CyberCompare Marktkommentar #30: SIEM Alleinstellungsmerkmale, it-sa Nahtod + Nuggets

Marktkommentar /

Hallo zusammen,

“Most SIEM bake-offs look great on paper and flawless in the demo. But the real test isn’t a sales pitch — it’s the 2 a.m. incident when your team is buried in noise and broken workflows” sagt Matt Snyder nach der schmerzhaften Erfahrung mit mehren SIEM Migrationen.

Erstmal interessant: Irgendwie ist (AI/NG/X) SIEM jetzt im Marketing doch wieder mehr en vogue als XDR. Kann auch daran liegen, dass bei regulierten Kunden Auditoren nach einem SIEM verlangen. Und wenn das Produkt nicht bei Gartner als SIEM aufgeführt ist, droht ein Problem.

Aber was sind denn noch differenzierende Merkmale von SIEM Plattformen? Viele Features sind ja inzwischen durchgängig bei allen Herstellern zu finden. Konnektoren für Logquellen lassen sich z.B. mittels KI-Assistenz viel einfacher als früher erstellen, d.h., die Anzahl der gelisteten Integrationen gleicht sich immer weiter an.

Hier auszugsweise einige Beobachtungen aus aktuellen SIEM Auswahlverfahren und strukturierten Test Case Demos, worin sich SIEMs m.E. noch in den Fähigkeiten unterscheiden, nicht nur in der Benutzerführung (letztere ist allerdings in der Praxis für Analysten wahrscheinlich wichtiger als einzelne Features):

  • Generell:

    • Ist die bereitgestellte Compute-Kapazität pro Kunde bei Suchanfragen statisch oder elastisch (um die Verarbeitungszeit zu reduzieren)?
    • Data Retention: Können für Logquellen individuelle Vorhaltezeiten definiert werden?
    • Werden alle Änderungen des Schweregrads (Severity) und der Risikoeinstufung von Alarmen und Incidents durch SOC-Analysten im System protokolliert? (=> Wichtig für DORA Nachweise)
    • Air gapped Deployment möglich? (Natürlich nur für wenige Kunden relevant)
    • Herstellereigene Module für einfachere Integration + weniger Agenten auf Hosts: EDR, SOAR, CNAPP, Vuln Mgmt…

    • Risk based Alerting: Welche Parameter lassen sich durch Kunden konfigurieren (z.B. Anzahl + Schwere von Events in einem bestimmten Zeitraum für eine bestimmte Nutzergruppe)?

  • Verhaltensbasierte Anomalieerkennung (UEBA):

    • Funktioniert UEBA auch für kundenspezifische (z.B. selbst programmierte) Applikationen?
    • Können für Aktivititäten über verschiedene Accounts hinweg (z.B.: Ein MA hat verschiedene Admin-Accounts für bestimmte Systeme und zusätzlich einen normalen Nutzeraccount) ein Baselining durchgeführt und dies kontinuierlich überwacht werden?
    • Kann eine Peer Group definiert werden, die ebenfalls für das Baselining herangezogen wird?
    • Ist das Zeitfenster für das Baselining für die Anomalieerkennung rollierend + pro Regel kundenindividuell anpassbar?
    • Werden Schwellwerte automatisch angepasst, wenn SOC Analysten Alarme höher oder niedriger einstufen, oder Alarme unterdrücken?

  • KI Assistenz:

    • Kann für das Parsen (Normalisieren von Datenfeldern) von kundenindividuellen Anwendungs-Logquellen ein Parser-Vorschlag erstellt werden?
    • Werden für kundenindividuelle Anwendungs-Logquellen Alarmierungsregeln vorgeschlagen, die Datenfelder, Logikbaum und Schwellwerte enthalten?
    • Ist der KI-Assistent zur Übersetzung von natürlicher Sprache in die Query Language in den Lizenzkosten enthalten?

Erstaunlich viele Security-Anbieter (z.B. Arctic Wolf, Akamai, Palo Alto, Barracuda, Abnormal, Varonis, Deloitte) setzen übrigens im Backend für Pipeline Mgmt. und Lakehouse eine Lösung ein, die wir im DACH Raum bisher kaum wahrnehmen: Databricks. Immer dann, wenn es um die automatisierte Verarbeitung und die Suche in Datenheuhäufen aus verteilten Quellen und Speicherorten (Federated Search, Decoupled SIEM) geht, scheint Databricks eine gute Alternative zu Cribl+Elastic o.ä. zu sein. Kundenzitate sprechen von radikaler Reduzierung der Event Ingest- und Suchzeiten. Falls jemand Testergebnisse dazu kennen sollte, freue ich mich über einen Hinweis.

Telemetrie Pipelining macht besonders dann Sinn, wenn die Logs nicht nur für die Überwachung von Security Use Cases, sondern für Performance Monitoring genutzt werden. Und die Performance kann natürlich viel umsatzrelevanter sein. Wenn bei Webshops während des Checkouts Verzögerungen auftreten, dann steigt auch sofort die Rate der Kunden, die den Bezahlvorgang abbrechen. Kann mir gut vorstellen, dass zunehmend mehr Unternehmen die gleiche Observability Architektur für Service Monitoring und Security verwenden, anstatt das separat aufzubauen. SentinelOne wirbt schon mit Zalando als Großkunden, bei dem das S1 SIEM (vormals Scalyr) so genutzt wird..

CyberGym bewertet KI-Modelle entlang der Fähigkeit, echte Security Aufgaben aus der Praxis zu erledigen. Claude Opus + Sonnet scheinen bisher neben GPT5 am Besten zu performen, allerdings mit einer Erfolgswahrscheinlichkeit von 25-30%. Die Aufgaben beschränken sich auf die Erkennung und Validierung (mittels PoC Exploits) von Schwachstellen in Code, wobei durch die KI auch regelmäßig Zero Days gefunden werden.

Von Praetorian (einem Red Teaming Anbieter mit eigenem BAS Tool) kommt ein interessanter Angriffsweg: Abgreifen der SSH-Passwörter, die von Schwachstellenscannern für authentisierte Scans verwendet werden. Dazu können z.B. SSH Umgebungsvariablen verändert, ein Tracer für das Aufschlüsseln der Interprozessverbindungen (IPC) eingesetzt oder das komplette Authentisierungsmodul in /etc/pam.d/ ersetzt werden.

Abhilfe kann über eine PKI, der Ersatz von Altprotokollen wie NTLMv1 durch z.B. SMB/NTLM und funktionierende EDR/SIEM erfolgen (die getesteten EDR Systeme haben allerdings nicht angeschlagen).

Und das soll es an dieser Stelle auch schon gewesen sein. Als Ausgleich sind unten mal ein paar mehr Anbieternotizen reingepackt, weil ich auf der it-sa natürlich die Gelegenheit für einige Demos wahrgenommen habe. Das Ding ist echt unfassbar wild inzwischen, eigentlich sollte man von der Messe Nürnberg Schmerzensgeld für die Teilnahme verlangen. Nach 3 Tagen konstanter Discobeschallung durch 900 Aussteller in stickigen Höhlenhangars habe ich wie ein Vorzeige-Zombie ausgesehen, wie einer geredet und mich trotz hochfrequenter Vitaminbooster auch wie einer gefühlt. Würde mich wundern, wenn ich irgendein Virus ausgelassen hätte, das angeboten wurde. Deshalb freue ich mich auch besonders auf die nächsten 2 Wochen… Urlaub.

M&A Corner:

  • Vectra kauft den NDR Wettbewerber Netography (eigentlich eher eine Art Mini-SIEM: Ohne Appliances, ohne DPI, sondern mit Logforwardern und Analyse rein von Metadaten)
  • Pentera kauft DevOcean, eine Cloud Schwachstellenaggregation und Patching / Remediation-Lösung (ähnlich der Funktionalität z.B. bei Qualys)
  • Cybereason wird von LevelBlue (AT&T Managed Services) übernommen. Vor 4 Jahren war noch ein IPO zu einer Bewertung von fast 5 Mrd. USD geplant, zuletzt war ein Überbrückungskredit notwendig
  • Securepoint (UEM + Firewalls für KMU) übernimmt Seculution (Allowlisting)

Notizen aus Anbietergesprächen:

Astelia:

  • US Startup für Priorisierung von Schwachstellen, Oberkategorie CTEM, klarere Fokus auf Reduzierung False Positives
  • Sammelt alle möglichen Scanner-Daten ein (ähnlich Axonius, Brinqa, Zafran, Vulcan/Tenable, XM Cyber…)
  • Dann werden Ausgleichmaßnahmen wie EDR, Segmentierungsfirewalls, WAFs bei der Berechnung des kundenindividuellen Risikos einer Schwachstelle herangezogen (Abfrage über API)
  • Zur Berechnung der Netzwerk-Erreichbarkeit (Angriffspfadsimulation) werden auch Router und Load Balancer abgefragt
  • Das Ganze natürlich mittels Agentic AI
  • Dazu wird noch geprüft, ob bei Ausführung die angreifbaren Komponenten tatsächlich im Speicher geladen sind. Und das Ergebnis dann angereichert mit den üblichen Kennzahlen wie KEV, EPSS, CVSS
  • Was fehlt noch aus meiner Sicht: Check der Rollen+Rechte+Authentifizierungsmethoden (Integration mit IAM/PAM)
  • SaaS Deployment ohne Sensoren auf Hosts (on prem Variante auf Roadmap)
  • Könnte mir gut vorstellen, dass das z.B. einer der XDR-Hersteller als Ergänzung zukauft

Senthorus:

  • Schweizer Anbieter für Managed Sec Services, war bis 2024 die Schweizer Tochter von BlueVoyant (BlueVoyant ist auch noch Entwicklungspartner für die Detection Rules), ca. 45 MA und auch ca. 45 MSOC-Kunden, auch in Finance
  • Jetzt Teil der ELCA Gruppe (~2400 MA, ~350 Mio. Umsatz). Zusammen mit anderen ELCA Teams wird auch Beratung inkl. IAM und Offensive Sec Services angeboten
  • L1/L2 Schichtbetrieb 24/7 (also nicht nur Rufbereitschaft)
  • SIEM Optionen: MS Sentinel, Crowdstrike, Splunk. Darunter dann auch Installationen mit SentinelOne EDR oder Darktrace NDR
  • Natürlich optionale Services wie Darkweb Monitoring, Exposure Mgmt…

Yarix:

  • MSSP aus Italien
  • Ca. 400 MA, ~75 MSOC Kunden. Gehören zur VAR Group mit ~4000 MA
  • SOC Analysten in Italien, Singapur und Mexico
  • Viel OT Kompetenz im Haus, setzen dabei auf Nozomi und Syslog-Anbindung SIEM

Excalibur (wer das sucht: xclbr.com):

  • Remote Browser Isolation / Streamed Access Startup aus der Slowakei
  • Patentierte Lösung als Ersatz für Web Application Firewalls
  • Dabei wird der RAM-Bedarf auf den eigenen Webservern ggü. bisherigen Remote Browser Lösungen um ~80% reduziert, indem nur DOM-Veränderungen zum Client übertragen werden  => Sehr geringe Verzögerungen, zumindest in der Demo
  • Alle User Interaktionen können aufgezeichnet werden => Nochmal Vorteil ggü. WAF
  • Cooles Feature: Bei Authentifizierungsanfragen kann neben KI-basiertem conditional access auch ein Human in the Loop als 4-Augenprinzip anstatt 2. Faktor angefragt werden
  • Erste Kunden (u.a. eine Bank und einige Behörden)

SecureCloud:

  • Cloudspeicher, Fileshare + Collaboration aus D
  • Unglaubliche Erfolgsgeschichte: In 10 Jahren > 6000 Unternehmenskunden aus > 40 Ländern gewonnen
  • MS Office kompatibel
  • Digitale Signaturen als Alternative zu Docusign oder Adobe
  • C5 zertifiziert

G+H Systems / daccord:

  • IGA Tool made in Germany für den gesamten Lifecycle ab Provisionierung von Rollen
  • Spezialisiert auf regulierte mittelgroße Kunden – viele Kliniken darunter. On prem Deployment möglich
  • Abbildung von Matrixorganisationen in Workflows
  • Segregation of Duties: Kann über Kategorisierung von Rollen (z.B. Beschaffung) erkannt werden
  • Risikobewertung von Nutzern (z.B. hohe Privilegierung, fehlende Schulungen)
  • Hausnummer von 70 TEUR für den einmaligen Lizenzkauf + 60 TEUR/a Wartungsgebühren für ein 1000 MA Unternehmen

 

Labyrinth (labyrinth.tech):

  • Deception Lösung aus Polen/Ukraine
  • On prem möglich
  • Besonderheit: Honeypots auch für OT/SCADA, die SPS oder Server imitieren und über Modbus, S7 oder MQTT kommunizieren können

 

Neox Networks:

  • IT NDR Lösung inkl. eigener Produktion von Hardware Appliances komplett aus D, SW basiert allerdings auf Suricata
  • Kommen aus dem Application + Service Performance Monitoring
  • PCAP Analysen bis zu 100 GB/s rückwirkungs- und verlustfrei
  • Referenzkunden u.a. Daimler, VW, DB (Stellwerke), Shell, Merck, Siemens Bundeswehr…
  • Aber bisher keine OT Protokollanalyse

XplicitTrust:

  • ZTNA/Mikrosegmentierung/NAC Startup aus D (auch Hosting auf europäischen RZ)
  • Schien grundsätzlich alle wesentlichen Funktionen zu bieten, die man erwarten kann, z.B. Conditional Access abhängig von Identitäten u. Erfüllung Geräte-Policies
  • Bei ZTNA/SASE sind natürlich die Integrationen und die Zugriffszeiten insb. bei großen Umgebungen u. verteilten Standorten wichtig => PoC notwendig

Wie immer gilt: Fragen, Anregungen, Kommentare, Erfahrungsberichte, Themenwünsche und auch gegenläufige Meinungen oder Richtigstellungen gerne per Email. Dito für Abmeldungen vom Verteiler.

Für die Leute, die den Marktkommentar zum ersten Mal weitergeleitet bekommen haben: Hier kann man sich bei Interesse anmelden oder das Archiv alphabetisch ordnen.

Viele Grüße

Jannis Stemmann

Sind Sie bereit, Ihr Security Sourcing auf die nächste Stufe zu bringen?

CyberCompare ist Ihr unabhängiger Partner, um IT-, OT- und IoT-Sicherheit einfacher, klarer und erschwinglicher zu machen.

Mit unserem etablierten Cybersecurity-Ökosystem erreichen Sie Cybersecurity-Exzellenz und erhöhen Ihre Widerstandsfähigkeit: Mit uns sparen Sie Zeit und Geld, ohne den Fokus zu verlieren.

Jetzt anfragen

Jetzt anfragen

Associations and industry collaboration

Nach oben scrollen