Damit Cyber-Angriffe nicht nur passieren – Sondern auch bemerkt werden

GSOC

Mit dem Ziel, neben einer erhöhten Sichtbarkeit auch eine schnellere Reaktionszeit auf Sicherheitsvorfälle in der IT zu gewährleisten hat ein multinationales Telekommunikationsunternehmen zusammen mit den Security-Experten von Spike Reply ein GSOC eingerichtet. Cyber-Attacken haben keine Chance mehr: Die IT-Infrastrukturen des Konzerns unterliegen nun international einer zentralen 24/7-Überwachung.

Cyber-Attacken: Identifizieren und Reagieren

Aktuell erkennen immer mehr Unternehmen die Notwendigkeit, Cyber-Attacken schneller identifizieren und gezielter auf sie reagieren zu können. Ein großes Problem: Die IT-Infrastrukturen werden in vielen Unternehmen nicht zentral überwacht und häufig fehlt das entsprechende Personal und Know-how um Angriffe schnell eindämmen und die Schäden beseitigen zu können. Die Lösung ist die Einrichtung eines SOC (Security Operations Center), einer zentralen Stelle, die dabei hilft mehr Sichtbarkeit auf sicherheitsrelevante Vorfälle zu bekommen.

Im Rahmen steigender Cyber-Angriffe und -Vorkommnisse hat sich auch ein großes multinationales Telekommunikations-Unternehmen strategisch für den Aufbau eines GSOC (Globalen Security Operations Center) entschieden. Das GSOC soll alle internationalen Länderorganisationen und Partnermärkte des Unternehmens berücksichtigen. Als strategischen Partner holte sich das Unternehmen Hewlett Packard Enterprise ins Boot. Dessen führende SIEM-Lösung (Security Information & Event Management) ArcSight ist aufgrund seiner extremen Flexibilität und Skalierbarkeit bestens für die Anbindung internationaler Standorte mit sehr heterogenen IT-Landschaften geeignet.

Die technische Lösung

Für den Aufbau einer derartigen SIEM-Infrastruktur wurden zunächst Netzwerk- und SIEM-Architekten benötigt, die den Aufbau und das Roll-out der ArcSight-Infrastruktur international betreuen. Die Consultants von Spike Reply begleiteten den Prozess von Anfang an federführend und betreuen aktuell auch den Ausbau der ArcSight-Infrastruktur in diversen Landesgesellschaften des Unternehmens.

Nach der Implementierung wurden sukzessive Events von diversen IT-Komponenten an die Infrastruktur angebunden. Content-Entwickler haben dafür gesorgt, dass zum einen die Events fehlerfrei in die Infrastruktur gelangen und zum anderen bei der Alarmierung, Optimierung und Bereinigung der Events das GSOC unterstützen. Analysten wurden aus diversen Fachbereichen zusammengezogen um am Anfang noch die große Anzahl Events danach zu beurteilen, wie kritisch sie einzustufen sind. Im nächsten Schritt mussten die Bereiche IM (Incident Management) und die hier eingegliederte IR (Incident Response) aufgebaut werden – eine Abteilung, die für die operative und technische Abwicklung der Sicherheitsvorfälle zuständig ist. Wird ein Vorfall identifiziert, ist das Team dafür verantwortlich zusammen mit den betroffenen Fachabteilungen des Unternehmens, den Vorfall einzudämmen und zu beseitigen, sowie den Vorfall zu dokumentieren. Die Experten von Spike Reply unterstützen diese Aktivitäten seit Beginn des Projektes in allen Landesgesellschaften.

Automation für die IT-Security

Durch das kontinuierliche Eingliedern diverser Security-Komponenten wurde nicht nur das Sicherheitsniveau des Telekommunikations-Unternehmens maßgeblich gesteigert. Vielmehr wurden auch diverse Sicherheitsvorfälle bereits im Vorfeld erkannt.

Basierend auf ihren in diesem Projekt gesammelten Erfahrungen und den aktuellen Produktentwicklungen in der IT-Security arbeiten die Experten von Spike Reply zurzeit an der Einführung eines „Next Generation“ SIEM. Dieses soll stärker auf Automation und Künstliche Intelligenz setzen um weitere Synergien und Kosteneinsparungen zu erzielen. Mit den Weiterentwicklungen wird der Automatisierungsgrad für die Überwachung der IT-Security in Unternehmen immer weiter erhöht. Machine Learning ermöglicht es, dass die eingesetzten Systeme Muster erkennen, die sie dazu veranlassen, Warnungen auszugeben. Aber egal, welcher Grad der Automatisierung zum Einsatz kommt, der Faktor Mensch, darf auch diesen Szenarien niemals außer Acht gelassen werden. Ob ein Alarm wirklich durch eine Sicherheitslücke ausgelöst worden ist und Handeln angesagt ist, muss immer noch der Mensch überprüfen.


Spike Reply, der Security-Experte im Reply Netzwerk, ist einer der führenden IT-Systemintegratoren für IT-Sicherheit in Deutschland. Das Leistungsangebot reicht von der Konzeption und Integration zahlreicher IT-Security-Produkte bis zur Inbetriebnahme und Betriebsführung von kompletten IT-Systemen. Mit diesem Portfolio fungiert Spike Reply für namhafte große Unternehmen und Mittelstandskunden als Full-Service-Security-Dienstleister – von der Analyse, Auditierung, Konzeption, Stellung des Datenschutzbeauftragten bis hin zum Management eines SOC (Security Operation Center).