Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
EIN EIGENES SOC AUFBAUEN – MIT BESCHRÄNKTEN RESSOURCENBedrohungen schnell erkennen und bekämpfen, auch ohne ein 24x7 SOC
Von James Carder CISO und Vice President von LogRhythm, LogRhythm Labs
Menschen
Prozesse
Technologien
Inhalt
3 Einleitung
4 Der Lebenszyklus eines Cyberangriffs
5 Grundlagen des Threat Lifecycle Managements
7 Was macht ein effektives SOC aus? Das Zusammenwirken von Menschen, Prozessen und Technologien
Menschen
Prozesse
Technologien
10 Abschätzung von SOC-Kosten und Einsparungen
11 Vergleich der Kosten für verschiedene SOC-Personalmodelle
12 Schritte zum Aufbau eines SOCs mit begrenzten Ressourcen
Eine Strategie entwickeln
Die Lösung planen
Prozesse, Prozeduren und Schulungsmaßnahmen entwickeln
Die Umgebung vorbereiten
Die Lösung implementieren
Durchgehende Anwendungsfälle implementieren
Verwalten und ausbauen
14 Fazit
15 Über James Carder
SEITE 3WWW.LOGRHYTHM.COM
EIN EIGENES SOC AUFBAUEN – MIT BESCHRÄNKTEN RESSOURCEN
EinleitungManche Unternehmen haben ein formales Security Operations Center (SOC). Formale 24x7 SOCs sind streng abgesicherte Bereiche, in denen speziell geschultes Personal die Systeme tagtäglich rund um die Uhr auf Bedrohungen überwacht. Auf Basis der Sicherheitskontrollen ihres Unternehmens suchen sie nach möglichen Anzeichen für Eindringlinge und Kompromittierungen, auf die die Incident Responder dann eventuell reagieren müssen.
Für die allermeisten Unternehmen ist ein 24x7 SOC jedoch leider nicht erschwinglich. Die Kosten, die entstehen, wenn kompetente Sicherheitsanalytiker jederzeit vor Ort sein müssen, übersteigen für fast jedes Unternehmen die Vorteile. Deshalb behelfen sich die meisten Unternehmen entweder mit einem informalen SOC, bestehend aus einigen wenigen Mitarbeitern, die auch noch viele andere Aufgaben haben, oder sie haben überhaupt kein SOC und müssen im Bedarfsfall Personal aus anderen Bereichen heranziehen. Die Systeme werden nicht rund um die Uhr konsequent auf Sicherheitsereignisse überwacht. Deshalb wird auf viele Vorfälle erst mit erheblicher Verzögerung reagiert, und andere werden überhaupt nicht bemerkt. Das ist eine gefährliche Situation, die zu gravierenden Cybervorfällen führen kann. Zudem werden die Analytiker kaum Zeit haben, proaktiv nach Bedrohungen und Angriffen Ausschau zu halten. Und wenn es zu einem Sicherheitsvorfall kommt, können viele Unternehmen nicht effizient und effektiv reagieren, weil keine formalen Incident-Response-Prozesse und -Funktionen existieren.
Für dieses Dilemma – untragbare Kosten eines formalen SOCs und gänzlich unzureichender Schutz durch ein informales – gibt es jedoch eine Lösung: Unternehmen können ein SOC aufbauen, in dem die Aufgaben weitmöglichst automatisiert sind. Die Automatisierung erleichtert es dem Team, die Umgebung laufend auf Sicherheitsvorfälle zu prüfen und Ereignisse zu analysieren, um mögliche Eindringlinge zu erkennen. Zudem können Ereignisreaktionen automatisiert und orchestriert werden, was die Behandlung von Sicherheitsvorfällen verbessert und beschleunigt. Eine Plattform für Threat Lifecycle Management ist die ideale Grundlage für ein SOC, weil sie all diese automatisierten Funktionalitäten in einem einzigen, voll integrierten System bereitstellt.
Dieses Whitepaper will Ihnen zeigen, wie Sie auch dann erfolgreich ein eigenes SOC aufbauen können, wenn Ihre Ressourcen beschränkt sind. Zunächst erläutert das Paper, wie der Lebenszyklus eines Cyberangriffs verläuft und warum Angriffe mittels Threat Lifecycle Management frühzeitig gestoppt werden müssen. Danach folgen grundlegende Informationen zu SOCs und ihren Erfordernissen hinsichtlich Menschen, Prozessen und Technologien. Und schließlich beschreibt das Paper eine Methode, um mit begrenzten Mitteln ein SOC aufzubauen, und fokussiert dabei vor allem auf Taktiken, die einen einfachen und erfolgreichen Rollout ermöglichen. Wenn Sie das Paper gelesen haben, sollten Sie in der Lage sein, die Planung Ihres eigenen SOCs in Angriff zu nehmen.
EIN EIGENES SOC AUFBAUEN – MIT BESCHRÄNKTEN RESSOURCEN
SEITE 4WWW.LOGRHYTHM.COM
Am Lebenszyklus von Cyberangriffen lässt sich erkennen, dass Unternehmen oft zahlreiche Gelegenheiten haben, einen laufenden Angriff zu entdecken und zu stoppen, da ein
einziger Angriff viele Schritte umfasst.
Der Lebenszyklus eines CyberangriffsUm das Threat Lifecycle Management (TLM) Framework verstehen zu können, das die Grundlage des SOC-Betriebs bildet, müssen Sie zunächst wissen, wie der Lebenszyklus eines Cyberangriffs aussieht. Er besteht aus sechs Phasen:
Abb. 1: Der Lebenszyklus eines Cyberangriffs
Phase 5: ZielerreichungBei der endgültigen Systemkompromittierung erlangt der Angreifer Zugang zu dem System, auf das er es letztlich abgesehen hat.
Phase 6: Exfiltration, Schädigung, StörungNun kann der Angreifer seine eigentliche Absicht ausführen – zum Beispiel sensible Daten aus dem System ausschleusen oder den Geschäftsbetrieb des Unternehmens stören, indem er Dateien oder Datenbanken auf dem Zielsystem beschädigt.
Am Lebenszyklus von Cyberangriffen lässt sich erkennen, dass Unternehmen oft zahlreiche Gelegenheiten haben, einen laufenden Angriff zu entdecken und zu stoppen, da ein einziger Angriff viele Schritte umfasst. Je früher das Unternehmen den Angriff feststellt, desto größer die Wahrscheinlichkeit, dass es rechtzeitig reagieren und eine gravierende Datenpanne oder einen anderen schwerwiegenden Sicherheitsvorfall verhindern kann.
Phase 1: ErkundungDiese Phase kann ein breites Spektrum von Aktivitäten umfassen. Im Wesentlichen geht es für den Angreifer jedoch darum, ein Ziel zu ermitteln und zu entscheiden, wie er den Angriff darauf einleiten soll.
Phase 2: Erstes EindringenIn der nächsten Phase attackiert der Angreifer ein System im internen Netzwerk und verschafft sich Zugriff darauf. Dieses System ist in der Regel nicht sein endgültiges Ziel.
Phase 3: SteuerungDer Angreifer installiert Tools auf dem kompromittierten System, um laufend darauf zugreifen zu können.
Phase 4: SeitwärtsbewegungenAls nächstes nutzt der Angreifer das kompromittierte System und dessen Benutzerkonten, um weitere angreifbare Systeme zu ermitteln. Dieser Vorgang kann mehrmals wiederholt werden, sodass sich der Angreifer nach und nach durch das gesamte Unternehmen bewegen kann.
EIN EIGENES SOC AUFBAUEN – MIT BESCHRÄNKTEN RESSOURCEN
SEITE 5WWW.LOGRHYTHM.COM
Grundlagen des Threat Lifecycle ManagementsThreat Lifecycle Management ist die entscheidende Voraussetzung, um Angriffe in einer möglichst frühen Phase ihres Lebenszyklus zu erkennen und zu stoppen. TLM vereint zahlreiche Fähigkeiten und Funktionen, die es ermöglichen, neue Bedrohungen und Angriffe auf die Unternehmenssysteme zu erkennen; festzustellen, welche Risiken sie mit sich bringen; die Risiken zu minimieren; und die nötigen Maßnahmen zu ergreifen, um den Normalbetrieb wieder aufnehmen zu können. TLM hat das Ziel, schädliche Cybervorfälle, die durch erfolgreiche Angriffe auf Systeme, Netzwerke und Daten verursacht werden können, umfassend zu bewältigen beziehungsweise zu verhindern.
Damit Ihr SOC die mittlere Erkennungszeit (Mean Time to Detect, MTTD) und mittlere Reaktionszeit (Mean Time to Respond, MTTR) kosteneffizient verkürzen kann, müssen Sie die sechs Phasen des TLM-Frameworks implementieren, um Bedrohungen durchgehend zu erkennen und zu bewältigen. Sehen wir uns zunächst das TLM-Framework näher an, das die Grundlage eines effizienten und funktionalen SOCs bildet, bevor wir uns der Frage zuwenden, wie sich ein SOC von Grund auf aufbauen lässt.
Forensische Daten sammelnIn dieser Phase geht es darum, kontinuierlich Daten aus Quellen zu sammeln, die möglicherweise
Hinweise auf Angriffe aufzeichnen. Drei der wichtigsten Daten dieser Art sind:
Daten zu SicherheitsereignissenDie meisten Unternehmen verfügen über ein ganzes Arsenal an Sicherheitsprodukten, um zu verhindern, dass ein breites Spektrum von Angriffen erfolgreich ausgeführt werden kann. Manchmal können solche Technologien jedoch nur warnen, dass ein Angriff im Gang sein könnte, und zu diesem Zweck Alarme generieren. Die Herausforderung besteht darin, schnell festzustellen, auf welche Alarme und Ereignisse sich die Sicherheitsmitarbeiter konzentrieren sollen – denn sie erhalten möglicherweise täglich Zehntausende davon.
Log- und MaschinendatenLogdaten – per Benutzer, per System oder per Anwendung erfasst – können Ihnen tieferen Einblick in Ihre IT-Umgebung vermitteln und zeigen, wer was wann und wo getan hat. Dieser ergiebige Datenfundus kann Untersuchungen verdächtiger Vorgänge verbessern und beschleunigen. Zudem lässt sich anhand dieser Daten erkennen, was in der IT-Umgebung normal ist. Damit unterstützen
die Daten maschinelle Analysen zur Erkennung von Verhaltensauffälligkeiten, die darauf hindeuten können, dass ein komplexerer Angriff stattfindet.
Daten von forensischen SensorenWenn Ihr Unternehmen Sicherheits- und Logdaten bereits effektiv erfasst, können forensische Sensoren noch tiefere und breitere Sichtbarkeit vermitteln. Die Daten, die solche Sensoren liefern, können Lücken füllen, wo keine Protokolle vorhanden sind oder nicht genügend forensische Details zur Verfügung stehen. Es gibt zwei Hauptarten von forensischen Sensoren:
• Forensische Sensoren für Netzwerke, die Pakete und Datenflüsse erfassen
• Forensische Sensoren für Endpunkte (z.B. EDR-Agenten), die alle Aktivitäten auf dem überwachten System mit hoher Zuverlässigkeit aufzeichnen können
Zudem können Daten von forensischen Sensoren die Effizienz der Untersuchungen und Vorfallsreaktionen erhöhen. Sie ermöglichen bessere und leistungsfähigere maschinelle Verfahren, mit denen sich selbst die raffiniertesten Angriffe erkennen lassen.
Abb. 2: Die Phasen des Threat Lifecycle Management Frameworks
EIN EIGENES SOC AUFBAUEN – MIT BESCHRÄNKTEN RESSOURCEN
SEITE 6WWW.LOGRHYTHM.COM
EntdeckenIn der Entdeckungsphase werden die gesammelten Daten analysiert, um potenzielle Bedrohungen
zu ermitteln. Zwei Arten von Analysen finden hier statt: Suchanalysen und maschinelle Analysen. Die Suchanalysen werden von Menschen durchgeführt, unterstützt von Technologien, die verschiedene Optionen für die Suche und die Anzeige der Daten eröffnen. Maschinelle Analysen werden automatisch von Software ausgeführt. Dabei werden verschiedene hochentwickelte Techniken kombiniert, darunter maschinelles Lernen, um aus den enormen Datenmengen die potenziellen Bedrohungen herauszufiltern.
BewertenJede potenzielle Bedrohung muss genauer bewertet werden, um festzustellen, ob sie
tatsächlich Anlass zur Besorgnis gibt, wie gravierend das Risiko ist und ob es weiter untersucht oder eingedämmt werden muss. In dieser Phase werden auf Basis der maschinellen Analysen Alarme generiert und dann geprüft, bewertet und priorisiert.
UntersuchenSobald eine Bedrohung identifiziert ist, muss sie vollständig untersucht werden, um eindeutig
festzustellen, ob ein Sicherheitsvorfall stattgefunden hat oder im Gang ist. In dieser Phase kommt es darauf an, dass schnell auf forensische Daten und Sicherheitserkenntnisse zugegriffen werden kann. Die Automatisierung investigatorischer Routineaufgaben sowie Tools für eine bereichsübergreifende Zusammenarbeit sind ideale Mittel, um die mittlere Reaktionszeit optimal zu verkürzen (s. Abb. 3). Idealerweise verfügt Ihr Team über ein System, über das alle aktiven und früheren Untersuchungen verfolgt werden können, sodass diese Informationen gut strukturiert und für künftige Nachforschungen verfügbar sind.
NeutralisierenDas oberste Ziel der Neutralisierungsphase ist es, das Risiko zu entschärfen, das durch die
Bedrohung entsteht. Welche Schritte hier notwendig sind, hängt davon ab, wie weit die Bedrohung bereits fortgeschritten ist. Häufige Maßnahmen sind jedoch die Isolierung kompromittierter Systeme und die Deaktivierung von Benutzerkonten, deren Zugangsdaten gestohlen wurden.
WiederherstellenIn der letzten Phase, der Wiederherstellung, geht es darum, zum Normalbetrieb zurückzukehren
und dafür zu sorgen, dass die Bedrohung künftig keinen ähnlichen Angriff mehr erfolgreich ausführen kann. In
diesem Stadium werden ausgenutzte Sicherheitslücken ermittelt und geschlossen, damit sie kein Einfallstor mehr darstellen. Systeme werden neu aufgebaut, Benutzerdaten zurückgesetzt und veränderte Daten mittels Backups wiederhergestellt, damit der Betrieb wieder anlaufen kann. Auch viele weitere Aufgaben fallen in dieser Phase an. Beispielsweise werden Berichte zu den Ursachen des Vorfalls erstellt; es wird geprüft, wie effektiv und effizient reagiert wurde; und die Sicherheitsverfahren des Unternehmens werden anhand der Lehren angepasst, die man aus dem Vorfall gezogen hat.
Wie die beiden Zeitpfeile oben in Abb. 2 zeigen, geht es bei den ersten drei TLM-Phasen um die Erkennung und bei den nächsten beiden um die Reaktion. Damit Bedrohungen in einem möglichst frühen Stadium des Angriffslebenszyklus erkannt werden, müssen die Erkennungsschritte des TLMs laufend durchgeführt werden. Und ähnlich müssen auch die Reaktionsschritte sehr schnell durchgeführt werden, sobald sie erforderlich werden. Die Kombination aus nahezu sofortiger Erkennung und schneller Reaktion erleichtert es, Attacken zu ermitteln und zu stoppen, lange bevor die Angreifer ihre endgültigen Ziele erreicht haben.
Rund um die Uhr alle Systeme überwachen, Bedrohungen erkennen und auf sie reagieren zu müssen ist bereits eine gewaltige Herausforderung. Noch größer wird sie jedoch aufgrund der schieren Datenmengen. Menschen sind weder imstande, all diese Daten zeitnah zu sichten, noch können sie Daten aus unterschiedlichen Zeiten sofort korrelieren, um einem ernsthaften Angriff auf die Spur zu kommen – schon gar nicht, wenn kein großes Team zur Verfügung steht. Deshalb ist TLM in der Praxis nur mit einem hohen Maß an Automatisierungstechniken realisierbar: So viele Aufgaben wie möglich werden automatisch erledigt, während Menschen nur eingesetzt werden, wo es unumgänglich ist.
Abb. 3: Wie folgenreich eine Sicherheitspanne ist, hängt direkt von der mittleren Erkennungszeit (MTTD) und der mittleren Reaktionszeit (MTTR) ab.
EIN EIGENES SOC AUFBAUEN – MIT BESCHRÄNKTEN RESSOURCEN
SEITE 7WWW.LOGRHYTHM.COM
Ganz gleich, wie stark ein SOC automatisiert ist – Menschen werden immer unverzichtbar bleiben. Die beiden grundlegendsten Rollen, die in einem SOC besetzt sein müssen, sind die des Sicherheitsanalytikers und die des Incident Responders. Analytiker werden vor allem in den Monitoring- und Erkennungsphasen des TLMs benötigt. Zu ihren typischen Aufgaben gehört es, die Alarme aus der TLM-Plattform zu überwachen und vorläufig einzuschätzen, um zu entscheiden, auf welche die Incident Responder reagieren müssen. Aufgaben der Incident Responder können sein:
• Durchführen gründlicherer Analysen zu verdächtigen Sicherheitsereignissen mithilfe von:
- Suchfunktionen
- Quellen für Threat Intelligence
- Grundlegenden forensischen Techniken
- Tools zur Malware-Analyse
• Durchführen reaktiver Maßnahmen, wenn ein Vorfall dies erfordert
• Informieren der Vorgesetzten über den Stand der Vorfallsbehandlung.
Weitere mögliche SOC-Rollen sind forensische Analytiker und Spezialisten für die Rückkonstruktion von Malware.
Und schließlich benötigt jedes SOC zeitweise einen Sicherheitsarchitekten. Der Sicherheitsarchitekt ist typischerweise ein Mitarbeiter der Sicherheitsabteilung, der das Sicherheitsprogramm und die Infrastruktur des Unternehmens sehr genau kennt. Er sollte beim Aufbau der anfänglichen SOC-Lösung mitwirken und ihre Implementierung überwachen, um zu gewährleisten, dass sie effizient und effektiv ist. Im Lauf der Zeit kann der Sicherheitsarchitekt dann Anpassungen für die SOC-Lösung planen und umsetzen, darunter auch Erweiterungen, um neuen Anforderungen gerecht zu werden. Die Funktion des Sicherheitsarchitekten ist besonders
Ein SOC mit einer effektiven TLM-Plattform bietet hochentwickelte und komplett integrierte Automatisierungstechniken für alle sechs TLM-Phasen. Die TLM-Plattform bringt Menschen, Prozesse und Technologien zusammen und ermöglicht so einen effizienten Sicherheitsbetrieb. Dadurch wird weniger Personal gebraucht, und da die Zusammenarbeit über die TLM-Plattform erfolgt, kann das SOC-Team dezentral arbeiten.
Wie wichtig Automatisierung für ein SOC ist, kann gar nicht genug betont werden. Denken wir etwa an einen Vorfall, der sehr häufig auftritt – eine Phishing-Kampagne. Eine leistungsfähige TLM-Plattform kann hier automatisch nahezu alle Aspekte der Erkennung, Reaktion und Problembehebung übernehmen:
• Erkennen der Kampagne und Untersuchung ihres Zwecks und Umfangs
• Abgleich der festgestellten Angriffsmerkmale mit Bedrohungsinformationen, um die Bedrohung besser zu verstehen
• Automatisierung der gesamten Problembehebung: Bedrohung blocken, damit die Kampagne nicht fortgesetzt werden kann; alle Phishing-Mails aus den Postfächern der Benutzer löschen; feststellen, ob bösartige Payloads von Phishing-Mails heruntergeladen und installiert wurden; infizierte Systeme in Quarantäne stellen; Schadcode von den Systemen entfernen
• Erstellen eines Berichts zu dem Vorfall und Versand an die relevanten Empfänger
Ähnlichen Nutzen kann eine TLM-Plattform, die SOC-Abläufe automatisiert, auch bei anderen Formen von Angriffen und Bedrohungen bieten. Das bedeutet, dass das Unternehmen nur eine kleine Anzahl von Analyse-Spezialisten für die komplexesten und schwierigsten Probleme benötigt, anstatt Legionen von Mitarbeitern, die die meiste Zeit mit langwierigen Routineaufgaben verbringen. Zudem verbessert Automatisierung die Effizienz des SOC-Betriebs erheblich. Sicherheitsvorfälle können viel schneller erkannt, gestoppt und bewältigt werden, was die Schäden und Kosten minimiert.
In den folgenden Abschnitten wird näher erläutert, wie Menschen, Prozesse und Technologien in einem TLM-gestützten SOC zusammenwirken.
Was macht ein effektives SOC aus? Das Zusammenwirken von Menschen, Prozessen und Technologien
Menschen
EIN EIGENES SOC AUFBAUEN – MIT BESCHRÄNKTEN RESSOURCEN
SEITE 8WWW.LOGRHYTHM.COM
wichtig, weil seine Entscheidungen erheblichen Einfluss auf das Sicherheitsprogramm und damit auf das gesamte Unternehmen haben werden.
Für die Personalausstattung des SOCs stehen Unternehmen eine ganze Reihe von Optionen zur Verfügung. Einige Beispiele für mögliche Modelle:
Komplett ausgelagertBei diesem Modell werden alle SOC-Aufgaben von einem Managed Security Service Provider (MSSP) oder anderen Outsourcern übernommen. Der Outsourcer kontaktiert das Unternehmen nur, wenn es an Incident-Response-Maßnahmen mitwirken oder eine Frage zu den speziellen Merkmalen der IT-Umgebung beantworten muss.
Hybrid (eigene Mitarbeiter plus Outsourcing)Bei Hybrid-Modellen sind während der Kerngeschäftszeiten oft unternehmenseigene Mitarbeiter anwesend, während Outsourcer den Rest abdecken. So könnte beispielsweise ein Unternehmen mit einem 8x5-Arbeitszeitkonzept Personal für mindestens zwei Vollzeitäquivalente (VZÄ) benötigen: ein Sicherheitsanalytiker-VZÄ und Incident-Responder-VZÄ. Alle Aufgaben, die außerhalb der Geschäftszeiten anfallen, werden ausgelagert, ebenso wie alle Tätigkeiten, für die der Sicherheitsanalytiker und der Incident Responder nicht zuständig sind.
Ein anderes Hybrid-Modell könnte folgendermaßen aussehen: Das hausinterne SOC wird durch einen MSSP ergänzt, der 24x7-Monitoring durchführt. Der MSSP erstellt Anwendungsfälle, die genau auf das Unternehmen zugeschnitten sind. Voraussetzung für den Erfolg eines solchen Hybrid-Modells ist, dass der MSSP möglichst viel geschäftlichen Kontext erhält, damit er den Anforderungen und Erwartungen des Unternehmens gerecht werden kann.
Komplett im eigenen HausOptionen für ein vollständig hausinternes SOC können sein:
• 24x7 SOC: Wenn das SOC 24x7 von eigenen Mitarbeitern betrieben werden soll, muss ein Unternehmen mehrere Sicherheitsanalytiker-VZÄ und mehrere Incident-Responder-VZÄ besetzen. Zudem müssen auch die meisten Spezialaufgaben von eigenen Mitarbeitern erledigt werden. Outsourcing wird minimiert.
• 8x5 SOC: Unternehmen verringern ihr Risiko bereits enorm, wenn sie während der Geschäftszeiten (oder auch nur einem Teil davon) effektives Threat Lifecycle Management betreiben. Am erfolgreichsten ist diese Option jedoch, wenn das 8x5 SOC eine TLM-Plattform nutzt, die Aufgaben automatisiert und unterstützt. Um auszugleichen, dass das SOC nicht 24x7 besetzt ist, können automatische Eskalationen und Benachrichtigungen an die Analytiker eingerichtet werden, abhängig davon, wie kritisch ein Alarm ist und welche Auswirkungen er hat.
Unabhängig vom Personalmodell benötigt jedes SOC Prozesse. Die Technologie schließt die Menschen und Prozesse zusammen – zum Beispiel, wenn eine TLM-Plattform einen Sicherheitsanalytiker über einen Vorfall informiert, um den dieser sich sofort kümmern muss, oder ein Incident Responder eine TLM-Plattform anweist, eine Aufgabe für ihn zu erledigen. Prozesse erleichtern aber auch den Mitarbeitern die Zusammenarbeit. So könnte etwa ein Sicherheitsanalytiker in der TLM-Plattform eine Reihe von Ereignissen markieren, die ein Incident Responder näher untersuchen muss. Die TLM-Plattform bietet Workflow-Funktionalitäten, die die Verantwortung für die Aufgabe dann vom Sicherheitsanalytiker auf den Incident Responder übertragen.
TLM-Plattformen eröffnen SOCs aber auch wesentlich komplexere Möglichkeiten im Hinblick auf Kommunikation, Zusammenarbeit, Workflows und Orchestrierung. Bei einem großen Zwischenfall werden möglicherweise zahlreiche Sicherheitsanalytiker, Incident Responder und Forensikspezialisten zusammenarbeiten, und auch andere Mitarbeiter im Unternehmen könnten in die Problembehebung involviert sein, so etwa System- und Netzwerkadministratoren. Wenn ein Unternehmen eine TLM-Plattform und ein SOC mit den bestehenden Geschäftsprozessen und Arbeitsabläufen integriert, kann dies die Akzeptanz des SOCs und seine Funktionsfähigkeit fördern. Zudem wird sichergestellt, dass im gesamten Unternehmen schnelle und effektive Maßnahmen ergriffen werden, um Bedrohungen zu erkennen und zu beseitigen. Damit wird ein Fehler vermieden, den viele Unternehmen begehen – nämlich zu erzwingen, dass alle bestehenden Geschäftsprozesse verändert werden, um sie an das SOC anzupassen.
Das Vorhandensein einer TLM-Plattform ist in diesen Fällen entscheidend, da die Plattform durch Automatisierung und Orchestrierung der Sicherheitsmaßnahmen gewährleistet, dass jeder über den aktuellen Status Bescheid weiß und auf alle nötigen Informationen zugreifen kann. Zudem kann die TLM-Plattform dem Personal die nötigen Tools bieten, um zusammenzuarbeiten und Aufgaben von einem Mitarbeiter oder Team auf andere zu übertragen. Und schließlich ermöglichen TLM-Plattformen die Überprüfung von Arbeitsabläufen, um sicherzustellen, dass nichts übersehen oder zu langsam erledigt wird.
Prozesse
EIN EIGENES SOC AUFBAUEN – MIT BESCHRÄNKTEN RESSOURCEN
SEITE 9WWW.LOGRHYTHM.COM
So unterstützt LogRhythm Ihr SOCLogRhythm schließt unterschiedliche,
herkömmlicherweise getrennte
Lösungen in einer Plattform
zusammen und ermöglicht dadurch
umfassendes Threat Lifecycle
Management. Mit der Plattform
von LogRhythm steht Ihrem SOC
eine einheitliche Konsole zur
Verfügung, um Alarme zu prüfen,
Bedrohungen zu untersuchen und auf
Sicherheitsvorfälle zu reagieren.
Die patentierten Analysefunktionen
von LogRhythm automatisieren
die Erkennung und Priorisierung
realer Bedrohungen. Zudem bietet
die Plattform Mechanismen, um
die Abläufe bei der Behandlung
von Sicherheitsvorfällen zu
orchestrieren und zu automatisieren.
Dank der umfassenden TLM-
Funktionalitäten, kombiniert mit
effektiver Automatisierung, kann Ihr
SOC effizienter und wirkungsvoller
arbeiten und so die mittlere
Erkennungs- und Reaktionszeit
verkürzen.
Mit der Plattform von LogRhythm
können Unternehmen ein
kosteneffektives SOC aufbauen,
das die Risiken verringert und
gravierende Datenpannen und andere
Kompromittierungen verhindert.
Zugleich können Unternehmen
die Fähigkeiten ihrer Mitarbeiter
wesentlich besser nutzen und sie
verstärkt für strategische, langfristig
wertvolle Projekte einsetzen statt
für manuelle Routineaufgaben.
Weitere Informationen zur Plattform
von LogRhythm erhalten Sie unter
logrhythm.com/demo
Eine TLM-Plattform eignet sich ideal für den Aufbau eines SOCs, weil sie alle benötigten Formen von Sicherheitsautomatisierung und Incident-Response-Orchestrierung in einer einzigen Konsole bündelt. Hier einige Beispiele für das, was eine TLM-Plattform leisten kann:
• Zentralisierung aller forensischen Daten, um effektive maschinelle Analysen zu unterstützen und schnelle Untersuchungen zu ermöglichen. So können die Daten stets im Blick behalten und Analysen durchgeführt werden, um Ereignisse von besonderem Interesse zu identifizieren – ohne dass Mitarbeiter rund um die Uhr an den Monitoren sitzen und Sicherheits-Rohdaten sichten müssen.
• Bereitstellung von Kontext zu Sicherheitsvorfällen. Dazu werden Informationen aus wichtigen Threat-Intelligence-Quellen und Schwachstellendaten integriert, ebenso wie Informationen zu Geschäftssystemen und Unternehmensassets, die aus eingebundenen Systemen für das Personalwesen, Finanzwesen, die Auftragsvergabe etc. stammen. Anhand dieses Kontexts können das TLM und die Sicherheitsmitarbeiter besser einschätzen, worauf ein Angreifer aus sein könnte und warum.
• Priorisierung interessanter Ereignisse anhand des relativen Risikos, das sie für das Unternehmen darstellen. So können sich die SOC-Mitarbeiter vorrangig um die besorgniserregendsten Ereignisse kümmern.
• Zusammenführen aller Nachweise an einer Stelle und sichere, zuverlässige Übermittlung an autorisierte Personen, z.B. Mitarbeiter an anderen Standorten oder Outsourcer, die an Incident-Response-Maßnahmen beteiligt sind.
• Nutzung von Workflow-Funktionalitäten, um jede Person/Rolle zu benachrichtigen, wenn sie eine Aufgabe für das SOC erledigen muss – zum Beispiel einen Vorfall prüfen, den das TLM als Risiko markiert hat.
• Kommunikation mit den vorhandenen Systemen für Asset-Management, Schwachstellenmanagement, Trouble-Ticketing, Einbruchserkennung usw., um die SOC-Prozesse automatisch mit den Geschäftsprozessen zu integrieren. Dies beschleunigt die Arbeitsabläufe erheblich und verringert die Belastungen für die Mitarbeiter in vielen Abteilungen.
• Automatisierte Reaktionen, die automatisch mit spezifischen Alarmen verknüpft werden. Aktionen, die ohne menschliche Interaktion ausgelöst oder mit einem Klick genehmigt werden können, können Ihrem Team helfen, wesentlich schneller auf einen Vorfall zu reagieren. Die TLM-Plattform sollte häufig auftretende Situationen erkennen, zum Beispiel einen Befall mit gängiger Malware, und automatisch darauf reagieren. So kann sich das Team auf die komplexeren und folgenschwereren Ereignisse und Zwischenfälle konzentrieren.
Kombiniert mit einem vernünftigen SOC-Personalmodell und robusten Prozessen, kann eine TLM-Plattform nahtlose Integrationen, Workflows und Kommunikation für alle SOC-relevanten Aufgaben bieten, unabhängig davon, ob Aufgaben ausgelagert werden oder nicht. Diese Kombination ermöglicht zudem unmittelbaren Zugriff auf die Informationen, Daten, Ereignisse und Untersuchungsberichte, die autorisierte Mitarbeiter und Outsourcer irgendwann und irgendwo benötigen könnten.
Technologie
EIN EIGENES SOC AUFBAUEN – MIT BESCHRÄNKTEN RESSOURCEN
SEITE 10WWW.LOGRHYTHM.COM
Abschätzung von SOC-Kosten und EinsparungenWie hoch die Kosten sind, die einem Unternehmen durch ein SOC entstehen, hängt von vielen Faktoren ab. Gleiches gilt für die Einsparungen, die dank eines SOCs erzielt werden können. Sehen wir uns zunächst die geschätzten jährlichen Personal- und Servicekosten für gängige Personalmodelle in kleinen, mittleren und großen SOCs an (s. Tabelle „Vergleich der Kosten für verschiedene SOC-Personalmodelle“, S. 11). Wie diese Schätzungen zeigen, sind die Personal- und Servicekosten in SOCs jeder Größe am höchsten, wenn das SOC nicht auf einer TLM-Plattform basiert. Das liegt daran, dass dann viel mehr Aufgaben zur Überwachung, Analyse, Untersuchung, Priorisierung, Sammlung forensischer Daten, Vorfallsbehandlung und Berichterstattung von Menschen erledigt werden müssen statt von einer TLM-Plattform.
Die zweite Hauptkategorie von SOC-Kosten ist die Infrastruktur. Dazu zählen etwa die Räumlichkeiten, die Einrichtung, Netzwerke, Systeme, Software und Abonnement-Gebühren (z.B. für Threat Intelligence Feeds). Diese Kosten lassen sich schwer verallgemeinern. Beispielsweise könnte ein Unternehmen ungenutzte Räume haben, in die das SOC sofort einziehen kann, während ein anderes erst Räume beschaffen und einrichten muss. In manchen Unternehmen sind vielleicht sofort Netzwerke und Systeme für das SOC verfügbar; andere müssen sie erst planen, beschaffen und implementieren. Im Allgemeinen sind jedoch die Infrastrukturkosten für SOCs einer bestimmten Größe modellübergreifend relativ einheitlich, da die gleiche Infrastruktur benötigt wird, gleich ob das SOC 8x5 oder 24x7 mit eigenen Mitarbeitern besetzt ist. Eine Ausnahme bildet lediglich das komplett ausgelagerte und TLM-gestützte SOC, weil das Unternehmen hier keine Räume, Einrichtungsgegenstände oder Systeme für ein SOC-Personal benötigt.
Die letzte wichtige Überlegung hinsichtlich der Kosten ist, wie gut das SOC fähig sein wird, Sicherheitsvorfälle zu verhindern, schnell zu erkennen und zu stoppen und den normalen Betrieb wiederherzustellen. Wenn ein informales SOC mithilfe einer TLM-Plattform in ein gut strukturiertes SOC verwandelt wird, kann dies jährlich Kosten in Millionenhöhe aufgrund von Sicherheitsvorfällen ersparen, die behandelt werden müssen und die Mitarbeiterproduktivität und Umsätze verringern, solange der Geschäftsbetrieb beeinträchtigt ist.
Stellen Sie sich etwa einen einfachen Malware-Vorfall in einem Unternehmen mit 5000 Mitarbeitern vor. Da das informale SOC des Unternehmens nicht rund um die Uhr besetzt ist, wird der Vorfall erst erkannt, nachdem schon rund 100 Systeme befallen sind. Jedes dieser Systeme muss neu aufgebaut, wiederhergestellt und neu bereitgestellt werden. Dazu brauchen die Administratoren im Durchschnitt jeweils 4 Stunden. Die Benutzer der 100 Systeme können währenddessen den Großteil ihrer Arbeit nicht verrichten. Geht man von insgesamt 500 Stunden entgangener Produktivität plus 400 Stunden Systemadministration aus, dann kostet dieser Malware-Vorfall 900 Arbeitsstunden. Bei rund 100 $ pro Stunde gehen also an einem einzigen Tag fast 100.000 $ verloren. Wären die Systeme dagegen rund um die Uhr durch eine TLM-Plattform und einen MSSP überwacht worden, wäre der Malware-Vorfall sehr früh entdeckt worden. Die allermeisten Systeme wären dann nicht befallen worden, was fast 100.000 $ gespart hätte – mehr, als die MSSP-Dienste für drei Monate kosten würden. Der Umstieg von einem herkömmlichen SOC auf ein SOC-Modell mit TLM-Plattform kann Unternehmen laufend hohe Kosten ersparen.
Wären die Systeme rund um die Uhr durch eine TLM-Plattform und einen MSSP überwacht worden, wäre der Malware-Vorfall sehr früh entdeckt worden. Die
allermeisten Systeme wären dann nicht befallen worden, was fast 100.000 $ gespart hätte – mehr, als die MSSP-Dienste für drei Monate kosten würden.
EIN EIGENES SOC AUFBAUEN – MIT BESCHRÄNKTEN RESSOURCEN
SEITE 11WWW.LOGRHYTHM.COM
Kleines SOC < 10.000 Benutzer
Mittleres SOC 10.000 - 50.000 Benutzer
Großes SOC > 50.000 Benutzer
SOC ohne TLM-Plattform 8x5 vor Ort 16x5 vor Ort 24x7 vor Ort
Sicherheitsanalytiker 2 VZÄ @ je $ 120T 8 VZÄ @ je $ 120T 20 VZÄ @ je $ 120T
Incident Responder 1 VZÄ @ $ 145T 4 VZÄ @ je $ 145T 8 VZÄ @ je $ 145T
Spezialisten (Malware Reverse Engineering, Forensik etc.)
0 VZÄ; auslagern und nach Bedarf bezahlen (schätz. $ 50T/Jahr)
2 VZÄ @ je $ 150T 5 VZÄ @ je $ 150T
Management 1 VZÄ @ $ 150T 2 VZÄ @ je $ 150T 3 VZÄ @ je $ 150T
Gesamt $ 585T $ 2.140T $ 4.760T
Komplett hausinternes, TLM-
gestütztes SOC
8x5 vor Ort 16x5 vor Ort 24x7 vor Ort
Sicherheitsanalytiker 1 VZÄ @ $ 120T 4 VZÄ @ je $ 120T 8 VZÄ @ je $ 120T
Incident Responder 1 VZÄ @ $ 145T 2 VZÄ @ je $ 145T 4 VZÄ @ je $ 145T
Spezialisten (Malware Reverse Engineering, Forensik etc.)
0 VZÄ; auslagern und nach Bedarf bezahlen (schätz. $ 25T/Jahr)
1 VZÄ @ $ 150T 2 VZÄ @ je $ 150T
Management 0,25 VZÄ @ $ 150T 0,5 VZÄ @ $ 150T 1 VZÄ @ $ 150T
Gesamt $ 328T $ 995T $ 1.990T
Hybrides, TLM-gestütztes SOC 8x5 vor Ort, alle anderen Zeiten
externer MSSP
IR vor Ort 16x5, alle anderen
externer MSSP 24x7
Externer MSSP 24x7
Sicherheitsanalytiker 0,5 VZÄ @ $ 120T 0 0
Incident Responder 0,5 VZÄ @ $145T 2 VZÄ @ je $ 145T 4 VZÄ @ je $ 145T
Spezialisten (Malware Reverse Engineering, Forensik etc.)
0 VZÄ; auslagern und nach Bedarf bezahlen (schätz. $ 25T/Jahr)
0 VZÄ; auslagern und nach Bedarf bezahlen (schätz. $ 50T/Jahr)
0 VZÄ; auslagern und nach Bedarf bezahlen (schätz. $ 100T/Jahr)
Management 0,25 VZÄ @ $ 150T 0,25 VZÄ @ $ 150T 0,5 VZÄ @ $ 150T
MSSP-Dienst $ 250T $ 400T $ 750T
Gesamt $ 445T $ 778T $ 1.505T
Komplett ausgelagertes, TLM-
gestütztes SOC
Externer MSSP 24x7 Externer MSSP 24x7 Externer MSSP 24x7
Sicherheitsanalytiker 0 0 0
Incident Responder 0,5 VZÄ @ $ 145T 1 VZÄ @ je $ 145T 1,5 VZÄ @ je $ 145T
Spezialisten (Malware Reverse Engineering, Forensik etc.)
0 0 0
Management 0,25 VZÄ @ $ 150T 0,5 VZÄ @ $ 150T 1 VZÄ @ $ 150T
MSSP-Dienst $ 350T $ 600T $ 900T
Gesamt $ 460T $ 820T $ 1.268T
Vergleich der Kosten für verschiedene SOC-Personalmodelle
EIN EIGENES SOC AUFBAUEN – MIT BESCHRÄNKTEN RESSOURCEN
SEITE 12WWW.LOGRHYTHM.COM
Schritte zum Aufbau eines SOCs mit begrenzten Ressourcen Ausgehend von den Erfahrungen, die sie bei der Unterstützung zahlreicher Unternehmen gewonnen haben, haben die Experten von LogRhythm eine Methodik entwickelt, um ein SOC mit einer TLM-Plattform aufzubauen. Die sieben Schritte dieser Methodik werden nachfolgend beschrieben.
Zwei Punkte sind besonders wichtig, wenn Sie eine Strategie für Ihr SOC entwickeln:
A. Prüfen Sie, was Ihr bestehendes SOC im Hinblick auf Menschen, Prozesse und Technologien leistet. Beim Aufbau eines SOCs sollten Sie bedenken, dass es sich zunächst auf die Kernfunktionen beschränken sollte: Monitoring, Erkennen von Bedrohungen, Reaktion und Wiederherstellung. Manche SOCs unterstützen noch weitere Funktionen, zum Beispiel Schwachstellenmanagement. Solche Zusatzfunktionen sollten jedoch erst angedacht werden, wenn die Kernfunktionen richtig ausgereift sind.
B. Bestimmen Sie die Geschäftsziele für das SOC. Ein SOC ist nur effektiv, wenn es dem Unternehmen hilft, seine Geschäftsziele zu erreichen. Wird ein SOC um der Sicherheit willen eingerichtet, ohne die geschäftliche Seite zu berücksichtigen – zum Beispiel die Frage, welche Systeme und Daten für die Aufrechterhaltung des Betriebs am wichtigsten sind –, dann wird sich schwer zeigen lassen, was das SOC dem Geschäft bringt. Und das SOC könnte leicht eine gravierende Bedrohung übersehen, die zu einem schwerwiegenden Cybervorfall führen kann.
Im Einklang mit der in Schritt 1 gegebenen Empfehlung, den Umfang des SOCs anfangs zu begrenzen, dürfte es am besten sein, zunächst auf einige schnelle Erfolge hinzuarbeiten, statt gleich auf eine umfassende SOC-Lösung mit breiten Funktionen. Wählen Sie einige geschäftskritische Anwendungsfälle aus, anhand derer Sie die Ausgangslösung entwerfen. Denken Sie aber daran, dass die Lösung skalierbar sein muss, um künftig weiteren Anforderungen gerecht werden zu können. Wenn die Ausgangslösung enger gesteckt ist, können Sie sie schneller implementieren und Resultate erzielen. Wichtige Maßnahmen bei der Konzeption der SOC-Lösung sind:
A. Definieren der funktionellen Anforderungen. Diese sollten mit den Geschäftszielen verknüpft werden, wo immer dies relevant ist.
Zu den Anforderungsbereichen gehören:
i. Ermitteln der Quellen für Log- und Ereignisdaten, die überwacht werden sollen
ii. Ermitteln der Quellen für Threat Intelligence, die genutzt werden sollen
iii. Bestimmen der Leistungsanforderungen, zum Beispiel Antwortzeiten
B. Ein SOC-Modell wählen. Dabei sollten Sie sich an den eben definierten Funktionsanforderungen und der in Schritt 1 definierten Strategie orientieren. Sie müssen hier eine Reihe von Entscheidungen treffen: zum Beispiel, wann eigenes Personal und wann Outsourcer eingesetzt werden, welche Aufgaben das SOC erfüllen wird und wie viele VZÄ pro Funktion benötigt werden.
C. Entwurf der technischen Architektur. Dazu gehört:
i. Planen der Zusammensetzung und Konfiguration der Lösungskomponenten, insbesondere der TLM-Plattform
ii. Ermitteln der Geschäftssysteme, Informationssysteme etc., die mit der TLM-Plattform integriert werden sollen, um Geschäftskontext für die Sicherheitsereignisse zu liefern
iii. Definieren der Workflows für Ereignisse und Vorfälle im Einklang mit den bestehenden Prozessen des Unternehmens
iv. Planen für eine weitestmögliche Automatisierung der Lösung. Dazu gehören die Technologien, die nötig sind, um vollständigen Überblick über die Bedrohungen für die Systeme und Daten zu gewinnen, die anfänglich durch das SOC überwacht werden, und Angriffe möglichst früh abzuwehren
v. Prüfen, ob die technische Architektur solide ist, zum Beispiel mittels Planübungen für alle Anwendungsfälle, bei denen potenzielle Probleme ermittelt werden
Schritt 1: Eine Strategie entwickeln
Schritt 2: Die Lösung planen
EIN EIGENES SOC AUFBAUEN – MIT BESCHRÄNKTEN RESSOURCEN
SEITE 13WWW.LOGRHYTHM.COM
Diese müssen alle sechs Phasen des TLM abdecken. Wenn das SOC teilweise mit Outsourcing-Mitarbeitern betrieben wird, muss gemeinsam mit dem Outsourcer sichergestellt werden, dass die Prozesse, Prozeduren und Schulungsmaßnahmen auf beiden Seiten dies berücksichtigen.
Bevor die SOC-Lösung zum Einsatz kommt, müssen unbedingt alle nötigen Maßnahmen ergriffen werden, um eine sichere Umgebung zu gewährleisten. Wichtig ist zum Beispiel, die Desktops, Laptops und Mobilgeräte der SOC-Mitarbeiter richtig abzusichern; sichere Fernzugriffe für die Mitarbeiter (und ggf. Outsourcing-Mitarbeiter) zu ermöglichen, die mit der SOC-Lösung kommunizieren; und eine starke Authentifizierung zu gewährleisten – zumindest bei Fernzugriffen auf das SOC, am besten aber auch bei lokalen.
Der Schlüssel zur Implementierung der Lösung selbst besteht darin, das Potenzial der Technologie voll auszuschöpfen, um die Belastungen für die Mitarbeiter zu minimieren. Dies ist ein von unten nach oben gerichteter Prozess, beginnend mit:
A. Bereitstellung der Log-Management-Infrastruktur
B. Eingliedern der Mindestsammlung von Quellen für wichtige Daten
C. Bereitstellung der Analysefunktionen
D. Integrieren der Funktionen zur Automatisierung und Orchestrierung von Sicherheitsmaßnahmen
E. Mit der Implementierung von Anwendungsfällen beginnen, die auf die durchgehende Erkennung und Bewältigung von Bedrohungen fokussieren
Weiterhin ist es wichtig, nahtlose Interoperabilität mit anderen Systemen zu gewährleisten – sowohl um Daten aus verschiedenen Quellen zu sammeln als auch, um Aktionen und Befehle auszulösen, damit Kontextinformationen genutzt, Bedrohungen eingedämmt
und Probleme im Einklang mit den Workflows behoben werden können. Insbesondere Letzteres erleichtert es, die mittlere Erkennungszeit zu verringern und auf Vorfälle zu reagieren. Auch sollte die Lösung Threat Intelligence Feeds und sonstige Informationsquellen als automatisierte Inputs nutzen, um die Genauigkeit der Erkennung zu verbessern.
Wenn die Funktionalitäten der Lösung bereitstehen, können Sie Anwendungsfälle für Analysen sowie für die Automatisierung und Orchestrierung von Sicherheitsmaßnahmen implementieren, wie etwa die Erkennung kompromittierter Benutzernachweise und erfolgreicher Spear-Phishing-Kampagnen. Sie sollten Tests während verschiedener Schichten und Schichtwechsel durchführen. Insbesondere müssen alle zuvor erwähnten Formen der Lösungsautomatisierung gründlich getestet werden. Auch sollten Sie so gut wie möglich prüfen, ob die Mitarbeiter aus der Ferne sicher und zuverlässig auf die Lösung zugreifen können.
Wenn die Lösung voll im Einsatz ist, muss sie laufend verwaltet werden. So werden Sie beispielsweise immer wieder Konfigurationseinstellungen aktualisieren und Feinabstimmungen vornehmen müssen, damit Bedrohungen präziser erkannt werden. Oder Sie müssen weitere Systeme als Inputs oder Outputs zu der Lösung hinzufügen. Auch andere Maßnahmen werden von Zeit zu Zeit erforderlich sein, so etwa eine Überprüfung des SOC-Modells, der SOC-Rollen, der Mitarbeiterzahlen und so weiter, damit nötige Anpassungen vorgenommen werden können.
Der Schlüssel zur Implementierung der Lösung selbst besteht darin, das Potenzial der Technologie voll auszuschöpfen, um die Belastungen für die
Mitarbeiter zu minimieren.
Schritt 3: Prozesse, Prozeduren und Schulungsmaßnahmen entwickeln
Schritt 4: Die Umgebung vorbereiten
Schritt 5: Die Lösung implementieren
Schritt 6: Durchgehende Anwendungsfälle implementieren
Schritt 7: Verwalten und ausbauen
EIN EIGENES SOC AUFBAUEN – MIT BESCHRÄNKTEN RESSOURCEN
SEITE 14WWW.LOGRHYTHM.COM
FazitDie Einrichtung eines Security Operations Centers ist heute eine unbedingte Voraussetzung dafür, Threat Lifecycle Management implementieren und damit die Schäden durch erfolgreiche Angriffe minimieren zu können. Ein ressourcensparendes SOC ist die optimale Lösung für Unternehmen, die die immensen Ausgaben für ein formales SOC nicht rechtfertigen und den unzureichenden Schutz durch ein informales SOC nicht akzeptieren können.
Die Plattform von LogRhythm ist die ideale Technologie zum Aufbau eines SOCs. Unternehmen, die diese Strategie anwenden, können sofortige und laufende Kostenersparnisse im Vergleich zu allen anderen SOC-Modellen erzielen. Und sie können mit dieser Strategie ihre Risiken erheblich reduzieren. Die Plattform von LogRhythm bietet Unternehmen folgende spezifische Vorteile:
• Nutzt hochentwickelte Funktionalitäten zur Erkennung und Analyse von Bedrohungen, zum Beispiel User and Entity Behaviour Analytics. Damit lassen sich zahlreiche Bedrohungen finden und einschätzen, die mit anderen Mitteln schwer erkannt werden. Besonders hilfreich ist dies, wenn es gilt, Versuche von Mitarbeitern zu erkennen, auf sensible Daten zuzugreifen und sie zu stehlen.
• Verfügt über anspruchsvolle Workflow-Funktionen, um die Verantwortung für spezifische Aufgaben auf andere Personen oder Rollen zu übertragen, wann immer es nötig ist. Dies hält die Dinge im Fluss und minimiert Missverständnisse, die Aktionen unbeabsichtigt verzögern oder bewirken könnten, dass Arbeit doppelt gemacht wird.
• Automatisiert die Orchestrierung von Vorfallsreaktionen, damit alle beteiligten Personen sofort Zugriff auf die nötigen Informationen haben.
LogRhythms Funktionalitäten zur Automatisierung und Orchestrierung von Sicherheitsmaßnahmen verbessern die Effizienz und Effektivität der Vorfallsreaktionen erheblich.
Über LogRhythmLogRhythm, ein führender Anbieter von Threat Lifecycle Management, unterstützt Unternehmen weltweit dabei, gefährliche Cyber-Bedrohungen schnell aufzuspüren, abzuwehren und zu entschärfen. Die patentierte, preisgekrönte Plattform des Unternehmens vereint auf einzigartige Weise SIEM der nächsten Generation mit Log-Management, Netzwerk- und Endpunktüberwachung, User Entity and Behaviour Analytics (UEBA), Automatisierung und Orchestrierung von Sicherheitsmaßnahmen (SAO) sowie fortschrittlichen Sicherheitsanalysen. LogRhythm schützt die Kunden nicht nur vor den Risiken in Zusammenhang mit Cyber-Bedrohungen, sondern bietet darüber hinaus einzigartige Funktionalitäten zur Automatisierung und Gewährleistung der Compliance sowie erweiterte IT-Intelligence.
LogRhythm hat bereits zahlreiche Branchenauszeichnungen erhalten. Dazu zählen die Einstufung als „Leader“ in Gartners SIEM Magic Quadrant, ein „Recommended“-Rating für SIEM und UTM von SC Labs (2017) sowie die Auszeichnung als „Beste SIEM-Lösung“ bei den „Best of 2016 Awards“ des SANS Institutes.
Fordern Sie noch heute eine maßgeschneiderte Demo an, um
zu erfahren, wie Sie mit LogRhythm Ihr eigenes SOC aufbauen
können: logrhythm.com/schedule-online-demo-TLM-emea/
EIN EIGENES SOC AUFBAUEN – MIT BESCHRÄNKTEN RESSOURCEN
SEITE 15WWW.LOGRHYTHM.COM
Über James CarderJames Carder ist seit mehr als 20 Jahren als IT-Sicherheitsexperte in Unternehmen und als Consultant für Fortune-500-Firmen und die US-Regierung tätig. In seiner Position als CISO und Vice President von LogRhythm Labs entwickelt und pflegt er das Security-Governance-Modell
und die Risikostrategien des Unternehmens, schützt die Vertraulichkeit, Integrität und Verfügbarkeit der IT-Assets und leitet das Bedrohungs- und Schwachstellenmanagement sowie das Security Operations Centre (SOC). Zudem ist Carder verantwortlich für die Mission und strategische Vision der Teams, die in den LogRhythm Labs für Machine Data Intelligence, strategische Integrationen, Bedrohungsforschung und Compliance zuständig sind.
Vor seinem Eintritt bei LogRhythm war James Carder als Director of Security Informatics bei Mayo Clinic beschäftigt. Dort unterstanden ihm die Bereiche Threat Intelligence, Incident Response, Security Operations und Offensive Security. Davor war Carder in leitender Funktion bei Mandiant tätig und verantwortete die professionellen Dienste und Behandlung von Sicherheitsvorfällen. Zudem hat Carder strafrechtliche Ermittlungsmaßnahmen und Untersuchungen zur nationalen Sicherheit auf kommunaler, Staats- und Bundesebene geleitet. Dazu zählten unter anderem solche, in denen es um Advanced Persistent Threats (APT) und den Diebstahl von Kreditkartendaten ging.
James Carder ist ein gefragter Redner bei Veranstaltungen zum Thema Cybersicherheit und hat sich auch mit einer Reihe von Publikationen zu diesem Thema einen Namen gemacht. Er hat die Walden University mit einem Bachelor of Science-Grad im Fach Computer-Informationssysteme abgeschlossen und an der Carlson School of Management der University of Minnesota einen MBA-Grad erworben. Zudem ist er Certified Information Systems Security Professional (CISSP).
Kontakt: +49 89 919292 - 200 [email protected] | www.logrhythm.com Balanstraße 73 - Haus 7, 81541 München, Deutschland