bestmöglich zu begründen und bin gerne jederzeit offen für Diskussionen!

SIEM – wie soll ich hier den richtigen Hersteller finden?

SIEM Anbieter gibt es mittlerweile wie Sand am Meer. Machen Sie sich doch einfach mal den Spaß und laufen über eine Sicherheitsmesse um die verschiedenen Hersteller von SIEM Systemen zu zählen und die jeweiligen Vorzüge kennenzulernen. Wer sich das sparen möchte, hier die universell anwendbaren Vorteile einer SIEM Lösung XY:

  • 1,9 x schneller als die Konkurrenz
  • Marktführer seit 412 Jahren
  • Sicherer als alle anderen
  • Komplett intuitiv zu verwenden
  • Im Gardner Quadranten so weit rechts oben, dass man es gar nicht mehr sehen kann

Doch jetzt mal ehrlich: für mich hält es sich bei SIEM System ähnlich wie bei Endpoint Scannern – die Unterschiede sind allesamt sehr gering. Wirklich viel nehmen sich die großen Hersteller nicht. Und noch ehrlicher: SIEM Projekte sind immer nervig, kostspielig und ich kann mittlerweile kaum mehr zählen, wie viele SIEM Projekte bei Firmen scheiterten. Wieso scheiterten diese Projekte? Es lag eigentlich nie an der Performance der Systeme oder anderen, faktisch messbaren, Faktoren. Diese Projekte waren mehr oder weniger zum Scheitern verurteilt.

Kurzfazit: lassen Sie sich nicht bequatschen.

Ein Mount Everest an Logs, aber keine Bergsteiger verfügbar

„Und was macht Ihr dann mit den Logs?“ ist normalerweise meine erste Frage, wenn mir Kunden über ihr neues zentrales Monitoring berichten. Und gleich vorneweg: das ist für mich auch die mit Abstand wichtigste Frage. Natürlich werten SIEM Systeme bis zu einem bestimmten Punkt selbst die Logs aus, korrelieren diese und analysieren die Ergebnisse auf Anomalien. Doch auch diese automatisierte Bewertung funktioniert immer nur bis zu einem bestimmten Punkt. False Positives werden schlicht und einfach nicht zu vermeiden sein und nicht jede Anomalie ist direkt ein Angriff. Für die Auswertung dieser Logs ist spezifisches Fachwissen notwendig, das besonders im Mittelstand meistens nicht vorhanden ist. Und, dass dieses Wissen nicht im Haus vorhanden ist, ist nicht einmal schlimm. Denn für den typischen Mittelständler macht es ganz nüchtern betrachtet keinen Sinn Personen rein für die Auswertung der Logs anzustellen. Das wäre in den meisten Fällen weder wirtschaftlich noch technisch sinnvoll.

Kurzfazit: es ist wunderbar zentrale Logs zu haben, doch diese müssen auch sinnvoll ausgewertet werden.

Security ist ein 24/7 Job

Ich werde zwar manchmal auch müde von Werbesprüchen, wie „Hacker schlafen nicht“, aber irgendwie ist es ja auch richtig. Angreifer halten sich selten an feste Arbeitszeiten, Feiertage oder Urlaubszeiten. Sie entscheiden selbst, wann sie zuschlagen und nehmen keine Rücksicht auf Arbeitsschutzgesetzte. Doch wie kann ich 24/7 Sicherheit anbieten? Zwar haben auch viele Kunden im Mittelstand mittlerweile Rufbereitschaften, doch wenn wir das Beispiel SIEM betrachten reicht diese Rufbereitschaft schlicht und einfach nicht aus. Es muss eigentlich ständig auf Anomalien geachtet und nicht darauf gewartet werden, dass das Handy klingelt. So ist es wiederum für viele Kunden nicht sinnvoll ein vollwertiges 24/7 Security Team mit mindestens sechs Mitarbeitern aufzubauen.

Kurzfazit: es kann immer etwas passieren und keine Technologie oder Dienstleister schützt Sie zu 100 %. Trotzdem können wir dafür sorgen, dass Sie etwas ruhiger in den Urlaub fahren oder nachts ins Bett gehen können. Ganz nach dem Motto: Malware sollte nichts das schmutzigste Thema in Ihrem Schlafzimmer sein.

SIEM ist kein Big Data Tool

Der Erfahrung nach habe ich im Folgenden meist den größten Streitpunkt mit Mitbewerbern oder Kunden. Common Practice bei SIEM Projekten ist es nämlich das SIEM System mit so vielen Logquellen wie nur technisch möglich zu füllen. Ich gehe hier immer den genau entgegengesetzten Ansatz: desto weniger Logs, desto besser. Aus meiner Erfahrung ist es viel wichtiger die richtigen anstatt alle Logs auszuwerten. Machen wir ein Beispiel: während der VPN Terminierung muss ich mein SIEM System nicht mit allen erfolgreichen Authentifizierungen befeuern. Ich muss hier meiner Meinung nach nicht einmal die Meldung weitergeben, wenn sich ein User einmal falsch angemeldet hat. Wenn sich ein User allerdings 10 Mal innerhalb 10 Sekunden authentifizieren möchte stellt es für mich eine klare Anomalie dar und muss in das SIEM System laufen. Von dort aus kann ich auf Basis dieser Meldung immer noch die RSA Logs der VPN Lösung ansehen. SIEM dient hier also mehr oder weniger als Navigationssystem.
So sind die ersten Aufgaben während unserer SIEM-as-a-Service PoCs immer:

  • Auswahl der passenden Geräte: diese unterscheiden sich zumeist von Kunde zu Kunde, es gibt hier keine Standards
  • Anpassen der Loglevel: im Normalfall senden die Geräte im Default eher zu viel als zu wenige Logs

Kurzfazit: damit ein SIEM System richtig funktionieren kann, muss man es als Endkunde richtig einordnen und die Anforderungen klar definieren. Man darf keine Anforderungen stellen, die diese Art der Systeme nicht leisten können. Desto sinnvoller und zugleich weniger der Input ist, desto besser ist der Durchblick und besser die Ergebnisse.

Fazit

SIEM bietet für viele Unternehmen eine tolle Ergänzung zu anderen Security oder Monitoring Technologien, doch SIEM Projekte wollen wohl überlegt sein, andernfalls sind sie von Beginn an zum Scheitern verurteilt. Persönlich denke ich, dass viele Unternehmen eine falsche Vorstellung von SIEM haben und Anforderungen stellen, die diese Systeme einfach erfüllen können. Das ist natürlich nicht die Schuld der Endkunden, sondern passiert auf Basis völlig falscher Versprechungen der Hersteller, die durch einen viel zu umkämpften Markt entstehen.

Eigenwerbung

Wie viele vermutlich bereits mitbekommen haben oder spätestens beim Lesen der ersten Sätze vermuteten: wir als Proact bieten SIEM-as-a-Service für unsere Kunden an!.

Neben einer komplett (im deutschen Proact Rechenzentrum) gehosteten SIEM Lösung, wollen wir unseren Kunden genau die Punkte abnehmen, die so viele SIEM Projekte scheitern lassen. Unsere beiden SOC Teams werten 24/7 Ihre Logs aus, melden sich bei Anomalien auf Wunsch Tag und Nacht bei Ihnen und versuchen Ihnen anschließend direkt Empfehlungen zu geben diese Anomalien zu beseitigen. Während der Implementierungsphase bieten wir einen vollwertige Beratung um nur sinnvolle Logs an unsere Systeme zu senden.
Im Zusammenspiel mit unseren Managed Service Teams können wir Ihnen außerdem direkt bei Anpassungen von Konfigurationen oder anderen Dingen helfen! Wir verstehen uns bei SIEM nämlich nicht nur als Security Dienstleister, sondern vielmehr als Ihr Trusted Advisor. Wir wollen, dass die Dinge laufen und Sie sich wieder auf Ihre Kernkompetenzen konzentrieren können.

Wenn Sie also mal über den beschriebenen Service reden wollen, melden Sie sich gerne jederzeit!

Sign up to our newsletter