Fünf Anzeichen dafür, dass Sie Ihre SIEM-Lösung ersetzen müssen
Security-Teams, die bereits in eine SIEM-Lösung (Security Information and Event Management) investiert haben und jetzt mehr Daten ingestieren und indexieren möchten, müssen dafür häufig zusätzlich bezahlen. Laut einer aktuellen Studie wollen fast die Hälfte (44 %) der Unternehmen ihre aktuelle SIEM-Lösung erweitern oder ersetzen.
Vielleicht es ja auch bei Ihnen an der Zeit, Ihre SIEM-Lösung zu ersetzen.
Glücklicherweise gibt es Elastic. Mit Elastic können alle Nutzer:innen eine neue, leistungsstarke SIEM-Lösung ausprobieren – mit nur geringen oder ganz ohne Vorlaufkosten. Die Lösung verfolgt einen offenen Ansatz und Daten können kostenlos ingestiert werden. So können sich Teams einen Eindruck davon verschaffen, wie es ist, wenn eine einzige Lösung ausreicht, um unbegrenzt viele Daten zu erfassen.
Aber woher weiß ich, ob es sinnvoll ist, meine Lösung durch eine neue zu ersetzen? Zur Beantwortung dieser Fragen haben wir fünf Kriterien ausgearbeitet, die darauf hindeuten, dass es Zeit für etwas Neues ist.
1. Das Ingestieren und Speichern von Daten ist zu kostspielig geworden
Wenn Ihr derzeitiger SIEM-Anbieter für die Datenspeicherung zur Kasse bittet, besteht das Risiko, dass viele essenzielle Kontextdaten aus Kostengründen ungenutzt bleiben. Da Ihnen so der schnelle Zugriff auf Aktivitätsdaten und Kontext verwehrt bleibt, ist Ihr Team leider nur noch eingeschränkt in der Lage, die Organisation angemessen zu schützen.
2. Untersuchungen brauchen zu lange
Wenn Ihr Team bei Anfragen stundenlang auf die Beantwortung warten muss, wird es Zeit, ein moderneres Tool in Betracht zu ziehen, um Antworten in Echtzeit erhalten zu können. Eine moderne SIEM-Lösung kann Ergebnisse in Sekundenschnelle liefern – oder auch schneller.
3. Die Plattform ist zu unflexibel
Viele ältere SIEM-Lösungen sind nicht in der Lage, sich an den spezifischen Arbeitsstil Ihres Teams anzupassen. Die Flexibilität, individuelle Integrationen, Dashboards und Workflows für die unterschiedlichsten Ergebnisse zu erstellen, ist ein großes Plus.
4. Reine On-Premises-Lösung
Wenn Ihre SIEM-Lösung nicht mit einer Multi-Cloud-Welt Schritt halten kann, benötigen Sie ein zusätzliches Tool, das Ihnen hilft, die Skalierbarkeit und Automatisierung zu erreichen, die nur eine moderne SIEM-Lösung bieten kann.
5. Zu geringe User-Community-Einbindung
Ohne ein offenes Security-Konzept bleibt der Input der breiteren User Community unberücksichtigt. Das verhindert, dass Beiträge und Feedback zur kontinuierlichen Weiterentwicklung der SIEM-Lösung beitragen, was für das Mithalten in der sich ständig verändernden Bedrohungslandschaft aber unabdingbar ist.
Ältere SIEM-Lösungen reichen einfach nicht aus
Viele der Schwierigkeiten, die Teams mit ihren aktuellen SIEM-Produkten haben, sind auf die grundlegende Infrastruktur zurückzuführen, auf der diese aufbauen. Eine moderne SIEM-Lösung muss heute so viel mehr können, als nur Security-Daten zu sammeln, zu speichern und zu analysieren. Unternehmen benötigen dynamische Einblicke in ihre Daten, verwertbare Erkenntnisse aus diesen Daten, umgebungsweite Korrelationen, integrierte Threat Intelligence und Funktionen für Echtzeit-Untersuchungen, um problematische Bereiche genauer unter die Lupe nehmen zu können.
Mit der kontinuierlichen Integration von Cloud-Diensten durch die Teams erweitert sich der Angriffsvektor weiter. Zur täglichen Routine von Security-Fachleuten gehört es heute auch, Nutzer:innen, Anwendungen, Verhaltensweisen und vieles andere mehr im Blick zu behalten.
„Mit zunehmender Nutzung von Cloud-Workloads wird es für Unternehmen immer wichtiger, Cloud-Deployments zu überwachen“, so Mandy Andress, CISO bei Elastic. „Einige ältere SIEMs benötigten viel Pflege und Wartung. Die IT-Umgebungen von heute liefern eine Flut von Daten. Herkömmliche SIEM-Lösungen können zwar eine große Menge von Daten ingestieren, es fehlt ihnen aber an Funktionen zum Einbetten von Analytics-Ergebnissen. Das Analysieren dieser Daten kann Stunden oder Tage dauern – schlecht, wenn man verdächtige Aktivitäten schnell untersuchen möchte.“
SIEM soll ersetzt werden – was nun?
Wenn Sie sich entschieden haben, Ihre SIEM-Lösung zu ersetzen, besteht der nächste logische Schritt darin, nach einer hoch skalierbaren und flexiblen Plattform zu suchen, mit der Sie alle sicherheitsrelevanten Ereignislogdaten sammeln, visualisieren und analysieren können. Diese neue Lösung muss auch in der Lage sein, die rohen und/oder umgewandelten Logdaten selektiv an Ihre bestehende SIEM-Lösung weiterzuleiten, um die Compliance-Anforderungen zu erfüllen.
Die Ersetzen-Herangehensweise macht Ihre ursprüngliche SIEM-Lösung nicht sofort überflüssig, da sie nach wie vor die komplexen Korrelationsregeln, den Case-Workflow und das Incident-Response-Management sowie die Compliance-Reporting-Funktionen bietet, die Sie in monate- oder jahrelanger Feinabstimmung entwickelt haben.
Die Kombination aus Elastic und Ihrer bestehenden SIEM-Lösung gibt Ihrem Team die Möglichkeit, seine Security-Abläufe zu modernisieren und so Daten mit Cloud-Geschwindigkeit und im Cloud-Maßstab zu nutzen, um effektiv Bedrohungen zu erkennen und zu untersuchen und neu aufkommende Bedrohungen zu bekämpfen. Und dank des ressourcenbasierten Preismodells von Elastic müssen Nutzer:innen nicht für das Ingestieren von Daten bezahlen, was die Einstiegshürde für Teams senkt, die die Lösung erst einmal ausprobieren wollen, bevor sie weitere Ressourcen investieren.
Anwendungsfall aus der Praxis
USAA hat seine SIEM-Lösung mit Elastic erweitert und konnte sofort erste Ergebnisse feststellen. Der erste schnelle Erfolg für USAA ergab sich während einer interaktiven Untersuchung, bei der das Team Verbraucher von Web-Proxy-Bandbreite analysierte. Es bemerkte schnell einen übermäßigen Bandbreitenverbrauch und konnte innerhalb von Minuten die Quelle des Netzwerkmissbrauchs ausmachen.
Den zweiten schnellen Erfolg erlebte USAA bei einer Beinahe-Echtzeit-Untersuchung, die überhaupt erst durch die Geschwindigkeit möglich wurde, für die Elastic bekannt ist. Das Team entdeckte, dass eine für Kunden gedachte Anwendung über das Netzwerk gescannt wurde, und konnte die Quelle der Port-Scan-Aktivitäten in nicht einmal 3 Minuten identifizieren. Die vorhandene SIEM-Lösung hätte die erste Suche im gleichen Zeitraum zu gerade einmal 2 % geschafft.
Durch diesen Wechsel von passiver Datenerfassung zu aktiver Untersuchung entwickelte sich das Team von USAA dank des Einsatzes von Elastic von Security-„Sammlern“ zu Security-„Jägern“. Auch Sie können die Security-Reife Ihres Teams voranbringen – mit einer zentralen, offenen Plattform für SIEM und Security-Analytics.
Lassen Sie uns loslegen
Das Ersetzen einer SIEM-Lösung ist ein Prozess, und unsere Security-Fachleute unterstützen Sie gern dabei, die Ergebnisse zu erzielen, die Sie sich erhoffen.
Wenn Sie bereit sind, den nächsten Schritt auf dem Weg zu einer modernen SIEM-Lösung zu gehen, lesen Sie unseren Leitfaden für SIEM-Käufer.