Ergebnisse auf einen Blick
Herausforderung
Endowus musste seine Sicherheitsvorkehrungen verbessern, die Tools rationalisieren und die Warnmeldungsflut verringern.
Als Endowus vor drei Jahren mit dem Aufbau seines Sicherheitspakets begann, stellte sich schnell heraus, dass zu viele verschiedene Tools benötigt wurden. Durch die Implementierung verschiedener Sicherheitstools, einschließlich E-Mail-Sicherheitslösungen und Lösungen zum Schutz vor Datenverlusten, wurde eine Flut von Warnmeldungen aus verschiedenen Quellen ausgelöst, die zu einer überwältigenden Anzahl von Pings und Benachrichtigungen führte. Darüber hinaus musste das Sicherheitsteam die Warnsysteme über mehrere Dashboards hinweg kontinuierlich überwachen und feinabstimmen, und dies machte die Sicherheitsverwaltung komplex und zeitaufwändig.
Um den Überblick wiederzuerlangen und die Effizienz zu verbessern, war Alvin Lim, Leiter der Abteilung für Informationssicherheit bei Endowus, auf der Suche nach einer Cloud SIEM-Lösung, die seine Sicherheitstools in einer einzigen, zentralisierten Plattform vereinen konnte.
Lösung
Nachdem man mit drei verschiedenen Protokollierungslösungen gesprochen und mit zwei davon ein Proof of Concept (POC) durchgeführt hatte, entschied man sich schließlich aus drei wichtigen Gründen für Sumo Logic: die einfache Integration, Wartung und erweiterte Warnmeldungseinstellung.
Einfache Integration in vorhandene Tools
Die Cloud-native Architektur von Sumo Logic machte es für Endowus einfach, seine wichtigsten Datenquellen zu integrieren, darunter AWS, SentinelOne, Google Workspace und das sichere Web-Gateway. Im Gegensatz zu anderen Anbietern, die komplexe Konfigurationen und zusätzliche Workarounds erfordern, optimiert Sumo Logic die Aufnahme von Protokollen und sorgt für einen kontinuierlichen Einblick in die Sicherheitsumgebung.
„Der andere Anbieter, den wir evaluiert haben, war nicht Cloud-nativ, daher häten wir mehr Hürden überwinden müssen, um die Protokolldaten ordnungsgemäß zu erfassen. Seit der Implementierung von Sumo Logic ist die Integration nahtlos“, sagte Lim.
Warnmeldungseinstellung und verringerte Ermittlungszeit
Vor Sumo Logic war das Team von der Warnmeldungsflut überwältigt und musste etwa eine Stunde für die Untersuchung jeder Warnmeldung aufwenden. Lim erinnert sich an die Zeit vor der Implementierung von Sumo Logic: Wir wurden mit Warnmeldungen überflutet, von denen man nicht wusste, ob sie eine Maßnahme erforderten oder nicht. Dies beunruhigte das Team sehr, da es sich nicht sicher war, ob sie eskaliert werden mussten. Sumo Logic ermöglicht uns einen klaren Einblick in alle Vorgänge, wodurch sich unsere Ermittlungszeit verringert hat.“
Cloud-native Flexibilität und Skalierbarkeit
Als kleines, aus zwei Ingenieuren bestehendes Team, benötigte Endowus eine Lösung, die einfach zu verwalten war, ohne unnötigen Aufwand zu verursachen. Die intuitive Plattform von Sumo Logic, die sofort einsatzbereiten Regeln und die automatische Regelwartung ermöglichten es auch Teammitgliedern ohne tiefgreifende technische Kenntnisse zum Sicherheitsbetrieb beizutragen.
Starker ROI und vertretbare Investition
Für Endowus war die Kosteneffizienz der Schlüssel zur Wahl der richtigen Sicherheitslösung. Neben den Funktionen und Möglichkeiten musste auch der ROI gerechtfertigt sein. Sumo Logic zeichnete sich nicht nur durch sein umfassendes Sicherheitsangebot aus, sondern auch durch seine im Vergleich zu Alternativen günstigen Preise.
Lim nutzte überdies die Flex-Lizenzierung von Sumo Logic, sodass seine Kosten auf dem Volumen der Einblicke und Analysen basierten und nicht auf der Datenaufnahme, um mit seinen wachsenden Anforderungen zu skalieren. Diese Flexibilität ermöglichte es dem Unternehmen, den Umfang zu vergrößern oder zu verkleinern, wenn sich sein Anwendungsfall änderte, und sich an neue Anforderungen anzupassen, während die Kosten unter Kontrolle blieben.
„Die Bewilligung von Haushaltsmitteln für neue Instrumente ist oftmals eine Herausforderung. Als Sicherheitsverantwortliche müssen wir uns für Investitionen einsetzen, an die wir glauben. Sumo Logic ergab logisch Sinn, da wir den Wert des Dienstes erkennen konnten“, so Lim.
„Sumo Logic hilft uns, die Auswirkungen zu beschleunigen, indem es wichtige Erkenntnisse identifiziert und uns einen klaren Weg zur Untersuchung und Abhilfe aufzeigt, und das alles über eine optimierte, konsolidierte Cloud SIEM-Plattform.“
— Alvin Lim, Leiter Informationssicherheit
Ergebnisse
Um 90 % reduzierter Zeitaufwand für die Untersuchung von Warnmeldungen
Mit Sumo Logic Cloud SIEM kann das Endowus-Team verdächtige Aktivitäten schnell identifizieren, falsche Warnmeldugen reduzieren und sicherstellen, dass jede Warnmeldung eine Maßnahme erfordert. Vorher haben sie eine Stunde damit verbracht, jede einzelne Warnmeldung zu untersuchen. Jetzt werden harmlose Warnmeldungen innerhalb von nur fünf bis zehn Minuten behoben, sodass sich das Team auf echte Bedrohungen konzentrieren kann.
Verbesserte Erkennung von und Reaktion auf Vorfälle
Durch die Beseitigung von Datensilos hat Endowus einen umfassenden Überblick über seine Sicherheitslandschaft und kann dadurch Angriffsvektoren aufspüren und die Ursachen von Vorfällen identifizieren.
In einem Fall half Sumo Logic Endowus dabei, einen Phishing-Vorfall frühzeitig zu erkennen, bevor er einen Schaden anrichten konnte. Durch die Integration von Daten aus den verschiedenen Tools von Endowus konnte das Team verdächtiges Verhalten schnell erkennen und die Bedrohung entschärfen, bevor sie größeren Schaden anrichten konnte.
Rückblickend auf diesen Vorfall sagte Lim: „Dank Sumo Logic konnten wir die Quelle des Angriffs frühzeitig erkennen und Maßnahmen ergreifen, bevor ein echter Schaden entstand. Und mit all den zusätzlichen Tools, die wir in Sumo Logic integriert hatten, konnten wir überdies das volle Ausmaß des Schadens abschätzen und ihn schnell eindämmen.“
Das benutzerfreundliche, spielähnliche Dashboard von Sumo Logic hilft dem Sicherheitsteam von Endowus, den Verlauf von Vorfällen zu verfolgen und die Punkte zwischen verschiedenen Datenpunkten zu verbinden. Selbst technisch nicht versierte Benutzer können sich leicht im System zurechtfinden, wodurch die Ermittlungen schneller und effizienter erfolgen.
Lim sagte: „Die Sumo Logic Plattform ist optisch ansprechend und reaktionsschnell und macht es einfach, große Datenmengen zu verwalten, zu verarbeiten und zu analysieren. Dadurch wird die Verzögerung minimiert, die zu Reibungen im Prozess führen kann. Die gesamte Sumo Logic-Benutzeroberfläche war sehr reaktionsschnell, interaktiv und trug dazu bei, die Dynamik aufrechtzuerhalten.”
Individuelle Verwaltung von Warnmeldungen für eine maßgeschneiderte Risikobereitschaft
Endowus nutzt die anpassbaren Funktionen für die Verwaltung von Warnmeldungen von Sumo Logic, um die Sicherheitsüberwachung besser auf seine individuellen Bedürfnisse abzustimmen. Durch die Anpassung der Schwellenwerte für die verschiedenen Datenquellen minimiert Endowus die Warnmeldungsüberflutung und stellt sicher, dass die erhaltenen Warnmeldungen tatsächlich eine Maßnahme erfordern und sinnvoll sind.
Lim erklärte: „Wir wollten in der Lage sein, die Schwellenwerte für jedes Tool und jede Datenquelle so anzupassen, dass sie unserer Risikobereitschaft entsprechen. So verfolgen wir beispielsweise das Nutzerverhalten in Google Drive, um sicherzustellen, dass die Teams flexibel sein können, ohne die Sicherheit zu gefährden. Wenn ein Benutzer innerhalb eines kurzen Zeitraums übermäßig viele sensible Daten herunterlädt, werden wir benachrichtigt und können sofort nachforschen.“
Für die Zukunft hofft Lim zudem auf die UEBA von Sumo Logic sowie andere KI-gestützte Funktionen, um die Warnmeldungsverwaltung des Unternehmens mithilfe der Automatisierung und KI zu verbessern.
„Allein durch die manuelle Anpassung der Schwellenwerte haben wir bereits eine Verbesserung der Warnmeldungsqualität festgestellt. Wir freuen uns darauf, das Potenzial der KI-Funktionen von Sumo Logic zu erkunden, um unsere Prozesse effizienter zu gestalten. Diese Funktionen werden unser Sicherheitsteam in die Lage versetzen, potenzielle Bedrohungen zu erkennen, zu beheben und zu beseitigen. Wir wollen sicherstellen, dass wir unsere Abdeckung erhöhen und früher Abhilfe schaffen. Ich bin sehr froh, dass Sumo Logic Funktionen wie diese entwickelt, um sicherzustellen, dass wir unsere Ziele erreichen.“
Steigerung der Mitarbeiterzufriedenheit
Insgesamt hat Endowus festgestellt, dass die Zufriedenheit des Teams seit der Implementierung von Sumo Logic gestiegen ist. Laut Lim sind seit der Umstellung auf Sumo Logic die Sicherheitsabläufe effizienter und die Moral im Team ist gestiegen.
„Die Mitarbeiter sind weniger frustriert“, sagte Lim. „Früher mussten wir sechs oder sieben Warnmeldungen durchsehen, von denen fünf nicht hilfreich waren. Mit Sumo Logic ist das nicht mehr der Fall. Das hat die Stimmung unter den Teammitgliedern verbessert, die sich nun darauf freuen, die Möglichkeiten des Dienstes zu erkunden. Dieser befähigt sie, ihre Arbeit besser als zuvor zu erledigen.“
Bessere Transparenz und Stressfreiheit
Vor der Einführung von Sumo Logic stand Endowus vor einer großen Herausforderung. Das Unternehmen hatte keinen Überblick über die AWS-Sicherheitswarnmeldungen. Dies erschwerte es dem Sicherheitsteam, gründliche Untersuchungen durchzuführen, wobei die Teammitglieder oftmals verunsichert waren.
„Früher waren wir überwältigt“, erinnert sich Lim. „Es gingen mehrere Warnmeldungen ein, und da wir nicht in der Lage waren, sie zu beantworten, fühlten wir uns unwohl. Noch beunruhigender war die Möglichkeit, dass echte Bedrohungen durchschlüpfen, die unserer Aufmerksamkeit entgehen.“
Sumo Logic hat alles verändert. Durch die Weiterleitung von AWS Cloudtrail-Protokollen in Cloud SIEM hat Endowus einen tieferen Einblick in Sicherheitsereignisse, ohne komplexe Regelsätze manuell pflegen zu müssen. Mit Cloud SIEM, das Alarme automatisch mit Sicherheitsrahmenwerken wie MITRE ATT&CK korreliert, erhält Endowus verwertbare Erkenntnisse darüber, was passiert ist und was möglicherweise passieren könnte, sowie Abhilfemaßnahmen zur Risikominderung.
„Sumo Logic hilft uns, die Auswirkungen zu beschleunigen, indem es wichtige Erkenntnisse identifiziert und uns einen klaren Weg zur Untersuchung und Abhilfe aufzeigt, wobei dies über eine optimierte, konsolidierte Cloud SIEM-Plattform erfolgt“, so Lim.
Einfaches Onboarding und laufende Unterstützung
Obwohl Endowus zuvor nur wenig Erfahrung mit Sumo Logic hatte, konnte das Unternehmen mit Unterstützung des Sumo Logic-Kundenerfolgsteams schnell Fuß fassen. Vom anfänglichen POC bis zur vollständigen Implementierung profitierte das Unternehmen von einer praktischen Unterstützung, persönlichen Schulungen sowie Sumo Logic-Zertifizierungsprogrammen, wodurch die gesamten Fähigkeiten von Sumo Logic voll ausgeschöpft werden konnten.
Weiterhin sagte er dazu: „Wir hatten anfangs kaum oder gar keine Erfahrung mit dem Umgang mit Sumo Logic, aber mit der Unterstützung des Kundenerfolgsteams von Sumo Logic fiel es uns nicht schwer, alles Erforderliche zu erlernen. Das Kundenerfolgsteam fungierte als eine erweiterte Version unseres Teams und half uns, schnell voranzukommen.”
Lim betonte, dass er Sumo Logic anderen Sicherheitsverantwortlichen aus verschiedenen Gründen empfiehlt: „Der ROI mit Sumo Logic ist extrem hoch. Man erhält einen Gegenwert für jeden ausgegebenen Dollar. Und was noch wichtiger ist: Es ist beruhigend zu wissen, dass man bei Bedarf tiefgreifende forensische Untersuchungen durchführen kann. Es ist ein leistungsstarkes Tool, das einem Unternehmen hilft, seine Sicherheitsziele zu erreichen. Sumo Logic ist ein gut bewertetes Tool mit einem umfassenden Funktionsumfang, der sicherstellt, dass die wichtigsten Sicherheitserfolgskriterien erfüllt werden.“
