Die Theorie und Realität des SIEM-ROI

Über SIEM wird viel geschrieben, doch meine persönliche Erfahrung mit diesen wunderbaren Werkzeugen begann bereits im Jahr 2007. Heute ist die Technologie selbst über 18 Jahre alt und der SIEM-Markt ist in jeder Hinsicht reif. Zusammen mit Kunden, dem Team und Partnern hatte ich das Privileg, aktiv an mehr als hundert SIEM-Projekten weltweit teilzunehmen. Gemeinsam haben wir SOCs von Grund auf aufgebaut, kritische SOX-Logquellen implementiert, um enge Audit-Deadlines einzuhalten, eine vernachlässigte SIEM-Installation innerhalb eines halben Tages wiederbelebt, um forensische Hinweise zu finden, und die Feineinstellung von Anti-Fraud-Korrelationsregeln durchgeführt… und ganz einfach mit Unternehmen aus allen Branchen und Teilen der Welt bei einem ordentlichen Bier die Geschichte von Siegen und Niederlagen von SIEM-Projekten diskutiert. Es ist bekannt, dass mehr als 40.000 Organisationen weltweit über SIEM-Systeme verfügen, daher ist dies eine ziemlich große Gemeinschaft und natürlich ein Markt. Gewiss ist, dass die Geschichte noch lange nicht zu Ende ist, da das Konzept des SIEM seine Evolution fortsetzt. Die meisten Organisationen, denen Cybersicherheit nicht gleichgültig ist, haben bereits in irgendeiner Form ein SIEM. Die Grenzen zwischen den SIEM-Technologien sind verschwommen: Es gibt die erste, zweite und dritte Generation der Plattform, obwohl zu sagen, dass IBM QRadar oder Micro Focus ArcSight Technologien der ersten Generation sind und LogRhythm zur zweiten gehört, nicht ganz korrekt ist, da sich die Technologien ständig weiterentwickeln. Auch Behauptungen, dass Splunk und Elastic kein SIEM sind, sind falsch, da sie viele SIEM-Eigenschaften und Funktionalitäten aufweisen.

Wie kommen SIEM und ROI zusammen? Wenn wir ROI aus der Sicht eines Unternehmens betrachten, bedeutet dies entweder einen zusätzlichen Gewinn oder eine Kostenreduktion. Es gibt viele Beispiele für die Kapitalrendite in der Informationssicherheit, genug, um einen eigenen Artikel zu schreiben, konzentrieren wir uns also vorerst auf das SIEM. Es ist schwer vorstellbar, dass jemand in diese Systeme investiert, um Geld zu verdienen, also bleibt nur der Kostensenkungstreiber. Lassen Sie uns versuchen, es herauszufinden.

Wie taucht SIEM in unserem Leben auf?
5 grundlegende ROI-Treiber

1. Compliance
2. Zentrales Log-Repository
3. Forensik
4. Security Operations Center (SOC)
5. Erbe

SIEM für PCI-, SOX- und HIPAA-Compliance

Sehr oft werden SIEMs von Finanzinstituten und Banken gekauft, da verschiedene Compliance-Vorschriften die Sammlung und Verarbeitung von Logdaten erfordern. Der PCI DSS fordert, Logdaten zentral zu sammeln, zu speichern und in unveränderter Form beizubehalten, sein Integritätsprüfpfad zu gewährleisten (eine sehr wichtige Anforderung, die nicht jedes SIEM bis heute erfüllen kann) und natürlich Ereignisse täglich zu überwachen. Wenn wir SOX einhalten müssen, ist es notwendig, Vorfälle aller SOX-kritischen Systeme zu verfolgen und zu bearbeiten, und je nachdem vertrauen Auditoren den Geschäftsdaten in den verarbeiteten Systemen oder nicht. Wenn Vorfälle nicht bearbeitet werden, wird das Audit erheblich teurer. Ein weiteres Beispiel ist die HIPAA-Konformität mit der Anforderung, einen Audit-Trail für den Zugriff auf Patientendaten bis zu 5 Jahre zu führen. Dies betrifft in erster Linie die Architektur der SIEM-Datenverarbeitung: die Flexibilität der 3rd-Party-Systemintegrationsfähigkeiten, die Effizienz und Stabilität der Aggregation, die Algorithmen der Datenkomprimierung sowie die Integritätskontrolle.

Welchen ROI kann SIEM für die Compliance generieren? Der offensichtlichste ist das Fehlen von Bußgeldern und Strafen, da nicht nur die Anforderungen erfüllt, sondern übertroffen werden. Dies macht eine hervorragende Kapitalrendite aus SIEM, da die Investition in das Projekt wahrscheinlich mindestens 10 Mal kleiner sein wird als die Strafe für Verstöße gegen die Vorschriften. Es wird empfohlen, ein 5-jähriges TCO-Modell zu erstellen, das alle Kosten wie Unterstützung, Hardware, Softwarekosten, Teamkosten, Schulungs- und Bindungsprogramme umfasst. Vergleichen Sie dann das TCO mit möglichen Einsparungen bei Compliance-Verstößen basierend auf den Risiken, denen Sie ausgesetzt sind. Dies würde den ROI nicht nur auf dem Papier beweisen und helfen, Fehlkalkulationen zu vermeiden.

Zentrales Log-Repository

Der einfachste Weg, den ROI aus der Nutzung von SIEM als zentrales Log-Repository zu berechnen, ist ziemlich einfach: Bestimmen Sie, welche Logdaten wir sammeln und speichern müssen, wie viel Platz sie beanspruchen, Hardware-Spezifikationen und Arbeitslast für diese Aufgabe. Es ist notwendig, alle Parameter von der HDD-Kapazität bis zu den Kosten eines CPU-Kerns zu berücksichtigen (insbesondere bei cloudbasierten und Virtualisierungsbereitstellungen). Alle Log-Management- und SIEM-Systeme sind hervorragend darin, die Logdaten mit einer Effizienz von 2X bis >10X zu komprimieren, was direkte Einsparungen bei der Speicherung ermöglicht, selbst wenn Datenanreicherung und -normalisierung durchgeführt werden. Die Fähigkeit eines bestimmten SIEM, die Aggregation und Filterung von Logdaten granular zu steuern, wird die Speicherungseffizienz und den ROI direkt verbessern. Aggregation ist in jeder ausgereiften SIEM-Plattform vorhanden, grundsätzlich haben alle Systeme, die Sie bei Gartner sehen, irgendeine Art von Aggregation. Die Fähigkeiten variieren je nach Anbieter: sehr oft ist es nur ein Ein/Aus-Knopf, während wir in anderen Technologien über 9000 Parameter zur Verfügung haben, die konfiguriert werden können, um sich an jede Infrastruktur anzupassen.

SIEMs sind darauf ausgelegt, schnelle Suchvorgänge zu unterstützen und rechtzeitig Informationen bereitzustellen. Zusätzlich nutzen wir die Technologie, um die Sicherung und Verwaltung von Logdaten zu vereinfachen. Überraschenderweise ist es viel einfacher, ein zentrales Logspeichersystem zu verwalten, als jede einzelne Logquelle im Blick zu behalten. Die von SIEM erstellten Archive haben sehr oft eine integrierte Integritätskontrolle und sind schwer zu manipulieren: Sie sind entweder verschlüsselt oder als Einzelbehälter erstellt, wobei ein Bruch der Integrität des Behälters nicht unbemerkt bleibt. Alle ausgereiften SIEMs kontrollieren die Integrität solcher Behälter und die Logaufbewahrung.

Wir sehen oft, wie SIEM-Projekte sowohl als IT- als auch als Sicherheitsinitiativen entstehen, hauptsächlich aus Gründen der Einsparungen bei der Logdatenspeicherung. Dies gilt besonders für die Splunk- und Elasticsearch-Plattformen, da sie beide am besten für diese Aufgabe geeignet sind. Ein typisches Szenario hier ist, dass die IT-Abteilung die Unterstützung und Finanzierung durch das Management erhält, um das Projekt zu erwerben, die Plattform zu kaufen und dann das Sicherheitsteam eine zusätzliche Lizenz als Upgrade erhält, da die Integration von Technologien desselben Anbieters die TCO reduziert und die Unterstützung vereinfacht.

ROI bei proaktiven Forensik-Operationen

Ein zentrales, sicheres Speichern aller Logdaten eröffnet eine Möglichkeit für ROI bei Forensik: Logs werden in unverändertem, manipulationssicherem Format gespeichert, unterstützen schnelles Suchen, Pivots und all dies ist in angemessener Zeit machbar, wenn wir unsere SIEM-Implementierung richtig durchgeführt haben. So kann unsere Untersuchung von Vorfällen schneller durchgeführt werden und das Erzielen von Beweisen wird einfacher. Wann brauchen wir das wirklich? Nun, wenn uns unsere Infosec-Erfahrung etwas gelehrt hat, dann dass, wenn ein Vorfall auftritt, die meisten Organisationen keine Vollzeit-Experten haben, um eine Untersuchung durchzuführen, und diese Verantwortung auf die Informations- (oder Cyber-)sicherheitsabteilung in der einen oder anderen Weise fällt. Nur große Unternehmen und Organisationen des öffentlichen Sektors können es sich leisten, einen Mitarbeiter für diese Zwecke bereitzustellen. Und in den Augen des Unternehmens ist Forensik ein signifikanter Kostenfaktor, der nicht vermieden werden kann. Wenn das SIEM alle notwendigen Daten hat, wird ein CHFI-Spezialist eine Untersuchung viel schneller durchführen und sich auf das Hauptziel – das Auffinden des Angreifers und der Beweise – konzentrieren können. Eine Untersuchung ist viel einfacher durchzuführen, wenn Logdaten im Originalformat verfügbar sind, vorgefertigte Berichte und Exporte tatsächlich existieren und nicht Tage zum Abrufen benötigen, Verkehrsdaten (PCAPs) verfügbar sind und wir möglicherweise sogar verdächtige Sicherheitsereignisse, also Vorfallstatistiken, haben, um das vollständige Bild besser zu erstellen. In der entgegengesetzten Situation müsste der Forensikspezialist tief graben und wahrscheinlich vor Ort gehen, um die notwendigen Daten von Servern Bit für Bit zu sammeln. In letzterem Fall steigt die Zeit zur Durchführung einer ordnungsgemäßen Untersuchung, was die Forensikkosten direkt erhöht oder die Qualität bis zu einem Punkt verringert, an dem das Endergebnis enttäuschend sein kann. Wenn nie ein Vorfall passiert ist, ist es nahezu unmöglich, den ROI bei proaktiver Forensik zu berechnen. Doch wenn wir den wachsenden Trend von Datenpannen, APT-Angriffen und Cybervorfallstatistiken betrachten und die Realität anerkennen, wird uns klar, dass früher oder später jede Organisation gehackt wird. Und das Eindringen führt unvermeidlich dazu, dass man sich direkt oder indirekt mit der forensischen Untersuchung auseinandersetzen muss.

SIEM und Forensik im echten Leben

Vor einiger Zeit arbeiteten wir eng mit einem Partner bei der Untersuchung eines möglichen Insider-Angriffs zusammen. Als wir vor Ort ankamen, war kein SIEM oder zentrales Log-Management implementiert, und wie in der klassischen Geschichte hatte jemand die Logs überall dort gelöscht, wo er die Chance dazu hatte, Sicherungen wurden nicht durchgeführt, ACLs waren nicht vorhanden, keine PCAP-Dateien verfügbar. Wir analysierten Zielbilder, schickten Daten zur Wiederherstellung ins Labor, führten ein wenig Darknet-Surfing und -Graben durch… Als Ergebnis zahlte das Management des Kunden für 5 Tage Forensik + Zeit für Bericht und Präsentation, die die Spuren und Schäden des Insider-Angriffs bewiesen, aber da das Unternehmen kein Log-Management und kein SIEM hatte, war es unmöglich, diesen Angriff einer bestimmten Person zuzuordnen, sodass die Attribution der beste Weg war, die Untersuchung abzuschließen. Das Unternehmen hätte mehr Ressourcen in die Datenwiederherstellung investieren können, doch die Schätzung betrug noch einmal 30 Tage, was in jeder Hinsicht ein ziemlich kostspieliges Unterfangen ist, sodass wir das nicht wirklich empfohlen haben. War der Kunde mit dem Ergebnis zufrieden, obwohl wir tatsächlich nichts gefunden haben? Ja, sie erhielten Ergebnisse einer offiziellen Untersuchung, die vor Gericht verwendet werden konnten. IMHO ist dies jedoch ein sehr teurer Grund, um zu überprüfen, ob ein SIEM-System im Unternehmen benötigt wird.

Es gibt auch ein kleines Beispiel für eine erfolgreiche Geschichte des SIEM-ROI bei der Untersuchung eines APT-Angriffs in den Jahren 2015-2016, als wir als Berater bei der Untersuchung von Vorfällen tätig waren, die ein Teil des BlackEnergy APT-Angriffswaren. Das Zielunternehmen des APT-Angriffs führte eine PoC-Implementierung eines SIEM durch (in diesem Fall war es ArcSight), was im Wesentlichen half, die Microsoft Event-Log-Codes zu finden, die die Abfolge der Installation neuer Dienste zeigten, und wir entdeckten, wie die böswilligen Treiber in das System injiziert wurden. Da alle Audit-Logs auf den angegriffenen Systemen gelöscht waren (BlackEnergy und KillDisk), lief SIEM auf Unix und in einem isolierten Segment, sodass BlackEnergy es nicht erreichte (KillDisk für Unix existierte nicht oder existiert nicht). In diesem Fall half SIEM, die Spuren des Angriffs zu bewahren und war der erste Hinweis, um eine vollständige forensische Untersuchung zu beginnen.

Messung des SOC-ROI

Der häufigste Treiber für die Implementierung eines SIEM ist der Aufbau eines Zentrums zur proaktiven Überwachung von Sicherheitsvorfällen, um diese rechtzeitig zu identifizieren und präventiv zu reduzieren. Im Grunde ist der Aufbau eines SOC ein häufiger Grund, ein SIEM zu kaufen. Die Hauptaufgabe eines SIEM in einem SOC besteht darin, alle Arten von Ereigniskorrelationen durchzuführen und Dinge zu finden, die der Mensch physisch nicht bewältigen kann, aufgrund der Datenmengen, die analysiert werden müssen. Heutzutage sind SIEMs in der Lage, Milliarden von Ereignissen pro Tag zu verarbeiten, hunderttausende oder sogar Millionen von EPS und Informationen in einer Form bereitzustellen, die für schnelle Analysen geeignet ist und mit allen erforderlichen Untersuchungstools ausgestattet ist. Die Erfüllung dieser Anforderungen vereint Compliance, Forensik und zentrales Log-Repository im SOC und hebt sie auf ein völlig neues Niveau.

Die Bestimmung des SOC-ROI ist ein großes Thema, jedoch ist es im Wesentlichen notwendig, alle erkannten Vorfälle zu überwachen und zu zählen sowie den bei einem frühen Stadium verhinderten Schaden zu modellieren. Es ist notwendig, ein Asset- und Netzwerkmodell des Unternehmens, die Kosten und den Wert von IT-Assets, anzuwendende Risiken zu erstellen und diese kontinuierlich zu pflegen, idealerweise auch ein CVSS-Modell zu erstellen. Basierend auf den Kosten von Vorfällen an diesen Assets wird es möglich sein, potenziellen Schaden zu bestimmen, der verhindert wurde. SIEM selbst spart außerdem Analysten Zeit und hilft, jene extra Stunden zu finden, die für andere Sicherheitsaufgaben erforderlich sind, wie die Beantwortung von Audit- und Risikomanagementanforderungen, die Durchführung von Ursachenanalysen und Untersuchungen.

SIEM-Use-Cases machen ein wertvolles Erbe aus

Der letzte Fall, den wir oft sehen, ist eine Situation, in der jemand ein SIEM erbt. Niemand weiß, warum das System ursprünglich angeschafft wurde, weil die ursprünglichen Mitarbeiter das Unternehmen verlassen haben, neue hinzugekommen sind, und diese Situation erstreckt sich auf allen Ebenen, von Top-Managern bis zu Feldspezialisten. Stellen Sie sich vor: Sie kommen in ein neues Unternehmen, das ein SIEM hat. Das Management sagt: „Wir haben alle Audit-Logs integriert, und das hat das Unternehmen mehrere Tausend / Millionen Dollar gekostet… Sicherlich können Sie damit etwas anfangen? Ich meine, die Aufgabe ist ziemlich einfach, wir haben Dokumente, die Technologie ist ausgereift und alles funktioniert fast perfekt! Ein paar Anpassungen hier und da, und wir erhalten totale Sicherheitsbewusstheit und Netzwerktransparenz. Das wäre sehr nützlich!“ Ein ehrgeiziges SIEM-Projekt oder sogar SOC sollte mit etwas Einfachem begonnen werden. Das ist in der Tat ROI in seiner reinsten Form. Hier müssen wir uns auf schnelle Erfolge konzentrieren, um zu zeigen, dass die Technologie aus gutem Grund gekauft wurde. Um diese Aufgabe erfolgreich zu meistern, ist es am besten, Use Cases auszuwählen, die bereits für die Technologien in Ihrer Organisation aufgebaut und getestet wurden, und auf spezifische Bedrohungen und Risiken ausgerichtete Lösungen zu wählen, die in der Wildnis am aktivsten sind, wie Ransomware, APT, Windows-Monitoring, VPN, SSL-Sicherheit. Und dann müssten wir diese schnell an die ROI-Treiber anpassen.

Warum ist der SIEM-ROI in der Theorie so gut und doch so weit von der Realität entfernt?

Eine Lehre aus der Überwachung von über hundert Implementierungen: Nur weil ein SIEM-System in einer Organisation implementiert ist, bedeutet das nicht, dass es alle Daten sammelt, die während der initialen Integrationsphase geplant und angeschlossen wurden. Integration ist ein Prozess, nennen Sie ihn kontinuierlich, wenn Sie möchten. Und ein Mangel an Daten = Abwesenheit von ROI. Und es geht nicht nur um die Anschaffung: Wie jedes analytische System folgt SIEM dem Prinzip „garbage in = garbage out“. Einfach ausgedrückt, es wird keine guten Ergebnisse erzielen, wenn Datenprobleme ignoriert werden, und im Falle eines Compliance-Audits sind die erforderlichen Daten möglicherweise nicht verfügbar, wenn Datenqualität und Datenerfassung nicht überwacht werden. Wir wissen auch, dass die IT-Infrastruktur eines Unternehmens nicht statisch ist, Architektur ändert sich ständig, wenn neue Dienste eingeführt und abgeschafft werden, sich das Format und der Transport von Logdaten ändern, sich Firmware- und Betriebssystemkonfigurationen ändern, und das macht das Parsen von Ereignissen, um Data Quality zu gewährleisten, zu einem Prozess, der kontinuierlich verfeinert werden muss. Wenn Qualität nicht mit mindestens 0,25 FTE für die Aufgabe überwacht wird, wird die Nützlichkeit der Daten ständig abnehmen, und im Fall eines, sagen wir, PCI-Audits kann es sein, dass das Unternehmen es nicht besteht. Leistungsprobleme können auch zu einer Situation führen, in der Berichte genau dann fehlschlagen, wenn Sie sie brauchen, und das ist normalerweise, wenn Prüfer oder das Management sie „bis gestern“ anfordern. Dies ist besonders kritisch für SOX.

SIEM ist nicht selbsterhaltend: Egal, ob es sich um On-Premise-Software oder eine SaaS handelt, es benötigt geschultes Personal, das entweder Teil des internen Teams oder eines Outsourcing-Dienstes ist. Falsche Investitionsberechnung passiert bei SIEM-Projekten ziemlich oft. Die Investitionen in die SIEM-Technologie sollten während der ersten 5 Jahre nur 20-30% des Gesamtprojektbudgets ausmachen. Man muss in Ausrüstung und Team investieren, insbesondere in Ausbildung, Mitarbeiterbindung und Skalierung der Operationen. Ein weiterer Fehler ist anzunehmen, dass der Kauf eines SIEM die Arbeitsbelastung erheblich reduzieren wird, im Gegenteil, er wird tatsächlich eine Reihe neuer Aufgaben und erforderlicher Fähigkeiten mit sich bringen. Ihre Experten erhalten einfach die Möglichkeit, mit großen Mengen an Sicherheitsdaten zu arbeiten, sie zu analysieren und daraus Bedeutung abzuleiten, um Risiken zu minimieren, etwas, das zuvor unmöglich war. Daher ist eine unsachgemäße Ressourcenplanung ein weiterer Grund, warum es nicht möglich ist, einen ROI aus SIEM zu erhalten.

Schließlich erfordert der Ansatz zur Implementierung von Use Cases für SIEM das Verständnis, dass Use Cases nicht als einmalige Sache implementiert werden und ihre Qualität rapide abnimmt, wenn sie nicht kontinuierlich verbessert und abgestimmt werden. Die effektivste und gleichzeitig einfachste Lösung hier ist es, bereits verfügbare Use Cases zu nutzen und das Rad nicht neu zu erfinden (Cases für Windows-Überwachung, Cisco, Antivirus usw.). Es ist notwendig, die Anstrengungen des Teams auf die Entwicklung spezifischer Use Cases für Ihre Organisation zu konzentrieren. Um zu überprüfen, ob Sie die erforderlichen Use Cases erstellen: Wenn ein Use Case auf das SIEM eines anderen Unternehmens kopiert werden kann und dort mit demselben Wert funktioniert, bedeutet das, dass er universell ist. Und es besteht eine hohe Wahrscheinlichkeit, dass er bereits als Freemium- oder kommerzielles Paket verfügbar ist, das minimale bis keine Anpassung erfordert, um Sicherheitswert zu erzeugen.

So können wir 5 Prozesse definieren, die einen positiven ROI aus SIEM sicherstellen

1. Überwachung und Aufrechterhaltung der Datenerfassung und Datenqualität
2. Überwachung, Pflege und kontinuierliche Verbesserung von SIEM-Use-Cases
3. Ordnungsgemäße technische Planung des Projekts und der Architektur
4. Planung und Anpassung von FTE im Voraus, um eine Überlastung des Teams zu verhindern
5. Ein klarer Plan für Investitionen in das Team: Schulung, Bindung und Entwicklung

Hier haben wir also die Hauptwege, um ROI aus SIEM zu erzielen, und einige Gründe, warum sie nicht immer wie beabsichtigt funktionieren. Wie sind Ihre Erfahrungen beim Erzielen von ROI aus einem SIEM?