Ergebnisse auf einen Blick
Herausforderung
Da das Sicherheitsteam von Netskope weiß, dass Bedrohungen sowohl von außen als auch von innen kommen können, wollte es ein Verfahren zur Überwachung von Insider-Bedrohungen einführen.
Die Aufrechterhaltung einer starken Sicherheitslage ist für Netskope unerlässlich. Sean Salomon, Information Security Analyst bei Netskope, verwies auf eine Studie des Ponemon Institute aus dem Jahr 2022, die besagt, dass Insider-Bedrohungen Unternehmen 15,38 Millionen Dollar pro Vorfall kosten, und kommentierte: „Das ist eine Menge Geld, das Unternehmen nicht verlieren wollen. Das ist einfach kein gutes Geschäft und für einen Sicherheitsanalysten ist es kein schöner Gedanke.“
Als Salomon eine erste Standardarbeitsanweisung (Standard Operating Procedure, SOP) für die Überwachung von Insider-Bedrohungen durch Netskope entwarf, erkannte er, dass ein manueller Prozess zu viel Zeit, Mühe und Ressourcen erfordern würde. Salomon merkte an: „Ein manueller Ansatz hätte mindestens fünf Personen, zehn Tools und mindestens 90 Minuten menschliche Arbeitszeit pro Untersuchung erfordert. Das sind eine Menge Ressourcen für eine SOP. Und was ist, wenn eine Anfrage an einem Wochenende oder nach den Geschäftszeiten eingeht, wo die Abdeckung geringer ist?“
Um die Überwachung von Insider-Bedrohungen zu rationalisieren und zu automatisieren, wollte Netskope eine SIEM-Lösung einführen.
Lösung
Für sein Programm zur Überwachung von Insider-Bedrohungen benötigte Netskope schnelle und genaue Einblicke in das Benutzerverhalten, das ein Hochrisiko-Indikator für Insider-Bedrohungen sein kann. Und das Unternehmen wollte den Prozess automatisieren, um die Ressourcenbeschränkungen zu verringern. Dies erfordert eine Investition in die Echtzeit-Datenanalyse, um einen Einblick in die Aktivitäten von Netskope in Bezug auf Insider-Bedrohungen zu erhalten, und zu diesem Zweck hat sich Netskope für Sumo Logic Cloud SIEM entschieden.
„Cloud SIEM ermöglicht es uns, diese Versuche der Datenexfiltration durch Insider frühzeitig zu erkennen, so dass wir so schnell wie möglich gegen sie vorgehen und die Auswirkungen einer potenziellen Insider-Bedrohung begrenzen können. Wir erhalten all diese Informationen automatisch und verlassen uns dabei auf keine Menschen, keine Tabs und nur ein Tool – Sumo Logic.“
– Sean Salomon, Information Security Analyst
Ergebnisse
Automatisierte Überwachung von Insider-Bedrohungen
Mit Cloud SIEM, das nativ in der Cloud entwickelt wurde, können Sie mit vorgefertigten Anwendungen, einschließlich sofort einsatzbereiter Dashboards, Abfragen und Regeln, ganz einfach tiefe Einblicke in die Sicherheit gewinnen. Cloud SIEM nimmt Daten auf und führt die vielen Datenquellen von Netskope zusammen, wie z. B. Endpoint Detection and Response (EDR), Cloud Storage und Marketing- und Vertriebs-Tools, um eine zentrale Sicherheitsüberwachung und kontextbezogene Einblicke zu ermöglichen.
„Durch den Einsatz von Sumo Logic Cloud SIEM wurde der gesamte Standardarbeitsablauf für die Überwachung von Insider-Bedrohungen durch Netskope vollständig automatisiert. Es verkürzt unsere Reaktionszeit erheblich, reduziert das Risiko menschlicher Fehler und stellt sicher, dass wir effiziente und effektive Entscheidungen treffen können“, so Salomon.
Robuste Analyse für Datenexfiltrationsversuche
Während einer Untersuchung einer Insider-Bedrohung ermöglicht Sumo Logic Netskope die Analyse historischer Daten und die Überwachung der aktuellen Aktivitäten eines Benutzers. „Es besteht immer die Möglichkeit, dass ein Benutzer gegen die Interessen des Unternehmens handelt, wenn er sich abmelden will, und Cloud SIEM hilft uns, dieses Risiko zu mindern“, so Salomon.
Netskope nutzt die Content Management API von Cloud SIEM, um zu erkennen, wenn Benutzer Massendownloads von Daten initiieren oder versuchen, Daten mit einer persönlichen E-Mail-Adresse oder der eines Konkurrenten extern zu teilen. Es besteht natürlich auch die Möglichkeit, dass ein Benutzer versucht, Daten auf einen externen USB-Stick zu kopieren, und Cloud SIEM überwacht auch diese Aktivität. Unter Nutzung der Search API der Lösung hat Salomon einen Suchauftrag eingerichtet, der alle fünf Sekunden überprüft, ob ein Benutzer Daten auf ein externes USB-Laufwerk übertragen hat.
Dieser Workflow kann 200 bis 300 Aktionen umfassen, um die Erfassung aller erforderlichen Informationen zu automatisieren. Das Team muss sich nicht mehr mit einer Vielzahl von API-Endpunkten oder einer Reihe verschiedener Tools verbinden und Anmeldeinformationen austauschen.
