Security: im Eigenbau oder as a Service?

Ganz oben auf der CIO-Agenda steht die Sicherheit. Für Unternehmen ab hundert Mitarbeitenden aufwärts ist ein Security Information & Event Management (SIEM) fast zwingend. Das SIEM übernimmt die Aufgabe der zentralen Sicherheits-Alarmierung. Alle Events, die Sicherheitsereignisse beinhalten, können auf einem SIEM korreliert, komprimiert und ausgewertet werden. Komplementär bietet sich ein Security Operation Center (SOC) an, dass den Alarmen vom SIEM konkrete Massnahmen folgen lässt und die einzelnen Cases begleitet, bis sie geschlossen werden können. Um eine Kombination von einem SIEM/SOC im eigenen Betrieb zu etablieren, sind allerdings einige strategische Überlegungen wie auch Investments nötig.

Der Aufbau eines SIEM/SOC ist komplex. Es braucht qualifizierte und geschulte Fachleute, es müssen Prozesse etabliert werden und die nötige Technologie muss implementiert und administriert werden. Jedes einzelne Element ist wiederum in sich komplex:

● Fachkräfte mit dem richtigen Mindset
Ein SIEM-Analyst kommt im Idealfall aus dem Bereich Penetration Testing. Mit Erfahrungen im Bereich IDS/IPS wie Endpoint Protection werden SIEM-Analysten schneller produktiv. Wichtig ist vor allem das Mindset. Erst mit der richtigen Perspektive und dank der Kreativität eines Analysten lassen sich die richtigen Rückschlüsse auf den Ursprung eines Security-Events ziehen. Ein SIEM resp. SOC muss an 24 Stunden 7 Tage in der Woche betrieben werden, da Malware und Hacker keine Bürozeiten kennen. Ein Dreischichtbetrieb mit Backup erfordert im Minimum somit 12 Personen, die in Vollzeit arbeiten. Diese Fachkräfte sind sehr gesucht und daher ein nicht zu unterschätzender Kostenfaktor.

● Prozesse für einen konsistenten Information Flow
Mit einem SIEM in Kombination mit einem SOC erhält ein Unternehmen eine zuvor nicht vorhandene Visibilität auf die Security-Probleme und deren Auswertung. Die meisten Unternehmen unterschätzen daher den Aufwand für die Etablierung entsprechender Prozesse, um die Handlungsfähigkeit eines SIEM rasch herzustellen. Dabei ist es zwingend, dass definiert – und vor allem auch dokumentiert wird – wer wann über welchen Security-Event informiert werden muss, wer welche Massnahmen zu welchem Zeitpunkt ergreifen muss und wie intern und extern kommuniziert werden soll. Da im Ernstfall die Prozesse reibungslos laufen müssen, sind Trainings und Simulationen vorab nötig. Schon Verzögerungen in Minuten können über Erfolg und Misserfolg einer Abwehr entscheiden. Es empfiehlt sich, ein Incident Response Handbook in die Planung eines SIEM/SOC einzubeziehen und die nötigen internen Ressourcen dafür bereitzustellen. Denn auch wenn das Incident Response Handbook von einem externen Dienstleister geliefert wird, ist es um viele interne Informationen zu bereichern, um ein solches Projekt erfolgreich abschliessen zu können.

● Technologie auf die eigenen Bedürfnisse adaptieren
Die Einrichtung eines SIEM gleicht dem Schneidern eines Massanzugs. Das SIEM muss auf die individuellen Risikobedürfnisse eines Unternehmens angepasst werden. Zwar wird für zahlreiche Use Cases SIEM-Software mitgeliefert, doch die Standardanwendungen und -technologien müssen unternehmensgerecht konfiguriert und administriert werden. Auch die Anbindung der nötigen Datenquellen stellt sehr hohe Anforderungen an die technische Kompetenz der Mitarbeitenden. Security- Quellen wie Firewalls, IDS/IPS, Endpoint Protection und Proxy Server beispielsweise sind einfacher zu integrieren als Microsoft Active Directory oder Cloud-Dienste.

Aufgrund dieser Komplexität ist es schwierig, die Etablierung eines SIEM/SOC von Beginn weg realistisch zu budgetieren. Alternativ bietet sich an zu evaluieren, ob es sich lohnt – wirtschaftlich, finanziell und adäquat zur Risk Exposure des Unternehmens – ein SIEM/SOC als Managed Service zu beziehen. Neben die verfügbaren Ressourcen tritt in diesem Fall die Erfahrung, die ein solcher Anbieter mitbringt.

Bei einer Auslagerung des SIEM/SOC an einen spezialisierten Anbieter stellen beiderseits vereinbarte Service Level Agreements sicher, dass alle Services mit der nötigen Sorgfalt innerhalb vereinbarter Zeiten geliefert werden. Die Verfügbarkeit der qualifizierten Mitarbeitenden liegt in der Verantwortung des Managed Security Services Providers (MSSP). Auch die Weiterentwicklung und Pflege des SIEMs wie auch die gewissenhafte Abarbeitung der Alarme, die aus dem SIEM resultieren, liegen in seinem Aufgabenbereich.

Ein etablierter MSSP hat aus der Erfahrung mit SIEM/SOC-Projekten heraus bereits Standardprozesse implementiert, die auf das Unternehmen adaptiert werden. Natürlich wird hierbei die aktive Mithilfe des Kunden und die Bereitstellung der erforderlichen internen Ressourcen bei der Integration benötigt. 

Ein grosser Vorteil der Auslagerung eines SIEM/SOC ist es, dass der spezialisierte MSSP jederzeit up to date in Sachen Techno­logie ist. Das Unternehmen muss sich dem­zufolge um den eingesetzten Technologiestack nicht kümmern, denn es bezieht ­Sicherheit als Service. Es profitiert auch davon, dass es bei der Einbindung seiner ­Datenquellen ebenso auf das verfügbare ­Wissen und die gesammelten Erfahrungen des MSSP zugreifen darf, wie bei Änderungen der Bedrohungslage. Denn Cyberkriminelle finden ständig neue Wege für ihre Attacken und entwickeln ihre Angriffsmethodiken entsprechend weiter.

Schritt halten kann nur, wer sich ebenfalls kontinuierlich weiterentwickelt und – wie im Falle eines MSSP – Daten nicht nur aus einem Unternehmen und einer Branche zur Verfügung hat, sondern auf möglichst viele Daten verschiedener Unternehmen und Branchen zugreifen kann. Auch diesbezüglich sind professionelle Anbieter gemanagter SIEM/SOC- Services gegenüber Individuallösungen klar im Vorteil.

Ein Managed SIEM/SOC ist zudem finanziell viel besser kontrollierbar als eine Eigen­lösung. Der Preis wird bereits vor der Im­plementation vereinbart. Ein SIEM/SOC wird meistens auf Basis von EPS (Events per Seconds) verkauft, womit Fixkosten in variable Kosten ­umgewandelt werden. Und selbst wenn der Kunde zu Beginn noch keine Vorstellung ­davon hat, wie viele EPS im End­effekt pro­duziert werden, kann auch hier die Erfahrung des MSSP eine entscheidende Rolle spielen, das Projekt im Rahmen des ­vordefinierten Budgets abzuschliessen. Seriöse Anbieter von SIEM/SOC-Services verfügen in der Regel über ein einfaches und verständliches Preismodell, das sich flexibel an indi­viduelle Bedürfnisse der Kunden anpassen lässt.

Als Fazit lässt sich anmerken, dass Sicherheit zwingend Chefsache ist. Der Entscheid über eine interne oder externe Lösung für das Risiko- und Sicherheitsmanagement obliegt dem CIO, der nicht nur technische, sondern alle relevanten fachspezifischen und Geschäftsmodell-relevanten Anforderungen in seine Betrachtung und Evaluation einfliessen lassen muss.