Da eine Entscheidungsfindung über einen SIEM-Service oft schwierig ist und auch ein umfassendes Wissen benötigt über technische Hintergründe, Compliance und möglichen Alternativen wollen wir hier eine hilfreiche Übersicht geben. Wir geben hier umfassende Einsichten über mögliche SIEM-Modelle und unsere Einschätzungen und Erfahrungen zu diesen.

1. Angriffe erkennen und SIEM-Systeme schützen

Vollständig kompromittierte Unternehmensnetzwerke sind bei aktuellen Sicherheitsvorfällen keine Einzelfälle. Häufig werden Angriffe zu spät oder gar nicht erkannt. Um die notwendige Sichtbarkeit zu erreichen, um Angriffe frühzeitig zu erkennen und um im Fall einer Kompromittierung schnell dessen Ursprung und Ausbreitung zu erfassen, werden SIEM-Systeme (Security Information & Event Management) eingesetzt und relevante Log-Quellen angebunden. Als zentrales Element zur Identifikation von Sicherheitsvorfällen hängt der Nutzen eines SIEM stark von der Qualität und Umfang der angebundenen Log-Quellen ab und stellt hohe Anforderungen an die Absicherung des SIEM-System selbst, um die entsprechende Sichtbarkeit auch bei Sicherheitsvorfällen im Netzwerk nicht zu verlieren. Denn auch die Sicherheitssysteme selbst, können zum Opfer von Angreifenden werden (siehe hierzu z.B. auch SC Media: Ragnar Locker reminds breach victims it can read the on-network incident response chat rooms).

2. Essentielle Architektur- und Betriebsaspekte bei der SIEM-Implementierung

Zu Beginn eines SIEM-Einführungsprojekts sind wesentliche architekturelle und operative Aspekte zu berücksichtigen, um ein effektives Überwachungssystem zu implementieren. Folgende Punkte sind unabhängig vom gewählten Produkt und Branche zu beachten:

• Datenqualität: Wie werden die richtigen Logdaten im richtigen Format in der notwendigen Zeit gesammelt?
• Skalierbarkeit: Wie wird mit steigendem Datenvolumen und Rechenkapazität umgegangen?
• Standort: Wo ist das SIEM physisch im Gesamtsystem positioniert?
• Separierung: Wie wird sichergestellt, dass Angreifende die Security Systeme nicht kompromittieren? Wie sieht eine logische Trennung vom Gesamtsystem aus?
• Betriebsmodell: Wer übernimmt den Betrieb des SIEM? Wie wird das SIEM betrieben?
• Kosten: Welche Kosten sind zu berücksichtigen (z.B. Hardware, SaaS, Lizenzen)? Was ist der Hauptkostentreiber?
• Datenhoheit: Wo sind die Daten gespeichert?

Security-Analyse: Wer überprüft die Alarmierungen durch das SIEM? Wer erstellt und pflegt die Regeln für Alarmierungen?

Grundsätzlich können Unternehmen sich zwischen drei verschiedenen Bereitstellungsmodellen entscheiden, um ein SIEM im Unternehmen zu positionieren: On-Prem, Cloud und Betrieb durch einen externen Partner. Hierbei ist die Positionierung des Systems (im eigenen RZ oder Auslagerung), als auch die Betriebsverantwortung (make or buy) entscheidend. Neben diesen drei Modellen gibt es noch weitere Mischformen und Spezialfälle, wie bspw. Hybride Ansätze, On-Prem bei externem Betrieb, oder Co-Locations. Auf diese wird in diesem Artikel nicht weiter eingegangen, da diese Spezialfälle nur für sehr individuelle Situationen geeignet sind. Der Fokus liegt hier auf:

• On-Prem
  • Installation & Betrieb des SIEM durch unternehmenseigene IT
  • Dedizierte Hardware für Compute und Storage
• Cloud
  • Installation & Betrieb durch unternehmenseigene IT
  • Installation in unternehmenseigener Cloud-Infrastruktur (getrennt vom restlichen Unternehmensnetz)
• Betrieb durch externen Partner
  • Installation & Betrieb durch externen Partner
  • Installation auf (Cloud-)Infrastruktur des externen Partners

3. Die drei SIEM-Bereitstellungsmodelle im Vergleich

On-Prem

Datenqualität‍

• Stark abhängig vom vorhandenen Know-How im Unternehmen
• Eigene IT weiß, welche Logdaten auf welchen Systemen zur Verfügung stehen
• Security Know-How für die Auswahl der Log-Quellen notwendig

Skalierbarkeit

• Skalierbarkeit ist abhängig von lokaler Rechenkapazität
• Erweiterung des Systems meist durch manuelle Tätigkeiten möglich
• Aufwendige Prozesse

Standort

• Physisch im lokalen Rechenzentrum / Serverraum / Serverschrank
• Erbt physische Schutzmaßnahmen (z.B. Zutrittssicherung, Unterbrechungsfreie Stromversorgung, Brandschutz)

Separierung

• Separierung zum Rest des Unternehmensnetzwerks rein auf logischer Ebene (Netzwerksegmentierung)
• Übernahme von Managementsysteme bzw. Netzwerkgeräten gefährdet das SIEM

Betriebsmodell

• Hardware und Software für das SIEM wird durch eigene IT übernommen
• Tiefgreifendes Know-How über die gewählte SIEM Software notwendig
• Es müssen genügend personelle Ressourcen für einen zuverlässigen Betrieb verfügbar sein

Kosten

• Hardwarekosten - Beschaffung, Service, Ersatz
• Lizenzkosten (kann ggf. durch die Nutzung einer Open-Source Lösung entfallen)
• Personalkosten - Installation, Betrieb, Wartung, Updates, Optimierung, Fehlerbehebung
• Weiterbildungskosten für Know-How Aufbau und Erhalt

Datenhoheit

• Die Daten verbleiben zu jeder Zeit im Unternehmensnetzwerk

Security Analyse

• Erfordert sehr gut ausgebildetes und erfahrenes Personal (iSecNG Blog: Warum der Fachkräftemangel in der Informationssicherheit für mich eher eine Chance als ein Problem darstellt)
• Regelmäßige Aus- und Weiterbildung der Mitarbeiter ist zwingend notwendig, um bei der sich verändernden Bedrohungslandschaft mithalten zu können

Cloud

‍
Datenqualität

• Stark abhängig vom vorhandenen Know-How im Unternehmen
• Eigene IT weiß, welche Logdaten auf welchen Systemen zur Verfügung stehen
• Security Know-How für die Auswahl der Log-Quellen notwendig

Skalierbarkeit

• Skalierbarkeit von Infrastruktur ist, bei Verwendung der von Hyperscalern (AWS, Azure, GCP) zur Verfügung gestellten Technologien, einfach möglich
• Nutzung der Skalierbarkeit der Cloud erfordert Erfahrung im Betriebsteam im Zusammenspiel zwischen SIEM Software und Cloud Technologie

Standort

• SIEM ist in einer gewählten Zone beim Cloud-Anbieter (z.B. AWS eu-central-1) in einem bzw. mehreren Rechenzentren platziert
• Genaue Lokalisierung in welchem Rechenzentrum bzw. auf welcher Hardware ist nicht möglich.

Separierung

• Separierung zum Rest des Unternehmensnetzwerks sowohl logisch als auch physisch gegeben
• Unabhängige Systeme / getrennte Verantwortungsbereiche
• Risiko für Kompromittierung des SIEM Systems bei Kompromittierung des Unternehmensnetzwerk stark reduziert

Betriebsmodell

• Betrieb der Hardware erfolgt durch den Cloud-Anbieter
• Konfiguration der Infrastruktur liegt in der Verantwortung der unternehmenseigenen IT (siehe hierzu auch: “Modell der geteilten Verantwortung” bei Cloud-Anbietern)
• Betrieb des SIEMs wird durch die unternehmenseigene IT übernommen
• Es müssen genügend personelle Ressourcen für einen zuverlässigen Betrieb verfügbar sein

Kosten

• Cloud Kosten - Infrastruktur, Speicherkosten, Datentransaktionskosten, etc.
• Lizenzkosten (kann ggf. durch die Nutzung einer Open-Source Lösung entfallen)
• Personalkosten - Installation, Betrieb, Wartung, Updates, Optimierung, Fehlerbehebung
• Weiterbildungskosten für Know-How Aufbau und Erhalt

Datenhoheit

• Daten liegen in der gewählten Zone/Region des Cloud Anbieters
• Typischerweise nicht genau feststellbar, wo genau die Daten liegen
• Amerikanische Anbieter (AWS, Azure, GCP) unterliegen amerikanischem Recht (Patriot Act)

Security Analyse

• Erfordert sehr gut ausgebildetes und erfahrenes Personal (iSecNG Blog: Warum der Fachkräftemangel in der Informationssicherheit für mich eher eine Chance als ein Problem darstellt)

• Regelmäßige Aus- und Weiterbildung der Mitarbeiter ist zwingend notwendig, um bei der sich verändernden Bedrohungslandschaft mithalten zu können.

Externer Partner

Datenqualität

• Sehr viel Abstimmung/Kommunikation notwendig zwischen externem Partner und Unternehmen
• Synergie-Effekt, wenn das Unternehmen die eigenen Systeme gut kennt und der externe Partner sehr gutes Security-Know-How einbringt
• Endergebnis hängt sehr stark von der Kompetenz des externen Partners ab

Skalierbarkeit

• Skalierbarkeit ist in entsprechenden Services bereits beim Design vorgesehen
• Die Verantwortung für die Vorhaltung von Ressourcen liegt beim externen Partner

Standort

• Physisch in der genutzten Infrastruktur des externen Partners (z.B. AWS Cloud, Partnerrechenzentrum, …)

Separierung

• Separierung zum Rest des Unternehmensnetzwerks sowohl logisch als auch physisch gegeben
• Unabhängige Systeme / getrennte Verantwortungsbereiche
• Risiko für Kompromittierung des SIEM Systems bei Kompromittierung des Unternehmensnetzwerk stark reduziert

Betriebsmodell

• Hardware & Software Betrieb in der Verantwortung des externen Partners
• Bereitstellung der Logdaten in der Verantwortung des Unternehmens
• Kaum zusätzlicher Know-How Aufbau im Unternehmen notwendig

Kosten

• Servicegebühren teils sehr unterschiedlich und schwierig vergleichbar
• Servicegebühren meist aufwandsgetrieben, aber teilweise nur schwer vorhersehbar (z.B. Workload Pricing)
• Initiale Setup Gebühren teilweise nicht vorhanden oder nur über separate Beauftragung und Mehrkosten gegeben
• Interne Personalkosten für Kommunikation mit und Steuerung des externen Partners

Datenhoheit

• Datenhoheit hängt stark von der verwendeten Infrastruktur des externen Partners ab
• Wird z.B. AWS als Basis verwendet => keine wirkliche Datenhoheit beim Unternehmen (siehe auch: Cloud/Datenhoheit)‍‍

Security Analyse

• Security Analyse wird durch den externen Partner erbracht
• Ein entsprechend spezialisierter Partner verfügt über gut ausgebildete und erfahrene Mitarbeiter
• Externer Partner kann Erkenntnisse / Vorfälle von anderen Kunden auch für das Unternehmen nutzen (Stichwort: Threat Intelligence)

4. Zusammenfassung der SIEM-Bereitstellungsmodelle‍

5. iSecNG als externen Partner

iSecNG als externer Partner für ihr SIEM kombiniert die Vorteiler aller anderen Lösungen.

Datenqualität

Die Spezialisten für SIEM Lösungen von iSecNG arbeiten mit Ihrer IT zusammen, um die richtigen Log-Quellen auszuwählen und die Logdaten schnell und in der richtigen Qualität an das SIEM anzubinden. Somit kombinieren wir das Know-How Ihrer Spezialisten mit der Security-Expertise von iSecNG.

Skalierbarkeit

Das Managed SIEM von iSecNG basiert auf der Open Source Technologie metal-stack. Dies ermöglicht eine automatische Skalierung der notwendigen Hardware für das SIEM. Somit ist die Infrastruktur flexibel wie in einer Cloud ohne wirklich eine zu sein. Das iSecNG Plattform Team (SIEM Team Six) sorgt mittels cloud-nativer Prozesse wie CI/CD und GitOps für eine reibungslose Skalierung der SIEM Bestandteile, um Ihren Anforderungen hinsichtlich Rechenkapazität und Speicherbedarf gerecht zu werden. Von wenigen hunderten Megabyte bis hin zu mehreren Terabyte am Tag ist alles möglich.

Standort

Durch die Positionierung unserer dedizierten Hardware in einem Rechenzentrum in München, ist sichergestellt, dass die Daten getrennt von Ihrer IT aufbewahrt werden. Somit ist eine Kompromittierung dieser Daten im Incident Fall sichergestellt, währen die klassischen Sicherheits- und Verfügbarkeitsanforderungen an ein Rechenzentrum automatisch erfüllt sind, ohne dabei auf einen klassischen Hyperscaler (AWS, Azure, GCP) setzen zu müssen.

Separierung

Das iSecNG Managed SIEM wird auf Hardware, welche nur von iSecNG genutzt wird, bereitgestellt und betrieben. Jeder Kunde, welcher ein Managed SIEM ordert, erhält eine eigene SIEM Instanz (keine Multi-Mandanten-Lösung). Somit ist völlig ausgeschlossen, dass Ihre Daten mit denen anderer Kunden vermischt werden. Durch die Positionierung der zentralen SIEM Komponenten bei iSecNG ist auch die Separierung von Ihrer IT soweit sichergestellt, dass zwar die Kommunikation zum Einsammeln der Logdaten möglich ist, aber eine nachträgliche Manipulation, Löschung oder sonstige Kompromittierung dieser ist ausgeschlossen.

Betriebsmodell

Das iSecNG Plattform Team (SIEM Team Six) nutzt moderne cloud native Methoden, um die SIEM Systeme zu deployen, zu überwachen und zu betreiben. Die im Umgang mit dem System spezialisierten Experten, sorgen für eine hochverfügbare Bereitstellung des Systems, sodass Ihre Security Analyste oder auch des SOC von iSecNG ununterbrochen die Sicherheit Ihres Unternehmens überwachen können.

Kosten

Die Kosten des Managed SIEM von iSecNG ist für beide Seiten fair und skalierbar gestaltet. Der Preis richtet sich nach dem zur Verfügung gestellten Hot Storage, welcher die Live-Durchsuchbarkeit der Daten gewährleistet. Die Faustformel lautet, dass genug Hot Storage für 30 Tage Data Retention gewählt werden sollte. Im Cold Storage werden Ihre Daten jedoch standardmäßig für 365 Tage aufbewahrt, sodass auch jederzeit eine Re-Indexierung auch von Archivdaten möglich ist.

Datenhoheit

Die Logdaten werden zwar zu iSecNG übertragen. iSecNG speichert diese aber ausschließlich in Deutschland und arbeitet dafür auch ausschließlich mit deutschen Subunternehmen zusammen - bye, bye, Patriot Act.

Security Analyse

Die Analyse der Logdaten erfordert sehr gut ausgebildetes aber auch erfahrenes Personal um einen hohen Qualitätsstandard zu erfüllen und Sicherheitsvorfälle erkennen und bewältigen zu können. Das ist das Kerngeschäft von iSecNG. Das iSecNG Managed SOC sorgt für eine speziell für Ihr Unternehmen zugeschnittene Überwachung. Das fortlaufend weiterentwickelte iSecNG Standard-Regelset kann zudem durch die Managed Detection Rules auf jede Individualität Ihrer IT angepasst werden.

Setzen Sie auf einen vertrauenswürdigen Partner, der Ihnen nicht nur ein SIEM-System bietet, sondern auch die Sicherheit, dass Ihre Daten und Systeme optimal geschützt sind. Unser Managed SIEM, Teil unseres Managed Detection and Response (MDR)-Services, bietet Ihnen eine ganzheitliche Sicherheitslösung, die Ihre Infrastruktur rund um die Uhr überwacht und Bedrohungen in Echtzeit identifiziert.

Kontaktieren Sie uns, um mehr über unser Managed SIEM zu erfahren und wie Sie damit Ihre Sicherheitsstrategie stärken können.‍

‍