Ergebnisse auf einen Blick
Herausforderung
Durch den Einsatz einer ineffizienten SIEM-Lösung war das SOC-Team von Knauf nicht in der Lage, mit dem Wachstum des Unternehmens Schritt zu halten.
Als Unternehmen, das seit 1932 besteht, hatte sich die IT-Infrastruktur von Knauf im Laufe der Jahre zu einer großen, veralteten On-Premises-Umgebung mit dezentralen SCADA-Systemen, Produktionstools und vielen regionalen Standorten entwickelt. Knauf setzte McAfee Enterprise Security Manager (ESM) für seine SIEM-Lösung vor Ort ein, um eine Echtzeit-Sicherheitsüberwachung der erweiterten Umgebung zu erhalten. Aber die McAfee-Lösung war unzuverlässig.
Dawid Krochmal, SOC-Manager bei Knauf, erklärt: „McAfee ESM war extrem ineffizient. Ein Analyst konnte während einer Abfrage nicht nur mal eben einen Kaffee trinken gehen – er konnte in der Zeit locker Mittag machen. Nur um nach einer Stunde festzustellen, dass die Abfrage mit einer Fehlermeldung abgebrochen war und er alles noch einmal starten und eine weitere Stunde warten musste.“
Lösung
McAfee ESM entsprach nicht mehr den Anforderungen des Unternehmens. Gleichzeitig wuchs Knauf schnell und wollte seine IT-Umgebung grundlegend umgestalten. Das Ziel war die Abkehr von alten, lokalen Systemen hin zu einer Cloud-nativen Architektur, mit der die IT-Sicherheit und der Betrieb von Knauf effizienter, effektiver und reibungsloser ablaufen konnten.
Knauf verfolgte hinsichtlich der neuen SIEM-Lösung des Unternehmens eine Cloud-native Strategie und führte eine gründliche Bewertung von zehn Anbieterlösungen durch. Schließlich entschied man sich für Sumo Logic Cloud-SIEM als am besten geeignete Sicherheitsplattform.
„Das Unternehmen wurde von einem schweren Cyberangriff heimgesucht. Die Dashboards von Sumo Logic halfen uns dabei, uns auf die infizierten Bereiche und die entsprechenden Maßnahmen zu konzentrieren.“
– Dawid Krochmal, SOC-Manager
Ergebnisse
Ein modernes Cloud-SIEM, das einfach zu implementieren und zu nutzen ist
Der erste große Erfolg des SOC-Teams mit Cloud-SIEM war die Möglichkeit, alles in der gesamten Umgebung des Unternehmens zentral zu überblicken, sowie die benutzerfreundlichen Funktionen, darunter mehr als 600 sofort einsatzbereite Regeln. Das machte es dem Sicherheitsteam leicht, innerhalb von zwei Stunden mit der Arbeit zu beginnen.
„Sumo Logic ist sehr benutzerfreundlich. Dank des hilfreichen Support-Teams, der Out-of-the-box-Regeln und der ‚Click-and-Go‘-Integrationen blieb uns die harte Arbeit erspart. Innerhalb weniger Stunden waren die Regeln einsatzbereit, und in den folgenden zwei bis drei Tagen haben wir sie feinjustiert. Danach waren wir startklar“, so Krochmal.
Unverzichtbare Einblicke in die Untersuchung von Bedrohungen
Cloud-SIEM bietet dem SOC-Team erhebliche Verbesserungen bei der Bedrohungsuntersuchung. Dank der Cloud-nativen Architektur der Lösung muss sich das Team keine Gedanken mehr über den Speicherplatz für die Aufnahme von Logs oder über die Latenzzeit beim Abrufen von Suchergebnissen machen. Dank der fortschrittlichen Analysefunktionen von Cloud-SIEM erhält Knauf Millionen von Bedrohungssignalen, die zu Erkenntnissen verdichtet werden, auf die sich das SOC-Team konzentrieren kann.
Cyberattacken testeten sofort die Fähigkeit von Cloud-SIEM, aussagekräftige Erkenntnisse zu liefern. „Das Unternehmen war einem schweren Cyberangriff ausgesetzt und die Dashboards von Sumo Logic halfen uns dabei, uns auf die infizierten Daten und die entsprechenden Reaktionsmaßnahmen zu konzentrieren“, sagt Krochmal und fügt hinzu: „Was mir an Cloud-SIEM am besten gefällt, ist das, was wir auf dem Bildschirm sehen: das schicke Radar und die roten Punkte, die uns bei unseren Untersuchungen hilft.“
Flexibilität zur Unterstützung neuer Anwendungsfälle
Jetzt, da Knauf über eine solide SIEM-Grundlage verfügt, ist das SOC bereit, neue Anwendungsfälle mit der Sumo Logic-Plattform zu verfolgen. Als Nächstes plant das Team, Aktionen zur Reaktion auf Vorfälle für die gängigsten und einfachsten Reaktionsabläufe zu automatisieren, um die Abhilfemaßnahmen des Teams zu beschleunigen und die Sicherheitslage des Unternehmens zu verbessern.
Darüber hinaus wird das Team Cloud-SIEM verwenden, um eine proaktive Bedrohungssuche sowie Bedrohungsdaten einzusetzen und durch die Zusammenführung aller Sicherheitspraktiken eine Cyberfusion zu erreichen. Durch die Hinzufügung von Cyberfusion-Funktionen, einschließlich Betrugserkennung und Schwachstellenmanagement, erhält Knauf einen einheitlichen Ansatz für den Umgang mit potenziellen Bedrohungen, indem Teamfunktionen überbrückt und die teamübergreifende Zusammenarbeit gefördert werden.
