Warum SIEM oftmals scheitert - und was Sie dagegen tun können
Trustwave blog:
Organisationen in aller Welt haben mittlerweile erkannt, dass eine rein Perimeter-basierende Verteidigung keinen ausreichenden Schutz mehr für vertrauliche Daten gewährleisten kann. Die tragenden Preventions-Technologien gibt es schon seit Jahren und haben durchaus ihre Berechtigung. Allerdings wird es zunehmend schwieriger den Anforderungen der neusten Bedrohungen mit dieser Technologie Stand zu halten, um die sensiblen Unternehmensdaten ausreichend schützen zu können. Ein flüchtiger Blick auf die Überschriften genügt, um zu erkennen, dass Angreifer zunehmende Erfolge bei ihren Angriffen zu verbuchen haben, selbst bei vermeintlich sicheren und renommierten Unternehmen.
Dies ist aber nicht verwunderlich. Die zunehmende Automatisierung, Spezialisierung und Professionalisierung des kriminellen Untergrunds, sowie der kontinuierliche Ausbau der Angriffsflächen stehen einer fortschreitenden Erosion der traditionellen Perimeter-Sicherheit und der laxen und inkonsistenten Einhaltung der Sicherheitsrichtlinien und Prozesse der Mitarbeiter gegenüber. Damit werden viele Organisationen schnell zum Opfer, sogar bei rudimentären Gegnern.
An diesem Punkt sollten Security- und Event Management Lösungen (SIEM) zum Einsatz kommen. SIEM war eine logische Technologielösung, mit der Unternehmen bereits im Vorfeld über riskante Tätigkeiten in ihrer Netzwerkumgebung gewarnt werden. Organisationen müssen so früh wie möglich über Bedrohungen Bescheid wissen, um Schäden und Verluste minimieren zu können. Nach erfolgtem Alarm muss sehr schnell verstanden werden, auf was es der Eindringling abgesehen hat, welche Systeme kompromittiert sind und wie ein weiteres Vorgehen gestoppt werden kann. Darüber hinaus müssen die Unternehmen schneller und informativer auf den Angriff reagieren, um entsprechende Strafverfolgungsmaßnahmen besser unterstützen zu können.
Dies ist das Versprechen von SIEM seit vielen Jahren. Klingt einfach, nicht wahr? Aber wir wissen alle, dass man darüber leichter spricht, als es in Wirklichkeit erscheint.
Heutige SIEM-Systeme sind zwar leistungsfähiger als ihre Vorgänger, bergen aber dafür ein echtes Dilemma. Ihre Wirksamkeit und Raffinesse erfordern eine spezielle Anforderung: den Bedarf an qualifizierten Fachkräften zur Durchführung und Umsetzung. SIEMs erfordern nicht nur grundlegende Systemadministrationsaufgaben wie die Kontrolle über die Lauffähigkeit von Software, Hardware und Datenspeicher – sondern eben erfahrene Skillsets wie: die Fähigkeit der Datenuntersuchung, dem Beherrschen aller Systeme in der IT-Infrastruktur, der Erfahrung mit fast allen Sicherheitspunktlösungen und die Fähigkeit Bedrohungskorrelationen zu definieren und zu analysieren.
Gerade der letzte Punkt ist eine der schwierigsten Disziplinen, die ein tiefes Wissen über Mathematik, Daten und IT-Infrastrukturen erfordert. Gesucht werden als Personen mit einem Informatikabschluss und mindestens fünf Jahren praktischer Erfahrung in der IT-Sicherheit. Den meisten Unternehmen fehlen gerade diese hochqualifizierten Mitarbeiter. Daraus resultiert eine unverhältnismäßig hohe Zahl an erfolglosen SIEM-Implementierungen, die ihr eigentliches Ziel nicht erreicht haben.
Die Unternehmen sind zwar händeringend auf der Suche nach diesen hochqualifizierten Mitarbeitern. Allerdings ist der Markt mit Personen eines solchen Security-Levels sehr dünn gesät.
Die Analyse von aktuellen Online Jobbörsen in Bezug auf SIEM Positionen ergab bei:
- Dice.com: 441 Angebote mit „SIEM“ im Titel oder in der Jobbeschreibung in der vergangenen Woche,
- Monster.com: mehr als 1.000 Angebote für „SIEM Sicherheit“ in den vergangenen zwei Wochen,
- Glassdoor.com: 395 Angebote mit „SIEM Security Analyst“ in der vergangenen Woche,
- Techcareers.com: 331 Angebote mit „SIEM-Analyst“ in den letzten zwei Wochen, mit mehr als 150 neuen Angeboten jede Woche für fast zwei Monate.
Aber was sagen uns diese Zahlen wirklich? Im Vergleich dazu haben wir nach generalisierten IT-Positionen wie IT-Datenanalyst, Desktop Support Analyst oder Business Intelligence Analyst gesucht. Da viele Unternehmen diese generalisierten Job Titel benutzen, würde man erwarten, dass es hier wesentlich mehr Angebote dazu geben würde als zu einer Nischenanwendung wie SIEM.
Aber das war überaschenderwiese nicht der Fall.
- auf Monster.com: 971 Angebote in der vergangenen Woche für den allgemeinen IT Datenanalyst
- auf Techcareers.com: 237 Angebote in den letzten zwei Wochen für eine Desktop-Support-Position
Die Nachfrage nach SIEM Experten übersteigt also das Angebot. Das bedeutet, dass die Unternehmen immer kreativer werden müssen, um überhaupt noch Mitarbeiter mit den eigentlich gesuchten SIEM-Fähigkeiten zu finden. Das könnte sehr zeitintensiv werden.
Unternehmen wären gut beraten, wenn sie stattdessen die Möglichkeit einer Zusammenarbeit mit einem etablierten Partner suchen würden, der sich im fortgeschrittenen Korrelations- und Bedrohungsmanagement, tiefer Forensik und Big Data auskennen würde. Einen Rund-um-die-Uhr-Service mit integrierter Threat Intelligence und Compliance Unterstützung anbietet und die Unternehmen dauerhaft entlasten könnte. Trustwave bietet diesen flexiblen Managed SIEM-Service an, bei dem sich der Kunde gezielt seine gewünschten Dienstleistungen, passend zu seinen Strategien, Zielen und organisatorischen Ressourcen, aussuchen kann.
Mit Managed Services müssen Sie nicht mehr an den Jobbörsen um Talente kämpfen, um ihr SIEM erfolgreich zu machen.