Vectra erklärt den Wert von NDR-Use Cases für ein SIEM

Wie lange wird es wohl dauern, bis die für Security Operations entwickelten Anwendungsfälle und Playbooks fertig sind und sich für ein Unternehmen als wertvoll erweisen? In der Vergangenheit hat sich Henrik Davidsson, Director of Sales Business Development bei Vectra , ausgiebig mit SIEM-Systemen (Security Information and Event Management) beschäftigt, ein Schwerpunkt für den Sicherheitsbetrieb vieler Unternehmen. Er hat festgestellt, dass eine der größten Herausforderungen darin besteht, dass die Zeit gekommen ist, sich zu bewähren.

Fragen wie die Folgenden tauchen häufig bei Diskussionen mit IT-Sicherheitsteams auf:

• Wie schnell kann die Investition einen Return-on-Investment (ROI) nachweisen?
• Warum dauert die Implementierung so lange?
• Welche Protokollquellen werden von uns überwacht, und bieten sie uns die richtige Transparenz?
• Handelt es sich um einen bedrohungsorientierten Anwendungsfall (Insiderbedrohung), kontrollorientierte Anwendungsfälle (Missbrauch des privilegierten Zugriffs), vermögensorientierte Anwendungsfälle (geschäftskritische Programme) oder Compliance-orientierte Anwendungsfälle (HIPAA, DSGVO, PCI etc.)?

Obwohl ein SIEM einen grundlegenden Platz in einem Security Operations-Team als Brennpunkt oder Speicher hat, stellt sich die Frage, wie sich die bereits getätigten SIEM-Investitionen noch besser machen lassen; oder wie man die Anzahl der Anwendungsfälle in einem SIEM beschleunigen und vereinfachen und dabei gleichzeitig die Entwicklungs- und Wartungskosten senken kann.

Um einen neuen Anwendungsfall zu implementieren, muss ein Unternehmen mehrere verschiedene Schritte durchlaufen. Es gilt das Monitoring-Tool auszuwählen (z.B. welche Protokollquelle verwendet werden soll, um die Daten zu erhalten); die Anforderungen an die Datenquelle zu bestimmen; den Kontext des Anwendungsfalles und die Datenanforderungen zu verstehen; neue oder betroffene Prozesse und Betriebsverfahren durch die Anwendungsfall-Implementierung identifizieren; den Inhalt bis zur Produktion zu entwickeln, testen und auszuführen, die Leistung zu testen und zu überprüfen; und den Anwendungsfall über die gesamte Lebensdauer kontinuierlich anzupassen.

Mit all den Tools und Anwendungsfällen erzeugt das SIEM oft eine Menge Hintergrundrauschen für das IT-Security-Team. Dies führt zu Diskussionen über Qualifikationsdefizite, nicht gut zusammenarbeitende Silotechnologien, Informationsüberlastung und hohe Gesamtbetriebskosten mit ständiger (Neu-)Einstellung, Schulung und Befähigung von Sicherheitsteams. Was wäre, wenn es eine Möglichkeit gäbe, die Time-to-Value zu beschleunigen, die bereits getätigten Investitionen zu erhöhen und den Begriff der Anwendungsfälle zu vereinfachen?

„In einem Fall wollte ein Kunde 89 Anwendungsfälle von einem externen Partner entwickeln lassen, der das SIEM verwaltet. Die durchschnittlichen Kosten für die Entwicklung eines Anwendungsfalls bedeuten für den Kunden einen Preis von 10.000 US-Dollar. Die Kosten für die Pflege dieses einen Anwendungsfalles belaufen sich auf 2.500 US-Dollar pro Jahr, was in diesem Beispiel jährliche Wartungskosten von insgesamt 222.500 US-Dollar ergibt“, so Henrik Davidsson. „Dies sind Personalkosten für die kontinuierliche Validierung und so weiter, also keine Technologiekosten“.

Der Einsatz einer Lösung für Network Detection and Response (NDR) konzentriert sich auf die Erkennung von Angreifer-Verhalten. Hierbei werden Sicherheitsforschung und Data Science kombiniert. So fallen viele dieser SIEM-Anwendungsfälle bereits in die vorhandene Erkennungsfamilien, mit folgendem Ergebnis:

• Direkte Unterstützung für 59 von 89 Anwendungsfällen „out of the box“, was 590.000 US-Dollar an Entwicklungskosten für Anwendungsfälle entspricht.
• Ein großer Teil der Technologieinvestitionen in die NDR-Lösung wird sofort durch die Einsparungen bei der Entwicklung von Anwendungsfällen ausgeglichen
• Die NDR-Lösung vereinfacht die Aufgabe – von einem auf Technologien basierenden Anwendungsfall-Ansatz auf das Verhalten von Angreifern und reduziert die Komplexität weiter. 59 Anwendungsfälle werden auf 22 Erkennungsfamilien minimiert, was zu 37 weniger zu prüfenden Anwendungsfällen führt – und einer Einsparung von fast 100.000 US-Dollar bei der Wartung von Anwendungsfällen pro Jahr.
• Darüber hinaus trägt die NDR-Lösung dazu bei, Ineffizienz, Ineffektivität und Hintergrundrauschen im SOC zu reduzieren, indem es die Priorisierung von Alarmmeldungen nutzt und die Einhaltung von Compliance-Anforderungen beschleunigt.

Kurzum, die Kombination von SIEM mit einer NDR-Lösung erhöht den Wert vorhandener Technologien, macht Sicherheitsanalysten das Leben leichter und trägt letztendlich dazu bei, dass die SIEM-Installation erfolgreicher wird.