EIN EIGENES SOC AUFBAUEN – MIT BESCHRÄNKTEN … · 2020-03-29 · Am Lebenszyklus von Cyberangriffen lässt sich erkennen, dass Unternehmen oft zahlreiche ... Zwei Arten von Analysen

EIN EIGENES SOC AUFBAUEN – MIT BESCHRÄNKTEN RESSOURCENBedrohungen schnell erkennen und bekämpfen, auch ohne ein 24x7 SOC

Von James Carder CISO und Vice President von LogRhythm, LogRhythm Labs

Menschen

Prozesse

Technologien

Inhalt

3 Einleitung

4 Der Lebenszyklus eines Cyberangriffs

5 Grundlagen des Threat Lifecycle Managements

7 Was macht ein effektives SOC aus? Das Zusammenwirken von Menschen, Prozessen und Technologien

Menschen

Prozesse

Technologien

10 Abschätzung von SOC-Kosten und Einsparungen

11 Vergleich der Kosten für verschiedene SOC-Personalmodelle

12 Schritte zum Aufbau eines SOCs mit begrenzten Ressourcen

Eine Strategie entwickeln

Die Lösung planen

Prozesse, Prozeduren und Schulungsmaßnahmen entwickeln

Die Umgebung vorbereiten

Die Lösung implementieren

Durchgehende Anwendungsfälle implementieren

Verwalten und ausbauen

14 Fazit

15 Über James Carder

SEITE 3WWW.LOGRHYTHM.COM

EIN EIGENES SOC AUFBAUEN – MIT BESCHRÄNKTEN RESSOURCEN

EinleitungManche Unternehmen haben ein formales Security Operations Center (SOC). Formale 24x7 SOCs sind streng abgesicherte Bereiche, in denen speziell geschultes Personal die Systeme tagtäglich rund um die Uhr auf Bedrohungen überwacht. Auf Basis der Sicherheitskontrollen ihres Unternehmens suchen sie nach möglichen Anzeichen für Eindringlinge und Kompromittierungen, auf die die Incident Responder dann eventuell reagieren müssen.

Für die allermeisten Unternehmen ist ein 24x7 SOC jedoch leider nicht erschwinglich. Die Kosten, die entstehen, wenn kompetente Sicherheitsanalytiker jederzeit vor Ort sein müssen, übersteigen für fast jedes Unternehmen die Vorteile. Deshalb behelfen sich die meisten Unternehmen entweder mit einem informalen SOC, bestehend aus einigen wenigen Mitarbeitern, die auch noch viele andere Aufgaben haben, oder sie haben überhaupt kein SOC und müssen im Bedarfsfall Personal aus anderen Bereichen heranziehen. Die Systeme werden nicht rund um die Uhr konsequent auf Sicherheitsereignisse überwacht. Deshalb wird auf viele Vorfälle erst mit erheblicher Verzögerung reagiert, und andere werden überhaupt nicht bemerkt. Das ist eine gefährliche Situation, die zu gravierenden Cybervorfällen führen kann. Zudem werden die Analytiker kaum Zeit haben, proaktiv nach Bedrohungen und Angriffen Ausschau zu halten. Und wenn es zu einem Sicherheitsvorfall kommt, können viele Unternehmen nicht effizient und effektiv reagieren, weil keine formalen Incident-Response-Prozesse und -Funktionen existieren.

Für dieses Dilemma – untragbare Kosten eines formalen SOCs und gänzlich unzureichender Schutz durch ein informales – gibt es jedoch eine Lösung: Unternehmen können ein SOC aufbauen, in dem die Aufgaben weitmöglichst automatisiert sind. Die Automatisierung erleichtert es dem Team, die Umgebung laufend auf Sicherheitsvorfälle zu prüfen und Ereignisse zu analysieren, um mögliche Eindringlinge zu erkennen. Zudem können Ereignisreaktionen automatisiert und orchestriert werden, was die Behandlung von Sicherheitsvorfällen verbessert und beschleunigt. Eine Plattform für Threat Lifecycle Management ist die ideale Grundlage für ein SOC, weil sie all diese automatisierten Funktionalitäten in einem einzigen, voll integrierten System bereitstellt.

Dieses Whitepaper will Ihnen zeigen, wie Sie auch dann erfolgreich ein eigenes SOC aufbauen können, wenn Ihre Ressourcen beschränkt sind. Zunächst erläutert das Paper, wie der Lebenszyklus eines Cyberangriffs verläuft und warum Angriffe mittels Threat Lifecycle Management frühzeitig gestoppt werden müssen. Danach folgen grundlegende Informationen zu SOCs und ihren Erfordernissen hinsichtlich Menschen, Prozessen und Technologien. Und schließlich beschreibt das Paper eine Methode, um mit begrenzten Mitteln ein SOC aufzubauen, und fokussiert dabei vor allem auf Taktiken, die einen einfachen und erfolgreichen Rollout ermöglichen. Wenn Sie das Paper gelesen haben, sollten Sie in der Lage sein, die Planung Ihres eigenen SOCs in Angriff zu nehmen.



Am Lebenszyklus von Cyberangriffen lässt sich erkennen, dass Unternehmen oft zahlreiche Gelegenheiten haben, einen laufenden Angriff zu entdecken und zu stoppen, da ein

einziger Angriff viele Schritte umfasst.

Der Lebenszyklus eines CyberangriffsUm das Threat Lifecycle Management (TLM) Framework verstehen zu können, das die Grundlage des SOC-Betriebs bildet, müssen Sie zunächst wissen, wie der Lebenszyklus eines Cyberangriffs aussieht. Er besteht aus sechs Phasen:

Abb. 1: Der Lebenszyklus eines Cyberangriffs

Phase 5: ZielerreichungBei der endgültigen Systemkompromittierung erlangt der Angreifer Zugang zu dem System, auf das er es letztlich abgesehen hat.

Phase 6: Exfiltration, Schädigung, StörungNun kann der Angreifer seine eigentliche Absicht ausführen – zum Beispiel sensible Daten aus dem System ausschleusen oder den Geschäftsbetrieb des Unternehmens stören, indem er Dateien oder Datenbanken auf dem Zielsystem beschädigt.

Am Lebenszyklus von Cyberangriffen lässt sich erkennen, dass Unternehmen oft zahlreiche Gelegenheiten haben, einen laufenden Angriff zu entdecken und zu stoppen, da ein einziger Angriff viele Schritte umfasst. Je früher das Unternehmen den Angriff feststellt, desto größer die Wahrscheinlichkeit, dass es rechtzeitig reagieren und eine gravierende Datenpanne oder einen anderen schwerwiegenden Sicherheitsvorfall verhindern kann.

Phase 1: ErkundungDiese Phase kann ein breites Spektrum von Aktivitäten umfassen. Im Wesentlichen geht es für den Angreifer jedoch darum, ein Ziel zu ermitteln und zu entscheiden, wie er den Angriff darauf einleiten soll.

Phase 2: Erstes EindringenIn der nächsten Phase attackiert der Angreifer ein System im internen Netzwerk und verschafft sich Zugriff darauf. Dieses System ist in der Regel nicht sein endgültiges Ziel.

Phase 3: SteuerungDer Angreifer installiert Tools auf dem kompromittierten System, um laufend darauf zugreifen zu können.

Phase 4: SeitwärtsbewegungenAls nächstes nutzt der Angreifer das kompromittierte System und dessen Benutzerkonten, um weitere angreifbare Systeme zu ermitteln. Dieser Vorgang kann mehrmals wiederholt werden, sodass sich der Angreifer nach und nach durch das gesamte Unternehmen bewegen kann.



Grundlagen des Threat Lifecycle ManagementsThreat Lifecycle Management ist die entscheidende Voraussetzung, um Angriffe in einer möglichst frühen Phase ihres Lebenszyklus zu erkennen und zu stoppen. TLM vereint zahlreiche Fähigkeiten und Funktionen, die es ermöglichen, neue Bedrohungen und Angriffe auf die Unternehmenssysteme zu erkennen; festzustellen, welche Risiken sie mit sich bringen; die Risiken zu minimieren; und die nötigen Maßnahmen zu ergreifen, um den Normalbetrieb wieder aufnehmen zu können. TLM hat das Ziel, schädliche Cybervorfälle, die durch erfolgreiche Angriffe auf Systeme, Netzwerke und Daten verursacht werden können, umfassend zu bewältigen beziehungsweise zu verhindern.

Damit Ihr SOC die mittlere Erkennungszeit (Mean Time to Detect, MTTD) und mittlere Reaktionszeit (Mean Time to Respond, MTTR) kosteneffizient verkürzen kann, müssen Sie die sechs Phasen des TLM-Frameworks implementieren, um Bedrohungen durchgehend zu erkennen und zu bewältigen. Sehen wir uns zunächst das TLM-Framework näher an, das die Grundlage eines effizienten und funktionalen SOCs bildet, bevor wir uns der Frage zuwenden, wie sich ein SOC von Grund auf aufbauen lässt.

Forensische Daten sammelnIn dieser Phase geht es darum, kontinuierlich Daten aus Quellen zu sammeln, die möglicherweise

Hinweise auf Angriffe aufzeichnen. Drei der wichtigsten Daten dieser Art sind:

Daten zu SicherheitsereignissenDie meisten Unternehmen verfügen über ein ganzes Arsenal an Sicherheitsprodukten, um zu verhindern, dass ein breites Spektrum von Angriffen erfolgreich ausgeführt werden kann. Manchmal können solche Technologien jedoch nur warnen, dass ein Angriff im Gang sein könnte, und zu diesem Zweck Alarme generieren. Die Herausforderung besteht darin, schnell festzustellen, auf welche Alarme und Ereignisse sich die Sicherheitsmitarbeiter konzentrieren sollen – denn sie erhalten möglicherweise täglich Zehntausende davon.

Log- und MaschinendatenLogdaten – per Benutzer, per System oder per Anwendung erfasst – können Ihnen tieferen Einblick in Ihre IT-Umgebung vermitteln und zeigen, wer was wann und wo getan hat. Dieser ergiebige Datenfundus kann Untersuchungen verdächtiger Vorgänge verbessern und beschleunigen. Zudem lässt sich anhand dieser Daten erkennen, was in der IT-Umgebung normal ist. Damit unterstützen

die Daten maschinelle Analysen zur Erkennung von Verhaltensauffälligkeiten, die darauf hindeuten können, dass ein komplexerer Angriff stattfindet.

Daten von forensischen SensorenWenn Ihr Unternehmen Sicherheits- und Logdaten bereits effektiv erfasst, können forensische Sensoren noch tiefere und breitere Sichtbarkeit vermitteln. Die Daten, die solche Sensoren liefern, können Lücken füllen, wo keine Protokolle vorhanden sind oder nicht genügend forensische Details zur Verfügung stehen. Es gibt zwei Hauptarten von forensischen Sensoren:

• Forensische Sensoren für Netzwerke, die Pakete und Datenflüsse erfassen

• Forensische Sensoren für Endpunkte (z.B. EDR-Agenten), die alle Aktivitäten auf dem überwachten System mit hoher Zuverlässigkeit aufzeichnen können

Zudem können Daten von forensischen Sensoren die Effizienz der Untersuchungen und Vorfallsreaktionen erhöhen. Sie ermöglichen bessere und leistungsfähigere maschinelle Verfahren, mit denen sich selbst die raffiniertesten Angriffe erkennen lassen.

Abb. 2: Die Phasen des Threat Lifecycle Management Frameworks



EntdeckenIn der Entdeckungsphase werden die gesammelten Daten analysiert, um potenzielle Bedrohungen

zu ermitteln. Zwei Arten von Analysen finden hier statt: Suchanalysen und maschinelle Analysen. Die Suchanalysen werden von Menschen durchgeführt, unterstützt von Technologien, die verschiedene Optionen für die Suche und die Anzeige der Daten eröffnen. Maschinelle Analysen werden automatisch von Software ausgeführt. Dabei werden verschiedene hochentwickelte Techniken kombiniert, darunter maschinelles Lernen, um aus den enormen Datenmengen die potenziellen Bedrohungen herauszufiltern.

BewertenJede potenzielle Bedrohung muss genauer bewertet werden, um festzustellen, ob sie

tatsächlich Anlass zur Besorgnis gibt, wie gravierend das Risiko ist und ob es weiter untersucht oder eingedämmt werden muss. In dieser Phase werden auf Basis der maschinellen Analysen Alarme generiert und dann geprüft, bewertet und priorisiert.

UntersuchenSobald eine Bedrohung identifiziert ist, muss sie vollständig untersucht werden, um eindeutig

festzustellen, ob ein Sicherheitsvorfall stattgefunden hat oder im Gang ist. In dieser Phase kommt es darauf an, dass schnell auf forensische Daten und Sicherheitserkenntnisse zugegriffen werden kann. Die Automatisierung investigatorischer Routineaufgaben sowie Tools für eine bereichsübergreifende Zusammenarbeit sind ideale Mittel, um die mittlere Reaktionszeit optimal zu verkürzen (s. Abb. 3). Idealerweise verfügt Ihr Team über ein System, über das alle aktiven und früheren Untersuchungen verfolgt werden können, sodass diese Informationen gut strukturiert und für künftige Nachforschungen verfügbar sind.

NeutralisierenDas oberste Ziel der Neutralisierungsphase ist es, das Risiko zu entschärfen, das durch die

Bedrohung entsteht. Welche Schritte hier notwendig sind, hängt davon ab, wie weit die Bedrohung bereits fortgeschritten ist. Häufige Maßnahmen sind jedoch die Isolierung kompromittierter Systeme und die Deaktivierung von Benutzerkonten, deren Zugangsdaten gestohlen wurden.

WiederherstellenIn der letzten Phase, der Wiederherstellung, geht es darum, zum Normalbetrieb zurückzukehren

und dafür zu sorgen, dass die Bedrohung künftig keinen ähnlichen Angriff mehr erfolgreich ausführen kann. In

diesem Stadium werden ausgenutzte Sicherheitslücken ermittelt und geschlossen, damit sie kein Einfallstor mehr darstellen. Systeme werden neu aufgebaut, Benutzerdaten zurückgesetzt und veränderte Daten mittels Backups wiederhergestellt, damit der Betrieb wieder anlaufen kann. Auch viele weitere Aufgaben fallen in dieser Phase an. Beispielsweise werden Berichte zu den Ursachen des Vorfalls erstellt; es wird geprüft, wie effektiv und effizient reagiert wurde; und die Sicherheitsverfahren des Unternehmens werden anhand der Lehren angepasst, die man aus dem Vorfall gezogen hat.

Wie die beiden Zeitpfeile oben in Abb. 2 zeigen, geht es bei den ersten drei TLM-Phasen um die Erkennung und bei den nächsten beiden um die Reaktion. Damit Bedrohungen in einem möglichst frühen Stadium des Angriffslebenszyklus erkannt werden, müssen die Erkennungsschritte des TLMs laufend durchgeführt werden. Und ähnlich müssen auch die Reaktionsschritte sehr schnell durchgeführt werden, sobald sie erforderlich werden. Die Kombination aus nahezu sofortiger Erkennung und schneller Reaktion erleichtert es, Attacken zu ermitteln und zu stoppen, lange bevor die Angreifer ihre endgültigen Ziele erreicht haben.

Rund um die Uhr alle Systeme überwachen, Bedrohungen erkennen und auf sie reagieren zu müssen ist bereits eine gewaltige Herausforderung. Noch größer wird sie jedoch aufgrund der schieren Datenmengen. Menschen sind weder imstande, all diese Daten zeitnah zu sichten, noch können sie Daten aus unterschiedlichen Zeiten sofort korrelieren, um einem ernsthaften Angriff auf die Spur zu kommen – schon gar nicht, wenn kein großes Team zur Verfügung steht. Deshalb ist TLM in der Praxis nur mit einem hohen Maß an Automatisierungstechniken realisierbar: So viele Aufgaben wie möglich werden automatisch erledigt, während Menschen nur eingesetzt werden, wo es unumgänglich ist.

Abb. 3: Wie folgenreich eine Sicherheitspanne ist, hängt direkt von der mittleren Erkennungszeit (MTTD) und der mittleren Reaktionszeit (MTTR) ab.



Ganz gleich, wie stark ein SOC automatisiert ist – Menschen werden immer unverzichtbar bleiben. Die beiden grundlegendsten Rollen, die in einem SOC besetzt sein müssen, sind die des Sicherheitsanalytikers und die des Incident Responders. Analytiker werden vor allem in den Monitoring- und Erkennungsphasen des TLMs benötigt. Zu ihren typischen Aufgaben gehört es, die Alarme aus der TLM-Plattform zu überwachen und vorläufig einzuschätzen, um zu entscheiden, auf welche die Incident Responder reagieren müssen. Aufgaben der Incident Responder können sein:

• Durchführen gründlicherer Analysen zu verdächtigen Sicherheitsereignissen mithilfe von:

- Suchfunktionen

- Quellen für Threat Intelligence

- Grundlegenden forensischen Techniken

- Tools zur Malware-Analyse

• Durchführen reaktiver Maßnahmen, wenn ein Vorfall dies erfordert

• Informieren der Vorgesetzten über den Stand der Vorfallsbehandlung.

Weitere mögliche SOC-Rollen sind forensische Analytiker und Spezialisten für die Rückkonstruktion von Malware.

Und schließlich benötigt jedes SOC zeitweise einen Sicherheitsarchitekten. Der Sicherheitsarchitekt ist typischerweise ein Mitarbeiter der Sicherheitsabteilung, der das Sicherheitsprogramm und die Infrastruktur des Unternehmens sehr genau kennt. Er sollte beim Aufbau der anfänglichen SOC-Lösung mitwirken und ihre Implementierung überwachen, um zu gewährleisten, dass sie effizient und effektiv ist. Im Lauf der Zeit kann der Sicherheitsarchitekt dann Anpassungen für die SOC-Lösung planen und umsetzen, darunter auch Erweiterungen, um neuen Anforderungen gerecht zu werden. Die Funktion des Sicherheitsarchitekten ist besonders

Ein SOC mit einer effektiven TLM-Plattform bietet hochentwickelte und komplett integrierte Automatisierungstechniken für alle sechs TLM-Phasen. Die TLM-Plattform bringt Menschen, Prozesse und Technologien zusammen und ermöglicht so einen effizienten Sicherheitsbetrieb. Dadurch wird weniger Personal gebraucht, und da die Zusammenarbeit über die TLM-Plattform erfolgt, kann das SOC-Team dezentral arbeiten.

Wie wichtig Automatisierung für ein SOC ist, kann gar nicht genug betont werden. Denken wir etwa an einen Vorfall, der sehr häufig auftritt – eine Phishing-Kampagne. Eine leistungsfähige TLM-Plattform kann hier automatisch nahezu alle Aspekte der Erkennung, Reaktion und Problembehebung übernehmen:

• Erkennen der Kampagne und Untersuchung ihres Zwecks und Umfangs

• Abgleich der festgestellten Angriffsmerkmale mit Bedrohungsinformationen, um die Bedrohung besser zu verstehen

• Automatisierung der gesamten Problembehebung: Bedrohung blocken, damit die Kampagne nicht fortgesetzt werden kann; alle Phishing-Mails aus den Postfächern der Benutzer löschen; feststellen, ob bösartige Payloads von Phishing-Mails heruntergeladen und installiert wurden; infizierte Systeme in Quarantäne stellen; Schadcode von den Systemen entfernen

• Erstellen eines Berichts zu dem Vorfall und Versand an die relevanten Empfänger

Ähnlichen Nutzen kann eine TLM-Plattform, die SOC-Abläufe automatisiert, auch bei anderen Formen von Angriffen und Bedrohungen bieten. Das bedeutet, dass das Unternehmen nur eine kleine Anzahl von Analyse-Spezialisten für die komplexesten und schwierigsten Probleme benötigt, anstatt Legionen von Mitarbeitern, die die meiste Zeit mit langwierigen Routineaufgaben verbringen. Zudem verbessert Automatisierung die Effizienz des SOC-Betriebs erheblich. Sicherheitsvorfälle können viel schneller erkannt, gestoppt und bewältigt werden, was die Schäden und Kosten minimiert.

In den folgenden Abschnitten wird näher erläutert, wie Menschen, Prozesse und Technologien in einem TLM-gestützten SOC zusammenwirken.

Was macht ein effektives SOC aus? Das Zusammenwirken von Menschen, Prozessen und Technologien

Menschen



wichtig, weil seine Entscheidungen erheblichen Einfluss auf das Sicherheitsprogramm und damit auf das gesamte Unternehmen haben werden.

Für die Personalausstattung des SOCs stehen Unternehmen eine ganze Reihe von Optionen zur Verfügung. Einige Beispiele für mögliche Modelle:

Komplett ausgelagertBei diesem Modell werden alle SOC-Aufgaben von einem Managed Security Service Provider (MSSP) oder anderen Outsourcern übernommen. Der Outsourcer kontaktiert das Unternehmen nur, wenn es an Incident-Response-Maßnahmen mitwirken oder eine Frage zu den speziellen Merkmalen der IT-Umgebung beantworten muss.

Hybrid (eigene Mitarbeiter plus Outsourcing)Bei Hybrid-Modellen sind während der Kerngeschäftszeiten oft unternehmenseigene Mitarbeiter anwesend, während Outsourcer den Rest abdecken. So könnte beispielsweise ein Unternehmen mit einem 8x5-Arbeitszeitkonzept Personal für mindestens zwei Vollzeitäquivalente (VZÄ) benötigen: ein Sicherheitsanalytiker-VZÄ und Incident-Responder-VZÄ. Alle Aufgaben, die außerhalb der Geschäftszeiten anfallen, werden ausgelagert, ebenso wie alle Tätigkeiten, für die der Sicherheitsanalytiker und der Incident Responder nicht zuständig sind.

Ein anderes Hybrid-Modell könnte folgendermaßen aussehen: Das hausinterne SOC wird durch einen MSSP ergänzt, der 24x7-Monitoring durchführt. Der MSSP erstellt Anwendungsfälle, die genau auf das Unternehmen zugeschnitten sind. Voraussetzung für den Erfolg eines solchen Hybrid-Modells ist, dass der MSSP möglichst viel geschäftlichen Kontext erhält, damit er den Anforderungen und Erwartungen des Unternehmens gerecht werden kann.

Komplett im eigenen HausOptionen für ein vollständig hausinternes SOC können sein:

• 24x7 SOC: Wenn das SOC 24x7 von eigenen Mitarbeitern betrieben werden soll, muss ein Unternehmen mehrere Sicherheitsanalytiker-VZÄ und mehrere Incident-Responder-VZÄ besetzen. Zudem müssen auch die meisten Spezialaufgaben von eigenen Mitarbeitern erledigt werden. Outsourcing wird minimiert.

• 8x5 SOC: Unternehmen verringern ihr Risiko bereits enorm, wenn sie während der Geschäftszeiten (oder auch nur einem Teil davon) effektives Threat Lifecycle Management betreiben. Am erfolgreichsten ist diese Option jedoch, wenn das 8x5 SOC eine TLM-Plattform nutzt, die Aufgaben automatisiert und unterstützt. Um auszugleichen, dass das SOC nicht 24x7 besetzt ist, können automatische Eskalationen und Benachrichtigungen an die Analytiker eingerichtet werden, abhängig davon, wie kritisch ein Alarm ist und welche Auswirkungen er hat.

Unabhängig vom Personalmodell benötigt jedes SOC Prozesse. Die Technologie schließt die Menschen und Prozesse zusammen – zum Beispiel, wenn eine TLM-Plattform einen Sicherheitsanalytiker über einen Vorfall informiert, um den dieser sich sofort kümmern muss, oder ein Incident Responder eine TLM-Plattform anweist, eine Aufgabe für ihn zu erledigen. Prozesse erleichtern aber auch den Mitarbeitern die Zusammenarbeit. So könnte etwa ein Sicherheitsanalytiker in der TLM-Plattform eine Reihe von Ereignissen markieren, die ein Incident Responder näher untersuchen muss. Die TLM-Plattform bietet Workflow-Funktionalitäten, die die Verantwortung für die Aufgabe dann vom Sicherheitsanalytiker auf den Incident Responder übertragen.

TLM-Plattformen eröffnen SOCs aber auch wesentlich komplexere Möglichkeiten im Hinblick auf Kommunikation, Zusammenarbeit, Workflows und Orchestrierung. Bei einem großen Zwischenfall werden möglicherweise zahlreiche Sicherheitsanalytiker, Incident Responder und Forensikspezialisten zusammenarbeiten, und auch andere Mitarbeiter im Unternehmen könnten in die Problembehebung involviert sein, so etwa System- und Netzwerkadministratoren. Wenn ein Unternehmen eine TLM-Plattform und ein SOC mit den bestehenden Geschäftsprozessen und Arbeitsabläufen integriert, kann dies die Akzeptanz des SOCs und seine Funktionsfähigkeit fördern. Zudem wird sichergestellt, dass im gesamten Unternehmen schnelle und effektive Maßnahmen ergriffen werden, um Bedrohungen zu erkennen und zu beseitigen. Damit wird ein Fehler vermieden, den viele Unternehmen begehen – nämlich zu erzwingen, dass alle bestehenden Geschäftsprozesse verändert werden, um sie an das SOC anzupassen.

Das Vorhandensein einer TLM-Plattform ist in diesen Fällen entscheidend, da die Plattform durch Automatisierung und Orchestrierung der Sicherheitsmaßnahmen gewährleistet, dass jeder über den aktuellen Status Bescheid weiß und auf alle nötigen Informationen zugreifen kann. Zudem kann die TLM-Plattform dem Personal die nötigen Tools bieten, um zusammenzuarbeiten und Aufgaben von einem Mitarbeiter oder Team auf andere zu übertragen. Und schließlich ermöglichen TLM-Plattformen die Überprüfung von Arbeitsabläufen, um sicherzustellen, dass nichts übersehen oder zu langsam erledigt wird.

Prozesse



So unterstützt LogRhythm Ihr SOCLogRhythm schließt unterschiedliche,

herkömmlicherweise getrennte

Lösungen in einer Plattform

zusammen und ermöglicht dadurch

umfassendes Threat Lifecycle

Management. Mit der Plattform

von LogRhythm steht Ihrem SOC

eine einheitliche Konsole zur

Verfügung, um Alarme zu prüfen,

Bedrohungen zu untersuchen und auf

Sicherheitsvorfälle zu reagieren.

Die patentierten Analysefunktionen

von LogRhythm automatisieren

die Erkennung und Priorisierung

realer Bedrohungen. Zudem bietet

die Plattform Mechanismen, um

die Abläufe bei der Behandlung

von Sicherheitsvorfällen zu

orchestrieren und zu automatisieren.

Dank der umfassenden TLM-

Funktionalitäten, kombiniert mit

effektiver Automatisierung, kann Ihr

SOC effizienter und wirkungsvoller

arbeiten und so die mittlere

Erkennungs- und Reaktionszeit

verkürzen.

Mit der Plattform von LogRhythm

können Unternehmen ein

kosteneffektives SOC aufbauen,

das die Risiken verringert und

gravierende Datenpannen und andere

Kompromittierungen verhindert.

Zugleich können Unternehmen

die Fähigkeiten ihrer Mitarbeiter

wesentlich besser nutzen und sie

verstärkt für strategische, langfristig

wertvolle Projekte einsetzen statt

für manuelle Routineaufgaben.

Weitere Informationen zur Plattform

von LogRhythm erhalten Sie unter

logrhythm.com/demo

Eine TLM-Plattform eignet sich ideal für den Aufbau eines SOCs, weil sie alle benötigten Formen von Sicherheitsautomatisierung und Incident-Response-Orchestrierung in einer einzigen Konsole bündelt. Hier einige Beispiele für das, was eine TLM-Plattform leisten kann:

• Zentralisierung aller forensischen Daten, um effektive maschinelle Analysen zu unterstützen und schnelle Untersuchungen zu ermöglichen. So können die Daten stets im Blick behalten und Analysen durchgeführt werden, um Ereignisse von besonderem Interesse zu identifizieren – ohne dass Mitarbeiter rund um die Uhr an den Monitoren sitzen und Sicherheits-Rohdaten sichten müssen.

• Bereitstellung von Kontext zu Sicherheitsvorfällen. Dazu werden Informationen aus wichtigen Threat-Intelligence-Quellen und Schwachstellendaten integriert, ebenso wie Informationen zu Geschäftssystemen und Unternehmensassets, die aus eingebundenen Systemen für das Personalwesen, Finanzwesen, die Auftragsvergabe etc. stammen. Anhand dieses Kontexts können das TLM und die Sicherheitsmitarbeiter besser einschätzen, worauf ein Angreifer aus sein könnte und warum.

• Priorisierung interessanter Ereignisse anhand des relativen Risikos, das sie für das Unternehmen darstellen. So können sich die SOC-Mitarbeiter vorrangig um die besorgniserregendsten Ereignisse kümmern.

• Zusammenführen aller Nachweise an einer Stelle und sichere, zuverlässige Übermittlung an autorisierte Personen, z.B. Mitarbeiter an anderen Standorten oder Outsourcer, die an Incident-Response-Maßnahmen beteiligt sind.

• Nutzung von Workflow-Funktionalitäten, um jede Person/Rolle zu benachrichtigen, wenn sie eine Aufgabe für das SOC erledigen muss – zum Beispiel einen Vorfall prüfen, den das TLM als Risiko markiert hat.

• Kommunikation mit den vorhandenen Systemen für Asset-Management, Schwachstellenmanagement, Trouble-Ticketing, Einbruchserkennung usw., um die SOC-Prozesse automatisch mit den Geschäftsprozessen zu integrieren. Dies beschleunigt die Arbeitsabläufe erheblich und verringert die Belastungen für die Mitarbeiter in vielen Abteilungen.

• Automatisierte Reaktionen, die automatisch mit spezifischen Alarmen verknüpft werden. Aktionen, die ohne menschliche Interaktion ausgelöst oder mit einem Klick genehmigt werden können, können Ihrem Team helfen, wesentlich schneller auf einen Vorfall zu reagieren. Die TLM-Plattform sollte häufig auftretende Situationen erkennen, zum Beispiel einen Befall mit gängiger Malware, und automatisch darauf reagieren. So kann sich das Team auf die komplexeren und folgenschwereren Ereignisse und Zwischenfälle konzentrieren.

Kombiniert mit einem vernünftigen SOC-Personalmodell und robusten Prozessen, kann eine TLM-Plattform nahtlose Integrationen, Workflows und Kommunikation für alle SOC-relevanten Aufgaben bieten, unabhängig davon, ob Aufgaben ausgelagert werden oder nicht. Diese Kombination ermöglicht zudem unmittelbaren Zugriff auf die Informationen, Daten, Ereignisse und Untersuchungsberichte, die autorisierte Mitarbeiter und Outsourcer irgendwann und irgendwo benötigen könnten.

Technologie



Abschätzung von SOC-Kosten und EinsparungenWie hoch die Kosten sind, die einem Unternehmen durch ein SOC entstehen, hängt von vielen Faktoren ab. Gleiches gilt für die Einsparungen, die dank eines SOCs erzielt werden können. Sehen wir uns zunächst die geschätzten jährlichen Personal- und Servicekosten für gängige Personalmodelle in kleinen, mittleren und großen SOCs an (s. Tabelle „Vergleich der Kosten für verschiedene SOC-Personalmodelle“, S. 11). Wie diese Schätzungen zeigen, sind die Personal- und Servicekosten in SOCs jeder Größe am höchsten, wenn das SOC nicht auf einer TLM-Plattform basiert. Das liegt daran, dass dann viel mehr Aufgaben zur Überwachung, Analyse, Untersuchung, Priorisierung, Sammlung forensischer Daten, Vorfallsbehandlung und Berichterstattung von Menschen erledigt werden müssen statt von einer TLM-Plattform.

Die zweite Hauptkategorie von SOC-Kosten ist die Infrastruktur. Dazu zählen etwa die Räumlichkeiten, die Einrichtung, Netzwerke, Systeme, Software und Abonnement-Gebühren (z.B. für Threat Intelligence Feeds). Diese Kosten lassen sich schwer verallgemeinern. Beispielsweise könnte ein Unternehmen ungenutzte Räume haben, in die das SOC sofort einziehen kann, während ein anderes erst Räume beschaffen und einrichten muss. In manchen Unternehmen sind vielleicht sofort Netzwerke und Systeme für das SOC verfügbar; andere müssen sie erst planen, beschaffen und implementieren. Im Allgemeinen sind jedoch die Infrastrukturkosten für SOCs einer bestimmten Größe modellübergreifend relativ einheitlich, da die gleiche Infrastruktur benötigt wird, gleich ob das SOC 8x5 oder 24x7 mit eigenen Mitarbeitern besetzt ist. Eine Ausnahme bildet lediglich das komplett ausgelagerte und TLM-gestützte SOC, weil das Unternehmen hier keine Räume, Einrichtungsgegenstände oder Systeme für ein SOC-Personal benötigt.

Die letzte wichtige Überlegung hinsichtlich der Kosten ist, wie gut das SOC fähig sein wird, Sicherheitsvorfälle zu verhindern, schnell zu erkennen und zu stoppen und den normalen Betrieb wiederherzustellen. Wenn ein informales SOC mithilfe einer TLM-Plattform in ein gut strukturiertes SOC verwandelt wird, kann dies jährlich Kosten in Millionenhöhe aufgrund von Sicherheitsvorfällen ersparen, die behandelt werden müssen und die Mitarbeiterproduktivität und Umsätze verringern, solange der Geschäftsbetrieb beeinträchtigt ist.

Stellen Sie sich etwa einen einfachen Malware-Vorfall in einem Unternehmen mit 5000 Mitarbeitern vor. Da das informale SOC des Unternehmens nicht rund um die Uhr besetzt ist, wird der Vorfall erst erkannt, nachdem schon rund 100 Systeme befallen sind. Jedes dieser Systeme muss neu aufgebaut, wiederhergestellt und neu bereitgestellt werden. Dazu brauchen die Administratoren im Durchschnitt jeweils 4 Stunden. Die Benutzer der 100 Systeme können währenddessen den Großteil ihrer Arbeit nicht verrichten. Geht man von insgesamt 500 Stunden entgangener Produktivität plus 400 Stunden Systemadministration aus, dann kostet dieser Malware-Vorfall 900 Arbeitsstunden. Bei rund 100 $ pro Stunde gehen also an einem einzigen Tag fast 100.000 $ verloren. Wären die Systeme dagegen rund um die Uhr durch eine TLM-Plattform und einen MSSP überwacht worden, wäre der Malware-Vorfall sehr früh entdeckt worden. Die allermeisten Systeme wären dann nicht befallen worden, was fast 100.000 $ gespart hätte – mehr, als die MSSP-Dienste für drei Monate kosten würden. Der Umstieg von einem herkömmlichen SOC auf ein SOC-Modell mit TLM-Plattform kann Unternehmen laufend hohe Kosten ersparen.

Wären die Systeme rund um die Uhr durch eine TLM-Plattform und einen MSSP überwacht worden, wäre der Malware-Vorfall sehr früh entdeckt worden. Die

allermeisten Systeme wären dann nicht befallen worden, was fast 100.000 $ gespart hätte – mehr, als die MSSP-Dienste für drei Monate kosten würden.



Kleines SOC < 10.000 Benutzer

Mittleres SOC 10.000 - 50.000 Benutzer

Großes SOC > 50.000 Benutzer

SOC ohne TLM-Plattform 8x5 vor Ort 16x5 vor Ort 24x7 vor Ort

Sicherheitsanalytiker 2 VZÄ @ je $ 120T 8 VZÄ @ je $ 120T 20 VZÄ @ je $ 120T

Incident Responder 1 VZÄ @ $ 145T 4 VZÄ @ je $ 145T 8 VZÄ @ je $ 145T

Spezialisten (Malware Reverse Engineering, Forensik etc.)

0 VZÄ; auslagern und nach Bedarf bezahlen (schätz. $ 50T/Jahr)

2 VZÄ @ je $ 150T 5 VZÄ @ je $ 150T

Management 1 VZÄ @ $ 150T 2 VZÄ @ je $ 150T 3 VZÄ @ je $ 150T

Gesamt $ 585T $ 2.140T $ 4.760T

Komplett hausinternes, TLM-

gestütztes SOC

8x5 vor Ort 16x5 vor Ort 24x7 vor Ort

Sicherheitsanalytiker 1 VZÄ @ $ 120T 4 VZÄ @ je $ 120T 8 VZÄ @ je $ 120T

Incident Responder 1 VZÄ @ $ 145T 2 VZÄ @ je $ 145T 4 VZÄ @ je $ 145T



1 VZÄ @ $ 150T 2 VZÄ @ je $ 150T

Management 0,25 VZÄ @ $ 150T 0,5 VZÄ @ $ 150T 1 VZÄ @ $ 150T

Gesamt $ 328T $ 995T $ 1.990T

Hybrides, TLM-gestütztes SOC 8x5 vor Ort, alle anderen Zeiten

externer MSSP

IR vor Ort 16x5, alle anderen

externer MSSP 24x7

Externer MSSP 24x7

Sicherheitsanalytiker 0,5 VZÄ @ $ 120T 0 0

Incident Responder 0,5 VZÄ @ $145T 2 VZÄ @ je $ 145T 4 VZÄ @ je $ 145T





Management 0,25 VZÄ @ $ 150T 0,25 VZÄ @ $ 150T 0,5 VZÄ @ $ 150T

MSSP-Dienst $ 250T $ 400T $ 750T

Gesamt $ 445T $ 778T $ 1.505T

Komplett ausgelagertes, TLM-

gestütztes SOC

Externer MSSP 24x7 Externer MSSP 24x7 Externer MSSP 24x7

Sicherheitsanalytiker 0 0 0

Incident Responder 0,5 VZÄ @ $ 145T 1 VZÄ @ je $ 145T 1,5 VZÄ @ je $ 145T


0 0 0

Management 0,25 VZÄ @ $ 150T 0,5 VZÄ @ $ 150T 1 VZÄ @ $ 150T

MSSP-Dienst $ 350T $ 600T $ 900T

Gesamt $ 460T $ 820T $ 1.268T

Vergleich der Kosten für verschiedene SOC-Personalmodelle



Schritte zum Aufbau eines SOCs mit begrenzten Ressourcen Ausgehend von den Erfahrungen, die sie bei der Unterstützung zahlreicher Unternehmen gewonnen haben, haben die Experten von LogRhythm eine Methodik entwickelt, um ein SOC mit einer TLM-Plattform aufzubauen. Die sieben Schritte dieser Methodik werden nachfolgend beschrieben.

Zwei Punkte sind besonders wichtig, wenn Sie eine Strategie für Ihr SOC entwickeln:

A. Prüfen Sie, was Ihr bestehendes SOC im Hinblick auf Menschen, Prozesse und Technologien leistet. Beim Aufbau eines SOCs sollten Sie bedenken, dass es sich zunächst auf die Kernfunktionen beschränken sollte: Monitoring, Erkennen von Bedrohungen, Reaktion und Wiederherstellung. Manche SOCs unterstützen noch weitere Funktionen, zum Beispiel Schwachstellenmanagement. Solche Zusatzfunktionen sollten jedoch erst angedacht werden, wenn die Kernfunktionen richtig ausgereift sind.

B. Bestimmen Sie die Geschäftsziele für das SOC. Ein SOC ist nur effektiv, wenn es dem Unternehmen hilft, seine Geschäftsziele zu erreichen. Wird ein SOC um der Sicherheit willen eingerichtet, ohne die geschäftliche Seite zu berücksichtigen – zum Beispiel die Frage, welche Systeme und Daten für die Aufrechterhaltung des Betriebs am wichtigsten sind –, dann wird sich schwer zeigen lassen, was das SOC dem Geschäft bringt. Und das SOC könnte leicht eine gravierende Bedrohung übersehen, die zu einem schwerwiegenden Cybervorfall führen kann.

Im Einklang mit der in Schritt 1 gegebenen Empfehlung, den Umfang des SOCs anfangs zu begrenzen, dürfte es am besten sein, zunächst auf einige schnelle Erfolge hinzuarbeiten, statt gleich auf eine umfassende SOC-Lösung mit breiten Funktionen. Wählen Sie einige geschäftskritische Anwendungsfälle aus, anhand derer Sie die Ausgangslösung entwerfen. Denken Sie aber daran, dass die Lösung skalierbar sein muss, um künftig weiteren Anforderungen gerecht werden zu können. Wenn die Ausgangslösung enger gesteckt ist, können Sie sie schneller implementieren und Resultate erzielen. Wichtige Maßnahmen bei der Konzeption der SOC-Lösung sind:

A. Definieren der funktionellen Anforderungen. Diese sollten mit den Geschäftszielen verknüpft werden, wo immer dies relevant ist.

Zu den Anforderungsbereichen gehören:

i. Ermitteln der Quellen für Log- und Ereignisdaten, die überwacht werden sollen

ii. Ermitteln der Quellen für Threat Intelligence, die genutzt werden sollen

iii. Bestimmen der Leistungsanforderungen, zum Beispiel Antwortzeiten

B. Ein SOC-Modell wählen. Dabei sollten Sie sich an den eben definierten Funktionsanforderungen und der in Schritt 1 definierten Strategie orientieren. Sie müssen hier eine Reihe von Entscheidungen treffen: zum Beispiel, wann eigenes Personal und wann Outsourcer eingesetzt werden, welche Aufgaben das SOC erfüllen wird und wie viele VZÄ pro Funktion benötigt werden.

C. Entwurf der technischen Architektur. Dazu gehört:

i. Planen der Zusammensetzung und Konfiguration der Lösungskomponenten, insbesondere der TLM-Plattform

ii. Ermitteln der Geschäftssysteme, Informationssysteme etc., die mit der TLM-Plattform integriert werden sollen, um Geschäftskontext für die Sicherheitsereignisse zu liefern

iii. Definieren der Workflows für Ereignisse und Vorfälle im Einklang mit den bestehenden Prozessen des Unternehmens

iv. Planen für eine weitestmögliche Automatisierung der Lösung. Dazu gehören die Technologien, die nötig sind, um vollständigen Überblick über die Bedrohungen für die Systeme und Daten zu gewinnen, die anfänglich durch das SOC überwacht werden, und Angriffe möglichst früh abzuwehren

v. Prüfen, ob die technische Architektur solide ist, zum Beispiel mittels Planübungen für alle Anwendungsfälle, bei denen potenzielle Probleme ermittelt werden

Schritt 1: Eine Strategie entwickeln

Schritt 2: Die Lösung planen



Diese müssen alle sechs Phasen des TLM abdecken. Wenn das SOC teilweise mit Outsourcing-Mitarbeitern betrieben wird, muss gemeinsam mit dem Outsourcer sichergestellt werden, dass die Prozesse, Prozeduren und Schulungsmaßnahmen auf beiden Seiten dies berücksichtigen.

Bevor die SOC-Lösung zum Einsatz kommt, müssen unbedingt alle nötigen Maßnahmen ergriffen werden, um eine sichere Umgebung zu gewährleisten. Wichtig ist zum Beispiel, die Desktops, Laptops und Mobilgeräte der SOC-Mitarbeiter richtig abzusichern; sichere Fernzugriffe für die Mitarbeiter (und ggf. Outsourcing-Mitarbeiter) zu ermöglichen, die mit der SOC-Lösung kommunizieren; und eine starke Authentifizierung zu gewährleisten – zumindest bei Fernzugriffen auf das SOC, am besten aber auch bei lokalen.

Der Schlüssel zur Implementierung der Lösung selbst besteht darin, das Potenzial der Technologie voll auszuschöpfen, um die Belastungen für die Mitarbeiter zu minimieren. Dies ist ein von unten nach oben gerichteter Prozess, beginnend mit:

A. Bereitstellung der Log-Management-Infrastruktur

B. Eingliedern der Mindestsammlung von Quellen für wichtige Daten

C. Bereitstellung der Analysefunktionen

D. Integrieren der Funktionen zur Automatisierung und Orchestrierung von Sicherheitsmaßnahmen

E. Mit der Implementierung von Anwendungsfällen beginnen, die auf die durchgehende Erkennung und Bewältigung von Bedrohungen fokussieren

Weiterhin ist es wichtig, nahtlose Interoperabilität mit anderen Systemen zu gewährleisten – sowohl um Daten aus verschiedenen Quellen zu sammeln als auch, um Aktionen und Befehle auszulösen, damit Kontextinformationen genutzt, Bedrohungen eingedämmt

und Probleme im Einklang mit den Workflows behoben werden können. Insbesondere Letzteres erleichtert es, die mittlere Erkennungszeit zu verringern und auf Vorfälle zu reagieren. Auch sollte die Lösung Threat Intelligence Feeds und sonstige Informationsquellen als automatisierte Inputs nutzen, um die Genauigkeit der Erkennung zu verbessern.

Wenn die Funktionalitäten der Lösung bereitstehen, können Sie Anwendungsfälle für Analysen sowie für die Automatisierung und Orchestrierung von Sicherheitsmaßnahmen implementieren, wie etwa die Erkennung kompromittierter Benutzernachweise und erfolgreicher Spear-Phishing-Kampagnen. Sie sollten Tests während verschiedener Schichten und Schichtwechsel durchführen. Insbesondere müssen alle zuvor erwähnten Formen der Lösungsautomatisierung gründlich getestet werden. Auch sollten Sie so gut wie möglich prüfen, ob die Mitarbeiter aus der Ferne sicher und zuverlässig auf die Lösung zugreifen können.

Wenn die Lösung voll im Einsatz ist, muss sie laufend verwaltet werden. So werden Sie beispielsweise immer wieder Konfigurationseinstellungen aktualisieren und Feinabstimmungen vornehmen müssen, damit Bedrohungen präziser erkannt werden. Oder Sie müssen weitere Systeme als Inputs oder Outputs zu der Lösung hinzufügen. Auch andere Maßnahmen werden von Zeit zu Zeit erforderlich sein, so etwa eine Überprüfung des SOC-Modells, der SOC-Rollen, der Mitarbeiterzahlen und so weiter, damit nötige Anpassungen vorgenommen werden können.

Der Schlüssel zur Implementierung der Lösung selbst besteht darin, das Potenzial der Technologie voll auszuschöpfen, um die Belastungen für die

Mitarbeiter zu minimieren.

Schritt 3: Prozesse, Prozeduren und Schulungsmaßnahmen entwickeln

Schritt 4: Die Umgebung vorbereiten

Schritt 5: Die Lösung implementieren

Schritt 6: Durchgehende Anwendungsfälle implementieren

Schritt 7: Verwalten und ausbauen



FazitDie Einrichtung eines Security Operations Centers ist heute eine unbedingte Voraussetzung dafür, Threat Lifecycle Management implementieren und damit die Schäden durch erfolgreiche Angriffe minimieren zu können. Ein ressourcensparendes SOC ist die optimale Lösung für Unternehmen, die die immensen Ausgaben für ein formales SOC nicht rechtfertigen und den unzureichenden Schutz durch ein informales SOC nicht akzeptieren können.

Die Plattform von LogRhythm ist die ideale Technologie zum Aufbau eines SOCs. Unternehmen, die diese Strategie anwenden, können sofortige und laufende Kostenersparnisse im Vergleich zu allen anderen SOC-Modellen erzielen. Und sie können mit dieser Strategie ihre Risiken erheblich reduzieren. Die Plattform von LogRhythm bietet Unternehmen folgende spezifische Vorteile:

• Nutzt hochentwickelte Funktionalitäten zur Erkennung und Analyse von Bedrohungen, zum Beispiel User and Entity Behaviour Analytics. Damit lassen sich zahlreiche Bedrohungen finden und einschätzen, die mit anderen Mitteln schwer erkannt werden. Besonders hilfreich ist dies, wenn es gilt, Versuche von Mitarbeitern zu erkennen, auf sensible Daten zuzugreifen und sie zu stehlen.

• Verfügt über anspruchsvolle Workflow-Funktionen, um die Verantwortung für spezifische Aufgaben auf andere Personen oder Rollen zu übertragen, wann immer es nötig ist. Dies hält die Dinge im Fluss und minimiert Missverständnisse, die Aktionen unbeabsichtigt verzögern oder bewirken könnten, dass Arbeit doppelt gemacht wird.

• Automatisiert die Orchestrierung von Vorfallsreaktionen, damit alle beteiligten Personen sofort Zugriff auf die nötigen Informationen haben.

LogRhythms Funktionalitäten zur Automatisierung und Orchestrierung von Sicherheitsmaßnahmen verbessern die Effizienz und Effektivität der Vorfallsreaktionen erheblich.

Über LogRhythmLogRhythm, ein führender Anbieter von Threat Lifecycle Management, unterstützt Unternehmen weltweit dabei, gefährliche Cyber-Bedrohungen schnell aufzuspüren, abzuwehren und zu entschärfen. Die patentierte, preisgekrönte Plattform des Unternehmens vereint auf einzigartige Weise SIEM der nächsten Generation mit Log-Management, Netzwerk- und Endpunktüberwachung, User Entity and Behaviour Analytics (UEBA), Automatisierung und Orchestrierung von Sicherheitsmaßnahmen (SAO) sowie fortschrittlichen Sicherheitsanalysen. LogRhythm schützt die Kunden nicht nur vor den Risiken in Zusammenhang mit Cyber-Bedrohungen, sondern bietet darüber hinaus einzigartige Funktionalitäten zur Automatisierung und Gewährleistung der Compliance sowie erweiterte IT-Intelligence.

LogRhythm hat bereits zahlreiche Branchenauszeichnungen erhalten. Dazu zählen die Einstufung als „Leader“ in Gartners SIEM Magic Quadrant, ein „Recommended“-Rating für SIEM und UTM von SC Labs (2017) sowie die Auszeichnung als „Beste SIEM-Lösung“ bei den „Best of 2016 Awards“ des SANS Institutes.

Fordern Sie noch heute eine maßgeschneiderte Demo an, um

zu erfahren, wie Sie mit LogRhythm Ihr eigenes SOC aufbauen

können: logrhythm.com/schedule-online-demo-TLM-emea/



Über James CarderJames Carder ist seit mehr als 20 Jahren als IT-Sicherheitsexperte in Unternehmen und als Consultant für Fortune-500-Firmen und die US-Regierung tätig. In seiner Position als CISO und Vice President von LogRhythm Labs entwickelt und pflegt er das Security-Governance-Modell

und die Risikostrategien des Unternehmens, schützt die Vertraulichkeit, Integrität und Verfügbarkeit der IT-Assets und leitet das Bedrohungs- und Schwachstellenmanagement sowie das Security Operations Centre (SOC). Zudem ist Carder verantwortlich für die Mission und strategische Vision der Teams, die in den LogRhythm Labs für Machine Data Intelligence, strategische Integrationen, Bedrohungsforschung und Compliance zuständig sind.

Vor seinem Eintritt bei LogRhythm war James Carder als Director of Security Informatics bei Mayo Clinic beschäftigt. Dort unterstanden ihm die Bereiche Threat Intelligence, Incident Response, Security Operations und Offensive Security. Davor war Carder in leitender Funktion bei Mandiant tätig und verantwortete die professionellen Dienste und Behandlung von Sicherheitsvorfällen. Zudem hat Carder strafrechtliche Ermittlungsmaßnahmen und Untersuchungen zur nationalen Sicherheit auf kommunaler, Staats- und Bundesebene geleitet. Dazu zählten unter anderem solche, in denen es um Advanced Persistent Threats (APT) und den Diebstahl von Kreditkartendaten ging.

James Carder ist ein gefragter Redner bei Veranstaltungen zum Thema Cybersicherheit und hat sich auch mit einer Reihe von Publikationen zu diesem Thema einen Namen gemacht. Er hat die Walden University mit einem Bachelor of Science-Grad im Fach Computer-Informationssysteme abgeschlossen und an der Carlson School of Management der University of Minnesota einen MBA-Grad erworben. Zudem ist er Certified Information Systems Security Professional (CISSP).

Kontakt: +49 89 919292 - 200 [email protected] | www.logrhythm.com Balanstraße 73 - Haus 7, 81541 München, Deutschland

Documents

EIN EIGENES SOC AUFBAUEN – MIT BESCHRÄNKTEN … · 2020-03-29 · Am Lebenszyklus von Cyberangriffen lässt sich erkennen, dass Unternehmen oft zahlreiche ... Zwei Arten von Analysen