Als ich vor weniger als zehn Jahren anfing, mich als Berater auf SIEM-Systeme zu spezialisieren, gab es ein paar maßgebliche SIEM-Systeme auf dem Markt, die von den großen Organisationen, die sie verwendeten, auf eigenen Servern betrieben wurden:
- Splunk Enterprise (oder Enterprise Security)
- ArcSight
- IBM QRadar
Andere Lösungen existierten, unter anderem war zu dieser Zeit die vollwertige SIEM-Lösung von Elastic (als Zusatzmodul auf dem Elastic- oder ELK-Stack) im Kommen.
Seitdem hat sich auf diesem Markt erstaunlich viel getan. Mittlerweile sind die drei wichtigsten Produkte in meiner Wahrnehmung die folgenden:
- Microsoft Sentinel
- Splunk Cloud
- Google SecOps (zuvor Chronicle)
Der erste Trend, der darin deutlich wird, ist der Umzug der SIEM-Systeme in die “Cloud”. Der andere ist das Verschwinden eigenständiger Player auf dem Markt. Splunk wurde von Cisco übernommen, außerdem hat Microsoft mit seinem Produkt in einigen Jahren gewaltige Marktanteile erlangt. Google als verspäteter Verfolger hat es hierzulande im Moment noch schwer, holt aber auf. Warum AWS hier höchstens noch als Hoster des Konkurrenzprodukts Sumo Logic auftritt, enzieht sich meiner Kenntnis - der Security-Markt wird dort möglicherweise anders priorisiert. Wie dem auch sei - die Verschiebung hin zu SaaS-Lösungen im SIEM-Bereich ist nicht verwunderlich. Da das Volumen an zu sammelndem Logvolumen in Unternehmen mit der Zeit zuverlässig nur eine Richtung kennt, nämlich nach oben, kommen im eigenen Netzwerk installierte Systeme meistens irgendwann an ihre Grenzen, was sich in extrem langsamen Suchen und ähnlichen Unannehmlichkeiten äußert. Das nötige Budget für eine technische Aufrüstung ist dann schwer zu bekommen und schon ist das eigene SIEM faktisch nutzlos. Cloud-Provider bieten an, die Systeme automatisch zu skalieren. Sie werden dann zwar auch teurer, aber sie funktionieren mit etwas Glück selbst bei extremen Lastspitzen weiter.
Der zweite Trend, der mich aktuell umtreibt, ist die Plattformisierung (“Platformization”) in diesem Bereich. Das klingt erstmal diffus und bedarf einer Erklärung, was ich damit überhaupt meine. Seit gut zwei Jahren arbeite ich in meinem Hauptberuf mit Google SecOps. Um in den SIEM-Bereich einzudringen, hat Google dabei nicht nur ein selbst entwickeltes SIEM in den Ring geworfen (ursprünglich als “Malachite” bekannt), sondern dieses mit einem zugekauften SOAR (Security Orchestration, Automatization and Response) mit eingebautem Case Management (so ähnlich wie ein Ticket-System) verknüpft. Wie es der Name schon sagt, will das Produkt also kein SIEM-System sein, sondern eine vollständige Security Operations Plattform. Der einzige Baustein, der noch fehlt, ist eine Endpoint Detection & Response (EDR)-Lösung aus eigener Fertigung. Ähnliche Ambitionen zeigt Microsoft, das so eine EDR-Lösung tatsächlich anbietet.
Hier kommen wir zur zentralen Crux an der Sache und zu dem Sachverhalt, mit dem ich mich partout nicht wohlfühle. Schon die Verschiebung zu SaaS-Lösungen hat den Wettbewerb im SIEM-Bereich verzerrt. Splunk, Elastic, Palo Alto und andere Konkurrenten zu Microsoft und Google bieten zwar auch Cloud-Produkte an, hosten diese dann aber in einigen Fällen selbst bei z.B. Google. Außerdem können Microsoft und Google Kunden ihre Produkte unter dem Preis anbieten, den Dritte für ihre Konkurrenzprodukte aufrufen müssen - schließlich muss ein solcher Konkurrent mehr für die Cloudressourcen bei Microsoft und Google bezahlen als diese selbst. Nachdem fast alle modernen Security-Produkte irgendwelche Cloud-Bausteine enthalten, können Microsoft und Google über das Aufbauen solcher Security-Plattformen diese Tatik auf eine ganze Spanne von Security-Produkten ausweiten und systematisch nach und nach alle Konkurrenten ausbooten, die nicht in die gleiche Größenordnung gehören.
Vielleicht ist diese Erkenntnis nicht neu, vielleicht nicht einmal diese Zeilen wert. GAFAM (Google, Apple, Facebook, Amazon und Microsoft) sind in ihrer finanziell begründeten Macht in der Lage, fast jeden Markt an sich zu reißen, den sie als lukrativ bewerten. Was sie nicht aufkaufen, können sie verdrängen. Ich nehme an, ich finde es nur sehr interessant, das so konkret in meiner eigenen Arbeit zu beobachten. Was mache ich mit dieser Erkenntnis? Höre ich auf, mit Microsoft Sentinel oder Google SecOps zu arbeiten? Versuche ich, open-source-Alternativen wie Wazuh zu pushen? Würde das überhaupt jemandem nützen? Ehrlich gesagt, ich weiß es nicht. Es wäre auf jeden Fall schön, wenn ich einen Weg für mich finden könnte, auf dem ich nicht daran mitwirke, einen weiteren Markt auf die immer gleichen zwei, drei US-Konzerne zu konzentieren.