Sicherheitsteams in großen, verteilten Organisationen stehen vor einzigartigen Herausforderungen, da die Analysten oft „im dunkeln tappen“ und ihnen wesentliche Informationen aus Ihrer Umgebung fehlen. Automatisierungstechnologie kann helfen, die durch diese komplexeren Netzwerke verursachte Lücke zu schließen.
Es versteht sich fast von selbst, dass Sie jemanden oder etwas, das Sie gut kennen, besser schützen können als etwas wozu Ihnen die Informationen fehlen. Stellen Sie sich einen Sicherheitsanalytiker in einem Team von zwei oder drei Personen, in einem Unternehmen mit etwa 2.000 Mitarbeitern, vor. Der Analytiker wird wahrscheinlich wissen, wer die CXOs sind, was die verschiedenen Abteilungen sind und machen und was die wichtigsten Vermögenswerte im Unternehmen sind. Normalerweise ist auch die IT-Infrastruktur des Unternehmens wenig komplex und orientiert sich an Standards. Wenn das Sicherheitssystem bei verdächtigen Aktivitäten auf „Roman Müller“ alarmiert und Roman Müller der CFO ist, wird man direkt hellhörig.
In einer großen Organisation kann ein Abteilungsleiter ein Team von Tausenden von Mitarbeitern leiten und für das Funktionieren des Unternehmens äußerst essentiell sein, aber der SOC-Analyst hat möglicherweise noch nicht einmal von der Existenz dieser Person gehört. Er oder sie ist wahrscheinlich weniger vertraut mit den verschiedenen IT-Assets des Unternehmens, wie Domänen, Server, Anwendungen, Datenbanken usw. Wie soll der Analytiker daher wissen, welche Zugriffe davon legitim sind und welche nicht? Welche Systeme sind wichtiger und welche weniger wichtig? Wie hängen die einzelnen Systeme zusammen und bilden hierdurch aggregiert unternehmenskritische Systeme?
Einige große Organisationen bieten Ihren Kunden und Lieferanten auch Kommunikationsdienste und Schnittstellen an, und das SOC-Team muss somit nicht nur die Kernorganisation, sondern auch ihre angebundenen Kunden schützen. Vertrauen ist in diesem Szenario keine Option, und das Sicherheitsteam arbeitet hier auch meistens im dunkeln, da die Einblicke in die jeweiligen Systeme und Organisationsstrukturen fehlen.
SIEM ist das Orchestrierungsinstrument, das Licht ins dunkel für die SOC-Teams bringt, Ordnung ins Chaos bringt und hilft, sich auf risikoreiche Angriffe zu konzentrieren statt weiter im dunkeln zu tappen. Bisher sind viele SIEMs – sogar marktführende SIEMs, die sich selbst „Next Generation SIEM“ nennen – oft gescheitert. Aber Warum?
Einer der Hauptgründe dafür ist, dass SIEMs von den Sicherheitsteams ein ausgeprägtes Verständnis der Unternehmensstruktur – sowohl in personeller Hinsicht als auch in Bezug auf die Technologieplattformen – verlangen, damit sie ständig wirksame Korrelationsregeln schreiben und aufrechterhalten können. Aber wenn Sie es mit einem großen, komplexen und sich ständig verändernden Netzwerk von Mitarbeitern und IT-Assets zu tun haben, wie können Sie dann effektiv Regeln zur Verwaltung des Systems schreiben und diese laufend „up-to-date“ halten? Dies ist so gut wie unmöglich…
Und nicht nur das, die meisten SIEMs überschwemmen SOC-Teams mit Bergen von (Warn)meldungen, meist Falschmeldungen. Wie können sie also wissen, auf welche Warnmeldungen sie sich konzentrieren sollen? Sie wissen es meist nicht. Hier wird die Aufgabe noch schwieriger, wenn man „tote Winkel“ hat – und die IT Security Abteilung die Mitarbeiter und Ressourcen der Organisation nicht wie seine eigene Westentasche kennt.
Die Lösung zu diesem Szenario kann nur eine sein – effektive Automatisierung! Wenn das SIEM System lernfähig ist, sich ständig selbst verändert und an die sich verändernde Organisationslandschaft automatisch anpasst und im Grunde genommen einen Großteil der Arbeit automatisiert erledigen kann, die heute noch vom SOC-Team verlangt wird, kann das Sicherheitssystem hiermit effektiv verwaltet werden.
empow hat deshalb eine einzigartige SIEM-Technologie entwickelt, die auf Kill-Chain-Pattern und patentierten KI- und Natural Language Processing (NLP)-Algorithmen basiert und die MITRE ATT&CKTM-Sprache verwendet, wodurch die Notwendigkeit, Korrelationsregeln zu schreiben und zu pflegen, im Grunde genommen komplett entfällt. Das empow i-SIEM sammelt Informationen über seine EDR-, UEBA- und NTA-Engines und ist somit in der Lage, die Berge von False-Positiv Meldungen auszusortieren.
Das Ergebnis ist eine SIEM Lösung, die ein SOC-Team nun nur noch mit wirklich risikoreichen Warnungen versorgt. Jetzt können die Analysten das tun, wofür sie ausgebildet sind, und sich tiefer in die wenigen gefilterten Warnungen vertiefen und schneller und effizienter Maßnahmen zum Schutz des Netzwerks ergreifen. Das Ergebnis ist ein SIEM, das in der Lage ist, die vielen blinden Flecken, die SOC-Teams ansonsten in großen, verteilten Systemen haben, durch effektive Automatisierung zu beleuchten.
alle Informationen zu empow Next Generation i-SIEM und unseren weiteren SIEM Lösungenfinden Sie bei uns auf der Website. Gerne informieren wir Sie über die Möglichkeiten in einem Präsentationstermin. Nehmen Sie hierzu gerne Kontakt mit uns auf – wir freuen uns auf Sie!
scale2gether ist Ihr Partner für empow SIEM in Deutschland, Österreich und der Schweiz