Ereigniskorrelation

Kosten einer SIEM-Lösung

| Autor / Redakteur: Raimar Melchior* / Stephan Augsten

Erfolgskriterien für das SIEM

Obwohl es SIEM-Produkte schon seit mindestens einer Dekade gibt, scheuten sich bisher viele Sicherheitsverantwortliche eine solche Lösung einzuführen. Aufgrund eines höheren Risikos für Unternehmen durch Cyber-Attacken und strengere Compliance-Vorschriften sind sie mittlerweile aber dazu gezwungen, mehr in die Angriffserkennung und Verteidigung zu investieren.

Doch was kostet eine solche Lösung und wird sie auch effektiv sein? Es liegt auf der Hand, dass eine höhere Effektivität auch höhere Kosten und Aufwände bedeuten. Eine effektive SIEM Lösung benötigt gut ausgebildete Analysten. Eine 24x7-Überwachung und -Reaktion auf Sicherheitsvorfälle sollte gewährleistet sein, da Angriffe häufig am Wochenende und außerhalb der Geschäftszeiten stattfinden.

Das SIEM-System muss kontinuierlich „getuned“ und optimiert werden, um sich an die Dynamik der Bedrohungslage sowie internen Gegebenheiten anzupassen. Der Erfolg dieser Lösung hängt stark davon ab, ob die Optimierung und Anpassung der Korrelationsregeln konsequent „gelebt“ wird. Außerdem sollten sich Unternehmen im Klaren sein, dass Einführung, Feinjustierung und operative Inbetriebnahme einer SIEM Lösung je nach Firmengröße sechs bis 18 Monate dauern kann.

Aufwände und Kostenschätzung

Um eine realistische Kostenschätzung durchführen zu können, gehen wir im folgenden Fallbeispiel von einem mittleren Unternehmen aus, das über 20 Standorte verteilt ist und rund 10.000 Mitarbeiter beschäftigt. Es hat zwei Internet-Ausgänge und zehn Partner, die per Virtual Private Network angeschlossen sind.

Innerhalb der Umgebung sollen 20 Firewalls, fünf Intrusion-Detection- und –Prevention-Systeme, vier Web Proxys, zwei Web-Application-Firewalls, 25 Server und 50 Switche sowie Router überwacht werden. Insgesamt werden 2.000 MPS (Messages per Second) produziert. Neben dem eigentlichen SIEM-Produkt und den jährlichen Kosten werden bei einer 24x7-Überwachung im Drei-Schichten-Betrieb mindestens sieben Security-Analysten in Vollzeit benötigt.

Ergänzendes zum Thema
 
Managed SIEM

Die Analysten müssen regelmäßig weitergebildet werden, um mit dem SIEM-System umgehen, Anpassungen vornehmen und mit neuen Angriffsszenarien Schritt halten zu können. Darüber hinaus gilt es, Prozesse und Rollen zu definieren, um auf die auftretenden Incidents entsprechend zu reagieren. Hinzu kommen Kosten für die Planung und Implementierung der SIEM-Lösung. Idealerweise wird ein „Incident Response Plan“ angelegt und geübt, um bei speziellen Bedrohungen schnell und richtig zu reagieren.

Als Berechnungsgrundlage dient ein Jahresgehalt eines Security Analysten von ca. 70.000 Euro. Die Gesamtkosten für eine 24x7-Überwachung und einer Laufzeit von drei Jahren betragen etwa 1,75 Millionen Euro. Die Kosten für die einmalige Anschaffung eines SIEM-Systems, die initiale Implementierung, sowie laufende Wartungskosten, halten sich in Grenzen. Die Hauptkosten beinhalten das Fachpersonal.

Beweist man Mut zur Lücke und setzt auf eine 12x5-Überwachung, dann benötigt man mindestens drei Vollzeit-Security-Analysten. Die Gesamtkosten für drei Jahre betragen demnach ca. die Hälfte der rund um die Uhr Überwachung. Dies birgt allerdings ein hohes Risiko, Angriffe außerhalb der Geschäftszeiten gar nicht oder erst am nächsten Tag zu entdecken.

* Raimar Melchior arbeitet als Cyber Security Architect beiDell SecureWorks.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43192359 / Sicherheitsvorfälle)