Verlassen Sie sich darauf, dass Ihr SIEM kosteneffiziente Bedrohungserkennung, Signalklarheit und maßgeschneiderte Anwendungsfallregeln und -reaktionen liefert, auch wenn sich die Bedrohungsoberflächen auf cloud vervielfachen und täglich zahlreiche verschlüsselte, hybride cloud Angriffe auf Ihr System abzielen?
Lassen Sie es. Es funktioniert nicht. Aber das wussten Sie ja schon.
Wie alle Tools ist auch SIEM am wertvollsten, wenn es richtig und im richtigen Kontext eingesetzt wird. In der heutigen komplexen, hybriden Bedrohungsumgebung ist es wichtig zu erkennen, wo Ihr SIEM seine Stärken ausspielt und wo es sie nicht ausspielt. Kurz gesagt: Von Ihrem SIEM zu verlangen, dass es über seine Fähigkeiten hinausgeht, ist unklug und hindert Sie daran, die Vorteile, Ergebnisse und den ROI zu erzielen, die Sie für Ihre SIEM-Investition benötigen.
Das Aufkommen der "SIEM-Angst"
SOC-Teams verlassen sich zu sehr auf SIEM, weil sie wissen, dass es an Abdeckung und Transparenz mangelt, aber nicht erkennen, dass es Tools gibt, die besser geeignet sind, ihre Probleme bei der Erkennung von und Reaktion auf Bedrohungen zu lösen. Wahrscheinlich kennen Sie den Stress, der aus dieser Unklarheit im Sicherheitsbereich resultiert, nur zu gut. Wir bezeichnen diese übermäßige Abhängigkeit von SIEM in der KI-gesteuerten, hybriden Bedrohungsumgebung als "SIEM-Angst". Im Folgenden finden Sie 10 Beispiele dafür, wie SOC-Teams ihr SIEM überfordern und infolgedessen täglich unter SIEM-Angst leiden.
1. Ausschließliches Verlassen auf Ihr SIEM, um Angriffe zu erkennen, zu untersuchen und darauf zu reagieren.
SIEM ist regelbasiert, aber fortgeschrittene Angriffe umgehen oft die Regeln. Allein dieser eine Faktor führt zu einer Kaskade von teuren, arbeitsintensiven und letztlich talent- und morallosmachenden Routinearbeiten, um neue Angriffe zu identifizieren und neue spezifische Regeln zu schreiben, um ihnen zu begegnen.
2. Die Erwartung, dass Ihre SIEM-Investition einen positiven ROI bringt.
Da die Kosten für die Entwicklung von SIEM-Anwendungsfällen in die Höhe schießen (Wortspiel beabsichtigt), verschlechtert sich das Verhältnis zwischen Zeit und Wert Ihres SIEMs. Beispielsweise kostet Splunk im Durchschnitt 6000 US-Dollar pro Anwendungsfall, und die durchschnittlichen Kosten für einen Anwendungsfall bei QRadar liegen bei etwa 12.500 US-Dollar. Die durchschnittlichen jährlichen Wartungskosten für einen Anwendungsfall belaufen sich auf etwa 2.500 US-Dollar pro Jahr, wobei die Gesamtkosten in die Hunderttausende gehen. Mit anderen Worten: Die Chancen, dass Ihre SIEM-Investition einen positiven ROI bringt, sind gering... und Slim hat gerade die Stadt verlassen.
3. Das Volumen der SIEM-Anwendungsfälle ist außer Kontrolle geraten.
Die zunehmende Zahl fortgeschrittener Cyberangriffe treibt die Kosten für die Entwicklung und Wartung von Fällen in die Höhe.
4. Die Arbeitsbelastung der SOC-Ebene 1 explodiert (oder ist es bereits).
In Verbindung mit Punkt 3 bedeutet Ihre übermäßige Abhängigkeit von Ihrem SIEM auch, dass Sie bei der Erkennung von echten, gutartigen und falsch-positiven Bedrohungen viel zu sehr auf Analysten (d. h. auf Menschen) angewiesen sind. Das ist kostspielig und eine Fehlanwendung der Talente Ihres Teams.
5. Verlassen Sie sich auf SIEM, um die Bemühungen Ihres Teams bei der Feinabstimmung von Erkennungsregeln und der Triage von Warnmeldungen zu optimieren.
Zu Punkt 4: Mit der Vergrößerung der Angriffsfläche wächst auch das Datenvolumen, das Sie indizieren, anreichern und analysieren müssen. Dies bedeutet mehr manuelle Stunden für die Erstellung und Implementierung von Anwendungsfällen und Regeln, was den Prozess verkompliziert.
6. Sie denken, dass SIEM Ihnen bei Ihrem Fachkräftemangel helfen wird.
Wenn Ihr Team mit arbeitsintensiven Prozessen wie der manuellen Kodierung von Anwendungsfällen oder der Analyse von Tausenden von Warnmeldungen pro Tag beschäftigt ist, verringert sich die Effektivität Ihres SIEM und demoralisiert Ihr SOC-Team. Das hat zur Folge, dass Sie ständig Sicherheitsteams (neu) einstellen und schulen müssen.
7. Erwarten Sie von Ihrem SIEM klare Signale.
In den meisten Fällen erzeugt Ihr SIEM eine Menge Signalrauschen. Warum? Weil es einfach nicht darauf ausgelegt ist, genaue, integrierte Signale über Ihre hybriden Angriffsflächen zu liefern; es ist darauf ausgelegt, Daten zu sammeln. Ein SIEM kann Hunderte von Warnmeldungen pro Tag generieren und kann Signale oder Verhaltensmuster nur durch bereits vorhandene Anwendungsfallregeln erkennen. Es kann keine neuen oder unbekannten Angriffs-TTPs oder Zero-Day-Exploits erkennen. Die ausschließliche Verwendung von SIEM bedeutet für Ihr Team einen ständigen manuellen Kampf zwischen dem Erkennen von Fehlalarmen und dem Schreiben neuer Regeln.
8. Verlassen Sie sich auf Ihr SIEM, um Anzeichen für das Verhalten von Angreifern in Ihrer Umgebung schnell zu erkennen.
Da die Fußabdrücke von cloud exponentiell wachsen, benötigen Angreifer nur eine einzige Öffnung, um in Umgebungen einzudringen und eine Möglichkeit zur Persistenz zu schaffen. Hybride Angreifer sind schnell und agil. Damit das SIEM damit Schritt halten kann, müssten Ihre Techniker manuell Regeln und Korrelationen erstellen, die jeden Schritt eines Angreifers vorhersagen - und eine Regel dafür haben. Klingt unmöglich? Das ist es auch, denn das ist es.
9. Sie hoffen, dass Ihr SIEM einfache und schnelle benutzerdefinierte Erkennungen für die Abdeckung nach der Ausbeutung liefern kann.
SIEM leistet hervorragende Arbeit bei der Log-Aggregation, aber der Versuch, benutzerdefinierte Erkennungen innerhalb des SIEM für die Post-Exploitation-Abdeckung zu konfigurieren, führt nicht zu günstigen Ergebnissen und, ja, verursacht zusätzliche Kosten.
10. Verlassen Sie sich auf isolierte Technologien in Ihrem SIEM, um zu kommunizieren und Ihre Abdeckung zu verbessern.
SOC-Teams haben einen schweren Stand im Kampf gegen die wachsende Zahl von Bedrohungen und müssen Signale und Warnungen von zahlreichen isolierten Tools verwalten, die nicht miteinander kommunizieren. Das ist eine Formel für eine Katastrophe. Die wachsende Spirale aus mehr Arbeit, mehr Komplexität, mehr Risiko und verschwendetem Aufwand für Ihr SOC-Team bedeutet weniger Sicherheit für Ihr Unternehmen.
Wechsel von SIEM zu Signal mit Vectra AI
Es gibt einen intelligenteren Weg, das Beste aus Ihrem SIEM und Ihrem SOC-Team herauszuholen, was Effektivität, Kosten und Talentoptimierung angeht. Die Vectra AI Plattform steigert die Leistung Ihres SIEM mit analytikgestützter Erkennung anstelle des manuellen, analysegestützten Ansatzes, der Zeit und Geld kostet und Ihrem Team Chancen nimmt. Vectra AI erhöht die Abdeckung, priorisiert Bedrohungen und bietet gezielte Untersuchungen mit KI-gesteuerten Verhaltensmodellen und maschinellem Lernen, die die Erkennungsabdeckung erweitern.
Vectra AI kombiniert außerdem Protokolltelemetrie von cloud, Bedrohungsdaten und anderen Quellen mit hochgenauen Metadaten, die aus gesammelten Paketen verfügbar sind, um betroffene Ressourcen zu lokalisieren. Im Gegensatz zu SIEM-basierten Lösungen bewegt es sich mit dem Angriff durch die Umgebungen und liefert Analysten umsetzbare Sicherheitsinformationen auf der Grundlage von Echtzeit cloud und Netzwerkverhalten. Mit diesen Fähigkeiten ist Vectra AI perfekt geeignet, um viele der gleichen Anwendungsfälle (sowie eine beträchtliche Anzahl neuer) zu erfüllen, die zuvor für SIEM vorgesehen waren, und zwar mit größerer Effizienz und zu geringeren Kosten.
Wenn Sie mehr darüber erfahren möchten, wie Sie das Beste aus Ihrem SIEM herausholen können, informieren Sie sich über unsere SIEM- und SOAR-Optimierungsmethoden. Wir zeigen Ihnen, wie wir Ihre Infrastruktur schützen und die Erkennung und Reaktion optimieren.