Kalawin - stock.adobe.com
SIEM als Dienstleistung: Darauf müssen Unternehmen achten
In einer SIEM-Lösung laufen systembedingt hochsensible Daten eines Unternehmens zusammen. Wer dies auslagert, sollte entsprechend sorgfältig bei der Auswahl vorgehen.
Beim traditionellen Ansatz läuft eine SIEM-Lösung komplett in der eigenen Umgebung und obliegt voll und ganz der Verantwortung der eigenen IT-Abteilung. Somit sind die eigenen Mitarbeiter verantwortlich für die Verwaltung und auch Überwachung der SIEM-Lösung (Security Information and Event Management). Inzwischen existieren aber auch andere Ansätze, die Dritte beziehungsweise Dienstleister miteinbeziehen, auf die dann auch ein Teil der Verantwortung für das SIEM entfällt.
Wenn ein Anbieter von Managed Security Services, ein MSSP, die Verantwortung für die SIEM-Überwachung und -Administration übernimmt, dann ist üblicherweise auch von SIEM as a Service die Rede. Dabei kann Übernahme der SIEM-Tätigkeit vollständig oder auch nur in Teilbereichen erfolgen. Ein weitere Darreichungsform von SIEM ist ein Cloud-basiertes SIEM, bei dem die gesamte SIEM-Hard- und Software in der Cloud gehosted wird und nicht in der lokalen Umgebung läuft.
SIEM als Dienstleistung oder aus der Cloud beziehen
Wie in vielen anderen Bereichen auch, so ist die Realität auch bei SIEM nur selten Schwarzweiß. Viele Unternehmen nutzen eine Kombination der verfügbaren Lösungen und betreiben einen Teil selbst und haben einige Dienste in der ein oder anderen Form ausgelagert. Wie sich diese Dienste oder Lösungen dann nennen ist eigentlich unerheblich, wichtig ist die richtige Lösung für die eigenen Anforderungen zu finden.
Wer sich SIEM-as-a-Service- oder Cloud-SIEM-Angebote ansieht, sollte dabei einige Punkte berücksichtigen:
Der Einsatz eines Dienstleisters für den Bereich SIEM kann aus Sicht der Kosten durchaus attraktiv sein und günstiger als ein Inhouse-Betrieb. Zudem kann ein externer Anbieter in Sachen Vorfallserkennung häufig schneller und genauer reagieren, als dies in Eigenregie möglich wäre. Dies ist insbesondere bei kleineren Unternehmen der Fall, die in der Regel keineswegs die Ressourcen haben, um rund um die Uhr eine Fachkraft für das Thema SIEM abzustellen. Bei einem Dienstleister widmen sich in der Regel entsprechende Experten ausschließlich dem Thema SIEM. Zudem kann ein externer Anbieter unter Umständen früher kundenübergreifende Muster erkennen, und so das Wissen über Angriffe auf einen Kunden nutzen, um andere Kunden schneller und besser zu schützen.
Die Bandbreite- und Storage-Anforderungen von SIEM-Lösungen wachsen rasant. Dies geht logischerweise einher mit den schnell wachsenden und immer komplexer werdenden Umgebungen, die sie überwachen müssen. Unternehmen nutzen immer mehr verteilte Dienste und Anwendungen, die an unterschiedlichsten Orten gehosted werden. Um Ereignisse über alle Hosts hinweg zu korrelieren und den Überblick zu behalten, muss eine riesige Menge an Sicherheitsereignisdaten an einem Ort zusammengeführt werden. Dies erfordert entsprechend Speicherplatz und Bandbreite. In einigen Fällen ist es schlicht nicht möglich, dies so durchzuführen. Stattdessen kann man dann mit einem abgestuften SIEM agieren. Bei diesem Ansatz finden Teile der Datenerfassung und der Analyse an mehreren Stellen statt, und ein übergeordnetes SIEM erhält dann nur bestimmte Daten für die weitere Analyse. Je länger allerdings der gesamte Analyseprozess dauert, desto länger kann es auch dauern, bis ein Vorfall erkannt wird und entsprechende Reaktionen eingeleitet werden können.
Wer sich im Bereich SIEM an einen Dienstleister wendet, muss diesem Anbieter natürlich ganz besonderes Vertrauen entgegenbringen. Entsprechend sorgfältig sollte die Auswahl erfolgen, bei denen selbstredend alle rechtlichen und datenschutzrechtlichen Rahmenbedingungen berücksichtigt werden müssen. Dementsprechend müssen die Cloud-Angebote auf den Prüfstand gestellt werden, etwa wenn es um die Rechenzentren geht, in denen die Angebote betrieben werden. Und natürlich kann es auch bei einem externen Anbieter Insider-Bedrohungen geben, schließlich agieren die Mitarbeiter dort mit hochsensiblen Informationen ihrer Kundenunternehmen. Und soll ein Dienstleister zeitnah reagieren, muss er weitreichende Befugnisse haben, um eventuell Sicherheitslösungen im Kundenunternehmen mal eben umzukonfigurieren. Diese Fragen der Autoritäten muss man sich bei entsprechenden Angeboten zumindest bewusst sein.
All die genannten Punkte sollten zusammen als großes Ganzes betrachtet werden, wenn es darum geht SIEM als Dienstleistung zu beziehen. Es sind eine Vielzahl von Aspekten zu berücksichtigen, die in den Entscheidungsprozess einfließen sollten.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!