Eine aktuelle Befragung des Ponemon-Instituts und Exabeam von 596 Nutzern von SIEM-Lösungen gibt Aufschlüsse darüber, wie effizient SIEM-Lösungen (Security Information and Event Management)in Unternehmen sind. Die SOCs vieler Unternehmen stehen einer tagtäglichen Flut von Bedrohungen gegenüber und suchen nach effizienten Methoden um diese einzudämmen. SIEMs sindfür die Cybersicherheit in Organisationen von zentraler Bedeutung, da sie Bedrohungen erkennen, die andere Sicherheitslösungen nicht identifizieren können. Um dies zu erreichen, sammeln die Lösungen Protokolldaten aus verschiedenen Netzwerkquellen und analysieren diese im besten Fall in Echtzeit, um verdächtige Ereignisse im Netzwerk bewerten zu können. Doch SIEM ist nicht gleich SIEM: Auf dem Markt tummeln sich zahlreiche Anbieter mit mehr oder weniger fortschrittlichen Lösungen. Hier liefert die SIEM Productivity Studydes Ponemon-Instituts wichtige Erkenntnisse, die Unternehmen bei der Wahl der richtigen Technologien helfen können.
Kluft zwischen herkömmlichen SIEM und Next-Gen-SIEM-Lösungen
Solche Art Fehlalarme finden sich insbesondere bei herkömmlichen SIEM-Lösungen. Während die ältere Technologie auf entsprechend überholte Technologie zurückgreifen muss, nutzen moderne Next-Gen-SIEMs beispielsweise künstliche Intelligenz und Maschinelles Lernen. Aktuelle SIEM-Technologien wie UEBA (User and Entity Behavior Analytics)und SOAR (Security Orchestration, Automation & Response)konnten die Produktivität in den Unternehmen, die sie einsetzten, darüber hinaus noch weiter deutlich erhöhen. Die Gesamtzeit für die Sicherheitsaufgaben verringerte sich in den Unternehmen um ganze 51 Prozent, verglichen mit der aufgewendeten Zeit vor der Nutzung der Lösung. Betrachtet man diese Ergebnisse vor dem Hintergrund, dass viele SOCs personell chronisch unterbesetzt sind, lässt sich daraus folgern, dass Next-Gen-SIEMs nicht nur dabei helfen können, die Produktivität zu steigern, sondern das Unternehmen auch besser absichern können.
Ausgewählte Ergebnisse der Studie
- Unternehmen müssen pro Woche im Schnitt circa 4000 Warnhinweise verarbeiten
- Sicherheitsanalysten verbringen mit 25 Prozent den größten Anteil ihrer Zeit damit, Fehlalarme zu untersuchen, weil Sicherheitswarnungen oder Kompromissindikatoren (IOCs) falsch sind
- Die Untersuchung verwertbarer Informationen und der Aufbau von Zeitleisten von Vorfällen verbraucht hingegen nur 15 Prozent der Zeit
- Die manuelle Reparatur oder das Patchen von Netzwerken, Anwendungen und Geräten, die aus Sicherheitsvorfällen resultieren, nimmt ebenfalls nur 15 Prozent der Zeit eines Sicherheitsteams in Anspruch
- Die geringe Effizienz bei der Bearbeitung kann zu langsameren Reaktionen auf Cyberattacken führen, was das Sicherheitsrisiko für Unternehmen deutlich erhöht
- Moderne SIEM-Technologien wie UEBA und SOAR konnten die Produktivität bei den von ihnen eingesetzten Unternehmen deutlich verbessern. Die Gesamtzeit für die Erledigung von Sicherheitsaufgaben verringerte sich bei diesen Unternehmen um 51 Prozent.
Der anhaltende Kampf um die Verbesserung der Produktivität im SOC zeigt den Bedarf an neueren Technologien wie UEBA und SOAR.Moderne SIEMs sind offenbar dann am effektivsten, wenn sie maschinelles Lernen und Verhaltensanalysen nutzen, um die immer ausgefeilteren Cyberangriffe und zielgerichteten Hacktechniken zu identifizieren. In Verbindung mit einem vollständigen Arsenal an Tools wie der intelligenten Erstellung von Vorfallszeiten und der automatisierten Reaktion bieten moderne SIEMs deutlich mehr Kontext dafür, wie Angreifer denken, arbeiten oder was sie wollen.
„Unsere Studie ergab, dass Next-Gen-SIEMs Zeit sparen, die Produktivität steigern und die Effektivität für Sicherheitsteams verbessern“, sagt Larry Ponemon, Chairman und Gründer des Ponemon Institute. „95 Prozent der Nutzer des Marktführers attestieren der Lösung in dieser Studie eine sehr hohe Wirksamkeit. Die Lösung priorisiert Warnmeldungen so genau, dass die befragten Sicherheitsanalysten 83 Prozent ihrer täglichen Alarme untersuchen können – im Vergleich zu nur 45 Prozent bei anderen SIEMs. Außerdem reduziert sie beste Lösung die Menge der Fehlalarme auf nur 10 Prozent, verglichen mit 33 Prozent bei herkömmlichen Lösungen.“
###
Methodik
Die von Exabeam in Auftrag gegebene-Umfrage holte die Meinungen von 596 erfahrenen IT- und IT-Sicherheitsexperten in den Vereinigten Staaten ein. Alle Befragten waren mit der in ihren Unternehmen eingesetzte SIEM-Lösung vertraut und an der Erkennung, Untersuchung und/oder Behebung von Sicherheitsbedrohungen in seinem Netzwerk beteiligt. Unter diesen Befragten befand sich eine Teilprobe von 42 Exabeam-Kunden.
Den vollständigen Bericht „Exabeam SIEM Productivity Study“, finden Sie hier.
