SIEM Productivity Study

Nicht alle SIEM-Lösungen sind effizient

| Redakteur: Peter Schmitz

Sicherheitsanalysten verbringen mit 25 Prozent den größten Anteil ihrer Zeit damit, Fehlalarme zu untersuchen, weil Sicherheitswarnungen oder Kompromissindikatoren (IOCs) falsch sind.
Sicherheitsanalysten verbringen mit 25 Prozent den größten Anteil ihrer Zeit damit, Fehlalarme zu untersuchen, weil Sicherheitswarnungen oder Kompromissindikatoren (IOCs) falsch sind. (Bild: gemeinfrei / Pixabay)

Eine aktuelle Befragung des Ponemon-Instituts und Exabeam von 596 Nutzern von SIEM-Lösungen gibt Aufschlüsse darüber, wie effizient SIEM-Lösungen (Security Information and Event Management) in Unternehmen sind. Ein bemerkenswertes Ergebnis: SOCs mit ineffizienten SIEM-Tools verschwenden etwa 25 Prozent ihrer Zeit damit Fehlalarme zu untersuchen.

Die SOCs vieler Unternehmen stehen einer tagtäglichen Flut von Bedrohungen gegenüber und suchen nach effizienten Methoden um diese einzudämmen. SIEMs sind für die Cybersicherheit in Organisationen von zentraler Bedeutung, da sie Bedrohungen erkennen, die andere Sicherheitslösungen nicht identifizieren können.

Um dies zu erreichen, sammeln die Lösungen Protokolldaten aus verschiedenen Netzwerkquellen und analysieren diese im besten Fall in Echtzeit, um verdächtige Ereignisse im Netzwerk bewerten zu können. Doch SIEM ist nicht gleich SIEM: Auf dem Markt tummeln sich zahlreiche Anbieter mit mehr oder weniger fortschrittlichen Lösungen. Hier liefert die SIEM Productivity Study des Ponemon-Instituts wichtige Erkenntnisse, die Unternehmen bei der Wahl der richtigen Technologien helfen können.

Zeitfresser „False Positives“

Auf den ersten Blick scheinen die SIEM-Lösungen eines Großteils der befragten Unternehmen tatsächlich nicht hinreichend wirkungsvoll zu sein. In 80 Prozent der Fälle sind die Lösungen nicht sonderlich effektiv und schaffen es nicht den nötigen Personalaufwand im SOC zu senken. Der Grund für diese Ineffizienz vieler SIEM-Lösungen ist, dass die Sicherheitsanalysten im Unternehmen 25 Prozent ihrer Zeit damit verbringen, den Irrungen sogenannter ‚False Positives‘ zu folgen, weil Sicherheitswarnungen oder Kompromissindikatoren (IOCs) nicht korrekt sind. Die Untersuchung verwertbarer Informationen und der Aufbau von Zeitleisten von Vorfällen verbraucht hingegen nur 15 Prozent der Zeit. Die manuelle Reparatur oder das Patchen von Netzwerken, Anwendungen und Geräten, die aus Sicherheitsvorfällen resultieren, nimmt ebenfalls nur 15 Prozent der Zeit eines Sicherheitsteams in Anspruch. Die geringe Effizienz bei der Bearbeitung kann zu langsameren Reaktionen auf Cyberattacken führen, was das Sicherheitsrisiko für Unternehmen deutlich erhöht.

Kluft zwischen herkömmlichen SIEM und Next-Gen-SIEM-Lösungen

Solche Art Fehlalarme finden sich insbesondere bei herkömmlichen SIEM-Lösungen. Während die ältere Technologie auf entsprechend überholte Technologie zurückgreifen muss, nutzen moderne Next-Gen-SIEMs beispielsweise künstliche Intelligenz und Maschinelles Lernen. Aktuelle SIEM-Technologien wie UEBA (User and Entity Behavior Analytics) und SOAR (Security Orchestration, Automation & Response) konnten die Produktivität in den Unternehmen, die sie einsetzten, darüber hinaus noch weiter deutlich erhöhen. Die Gesamtzeit für die Sicherheitsaufgaben verringerte sich in den Unternehmen um ganze 51 Prozent, verglichen mit der aufgewendeten Zeit vor der Nutzung der Lösung. Betrachtet man diese Ergebnisse vor dem Hintergrund, dass viele SOCs personell chronisch unterbesetzt sind und pro Woche im Schnitt circa 4000 Warnhinweise verarbeiten müssen, lässt sich daraus folgern, dass Next-Gen-SIEMs nicht nur dabei helfen können, die Produktivität zu steigern, sondern das Unternehmen auch besser absichern können.

„Unsere Studie ergab, dass Next-Gen-SIEMs Zeit sparen, die Produktivität steigern und die Effektivität für Sicherheitsteams verbessern", sagt Larry Ponemon, Chairman und Gründer des Ponemon Institute. „95 Prozent der Nutzer des Marktführers attestieren der Lösung in dieser Studie eine sehr hohe Wirksamkeit. Die Lösung priorisiert Warnmeldungen so genau, dass die befragten Sicherheitsanalysten 83 Prozent ihrer täglichen Alarme untersuchen können – im Vergleich zu nur 45 Prozent bei anderen SIEMs. Außerdem reduziert die beste Lösung die Menge der Fehlalarme auf nur 10 Prozent, verglichen mit 33 Prozent bei herkömmlichen Lösungen.“

Über die Studie: Die von Exabeam in Auftrag gegebene-Umfrage holte die Meinungen von 596 erfahrenen IT- und IT-Sicherheitsexperten in den Vereinigten Staaten ein. Alle Befragten waren mit der in ihren Unternehmen eingesetzte SIEM-Lösung vertraut und an der Erkennung, Untersuchung und/oder Behebung von Sicherheitsbedrohungen in seinem Netzwerk beteiligt. Unter diesen Befragten befand sich eine Teilprobe von 42 Exabeam-Kunden.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46110721 / Monitoring und KI)