Ergebnisse auf einen Blick
Herausforderung
Die kollektive Unterstützung der Cloud-Infrastruktur für zehntausende Kunden sowie für HashiCorp selbst erzeugt gigantische Mengen unterschiedlichster Ereignisdaten.
Das Durchsuchen dieser Telemetriedaten zur Durchführung einer einzelnen Sicherheitsuntersuchung sowie einer Suche nach verschiedenen zusammenhängenden Ereignissen war für das Sicherheitsteam ein zeitraubender Vorgang, der mit quälend langsamen Suchergebnissen einherging.
„Unsere schiere Masse an Daten machte alles langsam. Ob es um die Sammlung aller benötigten Ereignisse, die Erfassung des Kontexts von Warnmeldungen oder die Erkennung der aktuellen Lage ging – es war uns nicht möglich, in Echtzeit nachzuvollziehen, ob etwas relevant war, oder bedeutende Dinge zu finden“, klagt Ryan Breed, leitender Sicherheitsingenieur bei HashiCorp. Weiterhin berichtet er: „Die Durchführung einer großen Suche dauerte so lange, dass sie die Konzentration eines Analysten beeinträchtigte und den Untersuchungsprozess verlangsamte.“
Lösung
HashiCorp ist für seine kontinuierlichen Innovationen bekannt, daher benötigt das Unternehmen ein Sicherheitssystem, das mithalten kann. Für diesen Zweck hat es Sumo Logic ausgewählt.
Um die Sicherheit von HashiCorp transparent zu machen, musste die komplexe Betriebsumgebung des Unternehmens in Echtzeit überwacht werden. Diese umfasst drei Infrastructure-as-a-Service (IaaS)-Cloud-Umgebungen und API-Integrationen in die gesamte Produktpalette der einzelnen Cloud-Anbieter.
Als Cloud-native Lösung bietet Sumo Logic HashiCorp zentralisierte und skalierbare Sicherheitslogs sowie ein Cloud-SIEM (Security Information and Event Management) in den Multi-Cloud-Umgebungen des Unternehmens sowie seiner Kunden.
Ryan Breed erklärt: „Sumo Logic hilft uns dabei, unsere Sicherheitstransparenz zu skalieren und mit dem hohen Tempo des Unternehmens Schritt zu halten – sei es bei Produkteinführungen, dem Gewinn neuer Kunden oder der Einführung neuer Tools. Während wir wachsen, bleiben die Grenzkosten für zusätzliche Transparenz und die Optimierung unserer bestehenden Systeme minimal. Das erlaubt uns, fundamentale Veränderungen abzufangen und das Geschäft wesentlich schneller zu skalieren.“
„Sumo Logic hilft uns proaktiv dabei, eine Warnmeldung zu verstehen, unabhängig davon, ob sie wichtig ist oder nicht, und beseitigt sie in manchen Fällen automatisch.“
– Ryan Breed, leitender Sicherheitsingenieur
Ergebnisse
Geringe Latenzzeit, aufschlussreiche Sicherheitsuntersuchungen – in Echtzeit
Nach dem Einsatz von Sumo Logic Cloud-SIEM zur Integration und Aufnahme von Telemetriedaten aus allen Aspekten der Unternehmensinfrastruktur erlebte HashiCorp den ersten Wendepunkt bei der Verwaltung von Sicherheitsuntersuchungen: die Möglichkeit, eine Suche mit niedriger Latenz durchzuführen.
Die Cloud-Fähigkeit von Sumo Logic ermöglicht es den Sicherheitsexperten von HashiCorp, in Echtzeit zu suchen und Untersuchungen durchzuführen. Darüber hinaus konnte das Team des Security Operations Center (SOC) dank der gestrafften Workflows von Cloud SIEM ein System implementieren, bei dem Warnmedungen automatisch eine Suche auslösen.
„Sumo Logic hilft uns proaktiv dabei, eine Warnmeldung zu verstehen, unabhängig davon, ob sie wichtig ist oder nicht, und beseitigt diese in manchen Fällen automatisch“, sagt Breed und fügt hinzu: „Ein Suchsystem mit geringer Latenz und Sumo Logic macht diese Art der Workflow-Automatisierung in Echtzeit möglich.“
Wendet ADS (Alerting and Detection Strategy) an, um Sicherheitsuntersuchungen zu optimieren
„Cloud-SIEM parst, mappt und erstellt bereits beim Ingest normalisierte Datensätze aus den strukturierten und unstrukturierten Daten von HashiCorp. Anschließend führt das System ein automatisches Triage-Verfahren für Alerts durch, um den Sicherheitsexperten direkt handlungsorientierte Erkenntnisse zu liefern. Um die Performance von Cloud-SIEM bei der Filterung zehntausender täglicher Alarme weiter zu optimieren, wendet das SOC-Team das ADS-Framework von Palantir an.“
„Das Framework unterstützt das Security-Team dabei, Hypothesen zu entwickeln und intensiv darüber nachzudenken, wie Cloud-SIEM während einer Untersuchung optimal genutzt werden kann. Beispielsweise hat das Team spezifische Threat-Hunting-Abfragen entworfen, um Spuren aufzudecken, die ein Angreifer in der Infrastruktur hinterlassen könnte. Parallel dazu wurden Workflows definiert, die den Analysten präzise durch die nächsten Schritte leiten, sobald eine solche Spur gefunden wird.“
„Durch den Einsatz von ADS können wir uns voll und herausragend auf die Performance-Seite von Cloud-SIEM konzentrieren. Schon vor der eigentlichen Suche eine klare Vorstellung davon zu haben, wonach wir suchen, hilft uns bei der Optimierung von Aspekten wie der Feldextraktion und sorgt dafür, dass die gängigsten Suchmuster extrem schnell Ergebnisse liefern. So können Analysten im ‚Flow‘ bleiben, selbst wenn eine Untersuchung mehrere Abstraktionsebenen umfasst – Cloud-SIEM stellt all diese unterstützenden Informationen direkt im Vorfeld bereit“, so Breed.
Verkürzte Zeit bis zur Entscheidungsfindung mit interaktiven Dashboards
Die Sicherheitsanalysen und Dashboards von Sumo Logic bieten dem Sicherheitsteam eine umfassende Übersicht über die umfangreichen Cloud-Umgebungen von HashiCorp auf einer einzigen Oberfläche. Zudem hat das SOC eine Reihe von benutzerdefinierten Dashboards implementiert, um die Playbooks und Prozesse des Teams für die Durchführung der täglichen Untersuchungen zu verbessern.
Wenn ein Analyst verdächtige Login-Aktivitäten untersucht, kann er wichtige Parameter in das Dashboard eingeben, z. B. die Benutzer-ID und eine Zeitspanne. Das Dashboard liefert dann eine interaktive Anzeige, auf die der Analyst „klicken“ kann, um bestimmte Daten weiter zu untersuchen.
„Interaktive Dashboards geben uns den Kontext und die Detailtiefe, die unseren Sicherheitsanalysten helfen, die Zeit bis zur Entscheidung zu minimieren. Sie können die Parameter eingeben und erhalten die Informationen sehr schnell, sodass sie ihre Arbeit nicht unterbrechen müssen, um eine Entscheidung zu treffen und zu handeln”, so Breed.
