SIEM-Lösungen im Managed SOC
Internes oder externes SIEM – oder vielleicht doch XDR? Gastautor Simeon Mussler von Bosch CyberCompare erklärt, was aus seiner Sicht Sinn macht.
Viele Unternehmen entscheiden sich aus Ressourcen-Gründen für ein Managed SOC, bei der das Monitoring an einen Service-Provider ausgelagert wird. Bei der Wahl des richtigen Partners ist die Frage nach dem Umgang mit dem benötigten Data Lake für die Security Logs, oft als Security Information and Event Management (SIEM) abgebildet, essenziell.
XDR ersetzt nicht automatisch das SIEM
Welche Strategie für den benötigen Data Lake, ob als XDR oder SIEM-Lösung die richtige für das eigene Unternehmen ist, ist sehr individuell. Es gibt jedoch einige Aspekte, die es grundsätzlich abzuwägen gilt, wenn man in die Entscheidungsfindung tritt. Mit einem System zur Extended Detection and Response (XDR) lassen sich Bedrohungen in einem ganzheitlichen Ansatz erkennen und verfolgen, wodurch Sicherheitsdaten einfacher erfasst und analysiert werden können.
Trotzdem ersetzt XDR nicht automatisch das SIEM. Diese deckt auch Anwendungsszenarien über die Bedrohungserkennung hinaus ab. Allgemein kann man insbesondere bei einer SIEM-Lösung sagen, dass der interne Aufbau vor allem in großen und komplexen Organisationen sinnvoll sein kann, die über entsprechende Kapazitäten und Ressourcen verfügen. Ist es einmal aufgebaut, bleibt das System auch bei einem Anbieterwechsel bestehen, Zudem behalten die IT-Teams so die Hoheit über die eigene Security-Strategie. Sind spezifische Use Cases notwendig – etwa, weil das Unternehmen global und an vielen Standorten agiert – können mit einem internen SIEM die jeweiligen Bedürfnisse einfacher, schneller und individueller angepasst werden und fördern neben den Anforderungen aus der Security weitere Use Cases und Transparenz über die IT-Infrastruktur.
Weniger Mitarbeiter und kein eigenes Know-how
Im Gegensatz dazu bleibt der Grad der Komplexität bei einer umfassenden Managed SOC ohne eigenes SIEM gleich. IT-Teams müssen dafür kein eigenes Know-how aufbauen. Besonders wenn das System schon eingespielt ist, werden weniger Mitarbeiter benötigt als bei einer internen Lösung. Stattdessen wird das SIEM komplett vom Provider verwaltet, sodass im täglichen Geschäft kaum Berührungspunkte für das Unternehmen entstehen. Das Managed-Service-Angebot kann als vollständiges Leistungspaket bezogen werden. So können IT-Abteilungen einerseits auf die unternehmensübergreifende Expertise der Anbieter aufsetzen, andererseits sind die Lizenzierungskosten für das SIEM oftmals zumindest partiell bereits im Preis für das Managed SOC enthalten. Entsprechend sind die Anschaffungskosten für das SIEM deutlich geringer, als wenn es gesondert implementiert werden soll.
Zugriff oder kein Zugriff auf das SIEM?
Entscheidet sich ein Unternehmen für ein externes SIEM im Rahmen des Managed-SOC-Services, wählen die meisten eine Variante, bei der sie lediglich vordefinierte Dashboards und Reports – häufig sogar in Echtzeit – erhalten, jedoch keine Möglichkeit, direkt darauf zuzugreifen. Mit Blick auf die Ressourcen und das eigene Know-how der IT-Teams kann diese Wahl für eine Vielzahl an Unternehmen auch vollkommen ausreichen: IT-Entscheider können sich auf einem großen Markt mit vielfältigem Angebot das jeweils beste aussuchen und auf die Erfahrung des SOC-Anbieters bauen.
Möchten sie trotzdem einmal auf das SIEM zugreifen, etwa im Falle eines Angriffs, wird dies aufgrund der Vertragssituation häufig erschwert. Daher sollten Unternehmen bereits bei der Auswahl des Anbieters, spätestens jedoch in der Implementierungsphase stets darauf achten, welche Daten beispielsweise für die Forensik zur Verfügung gestellt werden können. Ist der Managed-SOC-Provider zugleich der gewählte Incident-Response-Partner kann dieser Aspekt vernachlässigt werden. Schließlich wird der Informationsfluss nicht durch unterschiedliche Anbieter unterbrochen.
Logs liegen in den eigenen Datensystemen ab
Möchten IT-Teams Zugang zu den im SIEM gesicherten Daten, so ist der Mittelweg für sie am besten. Hierbei gibt es zwei unterschiedliche Varianten: Zahlt das Unternehmen eine Lizenz für die SIEM-Lösung, liegen die verschiedenen Logs entweder in der Cloud oder On Prem in den eigenen Datensystemen ab. Der Provider muss sich in diesem Fall die Daten vom Unternehmen organisieren und entweder in seiner oder auch in der Kundenumgebung die Regeln und Use Cases für das SIEM definieren. So können Teams internes Wissen aufbauen und sich gegebenenfalls zukünftig dazu entscheiden, die Lösung komplett intern zu betreiben. Zudem werden die Systeme teilweise selbst überwacht, wodurch die Logs zentral protokolliert und im Falle eines Sicherheitsvorfalls auch direkt selbst verfolgt werden können.
Sollen die eigenen Kapazitäten größtenteils geschont werden, kann der Managed-SOC-Anbieter das SIEM auch direkt betreiben und dem Kunden den Zugriff auf die Daten gewähren. In diesem Fall werden die Logs über entsprechende Kollektoren auf die Systeme des Providers übertragen und dort verarbeitet. Das bedeutet aber nicht, dass der Kunde alles aus der Hand gibt. Vielmehr müssen IT-Teams eng mit dem Anbieter zusammenarbeiten, um die Vorteile dieser Lösung bestmöglich zu nutzen.
Use Case: Global agierendes Unternehmen im Agrarsektor
Besonders wenn ein Unternehmen auf globaler Ebene agiert und mehrere Standorte in verschiedenen Ländern betreibt, kann diese Organisationsstruktur die interne IT-Landschaft erheblich verkomplizieren, vor allem wenn die Daten, wie im vorliegenden Fall, auch aus mehreren Fertigungsanlagen zusammengetragen werden müssen. Dank der Unternehmensgröße von mehreren Tausend Mitarbeitern war man jedoch bereits in der Lage, die Log-Daten in einer Azure-Sentinel-Cloud-Umgebung einzubringen. Diese sollten die Basis für eine eigene SIEM-Lösung darstellen.
Auf der Suche nach einem geeigneten Partner für ein Managed SOC galt es, einen Anbieter auszuwählen, der dazu bereit war, die eigene Expertise zu teilen und diese direkt für die Optimierung der Kundenumgebung einzusetzen. Dass es eine solche Einschränkung gibt, kann bei einem intern verwalteten SIEM ebenso vorkommen wie mangelnde Erfahrung mit verschiedenen Umgebungen – in diesem Fall Azure Sentinel. Oftmals sind Unternehmen mit dem vielfältigen Anbieterangebot überfordert und nicht in der Lage, das optimale Angebot aus der langen Liste an Providern zu identifizieren. An dieser Stelle können externe Partner helfen und sie mit einer ausgeprägten Branchenexpertise durch den Auswahlprozess begleiten, beginnend von der Ausschreibung über die Problemidentifikation bis hin zur Auswahl des passenden Anbieters.
Fazit: Lösungen „von der Stange“ gibt es nicht
Eine interne Rund-um-die-Uhr-Überwachung der internen IT-Landschaft gestaltet sich für viele Unternehmen schwierig. Zum einen gilt es, den vorhandenen Ressourcen gerecht zu werden und die eigene Belegschaft nicht mit Monitoring-Aufgaben zu überfrachten. Zum anderen mangelt es vielerorts am nötigen Know-how. Aus diesem Grund entscheiden sich viele Unternehmen dafür, ein Managed SOC zu implementieren – eine wichtige Komponente in der unternehmenseigenen Sicherheitsstrategie. Dabei müssen jedoch auch immer die individuellen Bedürfnisse berücksichtigt werden – Lösungen „von der Stange“ gibt es hier nicht. Um in diesem diversifizierten Angebotsdschungel nicht den Überblick zu verlieren, können externe Beratungspartner beim Auswahlprozess des Providers helfen, sodass jedes Unternehmen die optimale Lösung für sich findet.
Simeon Mussler
ist COO bei Bosch CyberCompare.