ERKENNUNG VON UND REAKTION AUF VORFÄLLE
SIEM, SOAR & SOC
Die CISO AG stellt die Incident Detection Fähigkeit des Dienstes sicher, indem sie ihren Kunden drei Kernsäulen zur Verfügung stellt. Eine Security Information and Event Management (SIEM)-Lösung, eine Security Orchestration and Automated Response (SOAR)-Lösung und ein Security Operation Center (SOC) als Dienstleistung. Die beiden technischen Lösungen und der Service bilden zusammen mit den besten Sicherheitsanalysten und -ingenieuren der Branche und einer jahrzehntelangen Erfahrung das Rückgrat unseres Managed Service.
ÜBERBLICK
SIEM
SICHERHEITSINFORMATIONEN UND EREIGNISVERWALTUNG
Die CISO AG bietet verschiedene Möglichkeiten, eine SIEM-Lösung zum Sammeln, Aggregieren und Korrelieren von Sicherheitsereignissen (Logs) und Informationen zu nutzen. Für die Erbringung der Dienstleistung können wir ein bereits in der Organisation implementiertes SIEM-System verwenden, wodurch die Kosten für die Lizenzierung und Implementierung eingespart werden können. Wenn die Organisation noch keine SIEM-Lösung implementiert hat, dies aber wünscht, können wir einen End-to-End-Service anbieten, von der Anforderungsdefinition bis zur Auswahl, über die technische Implementierung und den BAU-Betrieb, sei es vor Ort oder cloudbasiert.
Unsere zertifizierten Ingenieure haben Erfahrung mit mehr als einem Dutzend verschiedener SIEM-Anbieter. Die dritte Möglichkeit besteht darin, unsere verwaltete SIEM-Plattform zu nutzen und die Organisation in die Plattform einzubinden. Unsere Plattform ist eine ausgeklügelte Lösung, bei der die Daten der einzelnen Mandanten getrennt sind. Sie ist hoch skalierbar und kann eine große Anzahl von Ereignissen und Korrelationen verarbeiten. Hunderte von Protokollerfassungsquellen werden standardmäßig unterstützt, und wir können benutzerdefinierte Parser und Aggregatoren erstellen.
Alle drei Optionen sind funktionsfähig und realisierbar und lassen sich in hohem Maße an die Bedürfnisse des Unternehmens anpassen. Ein Teil bleibt unverändert: das Fachwissen unserer Berater, die die Lösung nutzen und das Beste aus ihr herausholen, indem sie Anwendungsfälle, Warnungen und Playbooks für verschiedene Szenarien der Vorfallserkennung definieren.
SOAR
SICHERHEITSORCHESTRIERUNG UND AUTOMATISIERTE REAKTION
Die Lösungen für Security Orchestration und Automated Response sind eines der neuesten Tools im Werkzeugkasten der Cyberabwehr. Die Anzahl der Ereignisse, die in SIEM-Systemen markiert werden, wird immer höher, da immer mehr Geräte, Lösungen und SaaS-Dienste in das SIEM-System integriert werden.
Das SOAR-Tool wurde entwickelt, um KI- und verhaltensbasierte Analysen und Reaktionen auf Ereignisse zu ermöglichen, damit sich der Sicherheitsanalyst auf detaillierte Untersuchungen konzentrieren kann. Der Hauptzweck der Lösung besteht darin, automatisierte Antworten auf Low-Level-Ereignisse zu liefern.
Ein einfaches Beispiel für die Verwendung des SOAR-Toolsets, der Edge-Firewall oder des IDPS ist ein einmaliger Port-Scan, der für einen Sicherheitsanalysten in der Regel als Hintergrundrauschen betrachtet wird. Wenn die IP-Adresse jedoch zu einem bekannten bösen Akteur gehört, könnte dies eine Frühwarnung für einen zukünftigen Angriff sein. Eine der besten Praktiken besteht darin, diesen IP-Adressbereich und jeden bekannten IP-Adressbereich, der mit dem bösen Akteur in Verbindung steht, zu blockieren.
In der Regel muss der Sicherheitsanalytiker in diesem Prozess den bösartigen Akteur verifizieren, einen Antrag auf eine Änderung zur Sperrung der IP-Adressen in der/den Firewall(s) stellen und auf die Bestätigung des Netzwerkverwaltungsteams warten, dass der IP-Bereich gesperrt ist. Wie wir sehen können, könnte dies ein langwieriger Prozess sein, insbesondere in einem größeren Unternehmen mit einer strengen Änderungsmanagementpolitik. Bei einer SOAR-Lösung hingegen ist alles automatisiert, und die Aufgabe des Sicherheitsanalysten besteht darin, die Ergebnisse zu überwachen und zu überprüfen.
Es ist möglich, mit dem Tool-Stack automatisierte Arbeitsabläufe zu erstellen (zu orchestrieren), wie z. B. das Erstellen eines Hosts mit bekannten Schwachstellen, das Öffnen eines Tickets im Ticket-System und das Eintragen des Hosts in den nächsten Patching-Zyklus. Das Ziel einer SOAR-Lösung ist es, die Sicherheitsereignisse und -reaktionen mit dem breiteren internen und externen IT-Toolset zu integrieren. SOAR steht auf der Liste der aufkommenden Technologien von Gartner.
SOC
SICHERHEITSOPERATIONSZENTRUM
In den letzten zwei Jahrzehnten haben sich die Security Operation Centers von den traditionellen Network Operation Centers weiterentwickelt und sind zu einem wichtigen Bestandteil der Sicherheitsoperationen eines Unternehmens geworden. Heutzutage ist es unmöglich, sich ein Unternehmen, das sich um Informationssicherheit und Datenschutz kümmert, ohne ein SOC oder einen verwalteten SOC-Service vorzustellen.
Die dritte Säule der CISO AG bei der Erkennung von Vorfällen ist eine Gruppe von handverlesenen Sicherheitsanalysten, Teamleitern und Servicemanagern, die über jahrzehntelange Erfahrung bei der Bereitstellung exzellenter Dienstleistungen verfügen. Für den Managed Service nimmt das SOC-Team das Unternehmen in die Pflicht, indem es die Liste der Ereignisquellen definiert, die Basis der Business-as-usual-Ereignisse und des Verkehrsflusses festlegt, Ereignisse von Interesse identifiziert und SIEM-Anwendungsfälle und SOAR-Playbooks als Teil des Incident-Response-Prozesses erstellt. Es ist Teil des Prozesses, Key Performance Indicators (KPIs), Betriebs- und Service-Level-Vereinbarungen zu definieren.
Der SOC-Service kann On-Premise unter Nutzung der Plattform und Lösungen der CISO AG oder Off-Premise als Remote-Service erbracht werden, oder wir können den internen SOC-Service ganz oder teilweise betreiben, indem wir unser Fachwissen und unsere personellen Ressourcen zur Verfügung stellen.
