Ergebnisse auf einen Blick
Herausforderung
Durch den Einsatz einer ineffizienten SIEM-Lösung war das SOC-Team von Knauf nicht in der Lage, mit dem Wachstum des Unternehmens Schritt zu halten.
Die Infrastruktur des seit dem Jahr 1932 bestehenden Unternehmens hatte sich im Laufe der Jahre zu einer umfangreichen, gewachsenen Vor-Ort-Umgebung mit dezentralen SCADA-Systemen, Produktionstools und vielen regionalen Standorten entwickelt. Knauf setzte für seine SIEM-Lösung einen McAfee Enterprise Security Manager (ESM) ein, um eine Echtzeit-Sicherheitsüberwachung der erweiterten Umgebung zu erzielen. Aber die McAfee-Lösung war unzuverlässig.
Dawid Krochmal, SOC-Manager bei Knauf, erklärte: „Der McAfee ESM war sehr ineffizient. Ein Analyst konnte in der Zeit, in der eine Abfrage lief, nicht nur einen Kaffee trinken, sondern zu Mittag essen gehen. Nur um zu erfahren, dass die Abfrage nach einer Stunde einen Fehler aufwies und er erneut beginnen und eine weitere Stunde warten musste.“
Lösung
Der McAfee ESM wurde den Anforderungen des Unternehmens nicht mehr gerecht. Gleichzeitig wuchs Knauf schnell und wollte seine IT-Umgebung grundlegend umgestalten. Das Ziel bestand darin, von veralteten, lokalen Systemen zu einer Cloud-nativen Architektur zu wechseln, die es Knauf ermöglichte, die IT-Sicherheit und den IT-Betrieb effizienter, effektiver und reibungsloser zu gestalten.
Knauf verfolgte hinsichtlich der neuen SIEM-Lösung des Unternehmens eine Cloud-native Strategie und führte eine gründliche Bewertung von zehn Anbieterlösungen. Schließlich entschied man sich für Sumo Logic Cloud SIEM als siegreiche Sicherheitsplattform.
„Das Unternehmen wurde von einem schweren Cyberangriff heimgesucht. Die Dashboards von Sumo Logic halfen uns dabei, uns auf die infizierten Bereiche und die entsprechenden Maßnahmen zu konzentrieren.“
– Dawid Krochmal, SOC-Manager
Ergebnisse
Ein modernes Cloud-SIEM, das einfach zu implementieren und zu nutzen ist
Der erste große Erfolg des SOC-Teams mit Cloud SIEM war die Möglichkeit, alles in der gesamten Umgebung des Unternehmens zentral zu sehen und die benutzerfreundlichen Funktionen, einschließlich der mehr als 600 sofort einsetzbaren Regeln. So konnte das Sicherheitsteam ganz einfach innerhalb von zwei Stunden mit der Arbeit zu beginnen.
„Sumo Logic ist sehr benutzerfreundlich. Das hilfsbereite Support-Team, die sofort einsatzbereiten Regeln und die ‚Click-and-Go‘-Integrationen ersparten uns jegliche aufwendigen Implementierungsarbeiten. Wir hatten die Regeln innerhalb weniger Stunden im Einsatz und passten sie in den nächsten zwei bis drei Tagen an. Dann waren wir startklar“, sagte Krochmal.
Unverzichtbare Einblicke in die Untersuchung von Bedrohungen
Cloud SIEM bietet dem SOC-Team erhebliche Verbesserungen bei der Untersuchung von Bedrohungen. Dank der Cloud-nativen Architektur der Lösung muss sich das Team keine Gedanken mehr über den Speicherplatz für die Aufnahme von Protokollen oder die Latenzzeit beim Abrufen von Suchergebnissen machen. Die fortschrittlichen Analysen von Cloud SIEM liefern Knauf Millionen von Bedrohungssignalen, die auf Erkenntnisse reduziert werden, auf die sich das SOC-Team konzentrieren kann.
Cyberattacken testeten sofort die Fähigkeit von Cloud SIEM, aussagekräftige Erkenntnisse zu liefern. „Das Unternehmen war einem schweren Cyberangriff ausgesetzt und die Dashboards von Sumo Logic halfen uns dabei, uns auf die infizierten Daten und die entsprechenden Reaktionsmaßnahmen zu konzentrieren“, sagte Krochmal und fügte hinzu: „Was mir an Cloud SIEM am besten gefällt, ist das, was wir auf dem Bildschirm sehen: das schicke Radar und die roten Punkte, die uns bei der Steuerung unserer Ermittlungsbemühungen helfen.“
Flexibilität zur Unterstützung neuer Anwendungsfälle
Nun, da Knauf über eine solide SIEM-Grundlage verfügt, ist das SOC bereit, neue Anwendungsfälle mit der Sumo Logic-Plattform zu verfolgen. Als Nächstes plant das Team, Maßnahmen zur Reaktion auf Vorfälle für die gängigsten und einfachsten Reaktionsabläufe zu automatisieren, um die Abhilfemaßnahmen des Teams zu beschleunigen und die Sicherheitslage des Unternehmens zu verbessern.
Darüber hinaus wird das Team Cloud SIEM verwenden, um eine proaktive Bedrohungssuche sowie Bedrohungsinformationen einzusetzen und durch die Zusammenführung aller Sicherheitspraktiken eine Cyberfusion zu erreichen. Durch die Hinzufügung von Cyberfusion-Funktionen, einschließlich Betrugserkennung und Schwachstellenmanagement, erhält Knauf einen einheitlichen Ansatz für den Umgang mit potenziellen Bedrohungen, indem Teamfunktionen überbrückt und die teamübergreifende Zusammenarbeit gefördert werden.
