Wie SPS Commerce Insights von Sumo Logic nutzt, um die Cybersicherheit zu verbessern
Ergebnisse auf einen Blick
Herausforderung
Es war eine Herausforderung, mit dem wachsenden und sich verändernden Unternehmen Schritt zu halten und es gleichzeitig vor Cyberbedrohungen zu schützen.
Für die Verwaltung der Cybersicherheit seiner umfangreichen Infrastruktur nutzte SPS Commerce ein hybrides Personalmodell, das das interne Team des Security Operations Center (SOC) und einen Managed Services Provider umfasste, der bei der Überwachung von Alarmen rund um die Uhr behilflich war.
„Es ist eine Binsenweisheit, dass die Angreifer nur einmal erfolgreich sein müssen, während unser SOC-Team 100 Prozent der Zeit erfolgreich sein muss. Wir brauchten also tatsächlich die Transparenz und die Daten, um diese Bedrohungen zu erkennen und darauf zu reagieren“, so Nick Kemske, SOC und Incident Response Manager bei SPS Commerce.
Lösung
Für eine umfassende Transparenz über die gesamte Angriffsfläche des Unternehmens hinweg wünschte sich SPS Commerce einen zentralen Zugriff auf alle Datenquellen. Nur so konnte das SOC-Team präzise Einblicke in die Sicherheitslage erhalten. Dies machte die Investition in eine SIEM-Lösung erforderlich.
Als Teil der Anforderungen des SOC-Teams war eine Lösung nötig, die den Mehrwert bietet, die gleichen Systeme, Logs und Metriken zu sehen, die der Rest des Unternehmens zur Überwachung der Umgebung sammelt. Sumo Logic war die perfekte Lösung, da das Infrastrukturteam die Plattform bereits für seine Überwachungsaufgaben nutzte.
„Bei der Auswahl eines SIEM wollten wir nicht zu sehr von dem Vorgehen unserer Infrastrukturpartner abweichen. Die Ausweitung der Sumo Logic-Nutzung auf unsere SIEM-Bedürfnisse gibt uns eine bessere Möglichkeit, mit den Teams zusammenzuarbeiten und Probleme zu lösen, wenn sie auftreten“, so Kemske.

Nick Kemske
SOC und Incident Response Manager
Ergebnisse
Rasche Implementierung und schnelles Onboarding für ein einsatzbereites SOC
Da das Infrastrukturteam die Sumo Logic-Plattform bereits implementiert hatte und die Logs des Unternehmens aus den Infrastrukturdatenquellen erfasste, konnte das SOC-Team bei der Einführung der Plattform schnell Fortschritte machen. Die Verwendung der Cloud-Collectors der Plattform machte es dem Team leicht, zusätzliche Datenquellen aus ihren Sicherheitstools zu integrieren, z. B. die Lösungen von CrowdStrike und Tenable des Unternehmens.
„Sumo Logic erleichtert den Einstieg, indem es alle in der Anwendung vorinstallierten Funktionen nutzt, wie etwa die sofort einsatzbereiten Sicherheitsregelsätze“, sagt Kemske und fügt hinzu: „Es gibt jede Menge wirklich fantastische Dokumentationen zur Funktionsweise der gesamten Plattform, mit deren Hilfe wir uns wirklich schnell einarbeiten konnten.“
Eine zentrale Quelle für Sicherheitstelemetrie und Erkenntnisse
Da Sumo Logic alle gewünschten Logdaten aufnimmt, ist die Lösung nun die maßgebliche Sicherheitsdatenquelle für das SOC-Team. „Alles fließt in Sumo Logic ein und steht zur Überwachung unserer Sicherheit zur Verfügung. In meinem Team gibt es den Spruch „alles heißt alles“, wenn es um Sicherheit und die Bedeutung der Überwachung aller Bereiche geht“, so Kemske.
Von Switches und Routern bis hin zu AWS- und Azure-Logs laufen alle Telemetriedaten in Sumo Logic zusammen, um Alerts zu ordnen und Bedrohungen in der gesamten Infrastruktur des Unternehmens zu korrelieren. Basierend auf dem Anwendungsfall der Datenquelle für die Sicherheitsanalyse nutzt das SOC-Team das flexible Data Tiering von Sumo Logic, um festzulegen, welche Quellen Cloud-SIEM kontinuierlich verarbeiten und analysieren soll.
Mit integrierten Threat Intelligence-Feeds nutzt das SOC-Team die mehr als 700 vordefinierten Regeln von Cloud-SIEM zusammen mit den benutzerdefinierten Regeln des Teams, um angereicherte und umsetzbare Erkenntnisse zu erhalten. „All das wird in Cloud-SIEM zusammengeführt, das wiederum den Untersuchungsworkflow für mein Team in Gang setzt – es funktioniert einfach wunderbar und mühelos“, so Kemske.
Schnellere Untersuchungen dank Automatisierung und einer zentralen Übersicht
Vor der Einführung von Cloud-SIEM basierte der Untersuchungsworkflow des SOC-Teams auf 20 separaten System-Dashboards, die einen langwierigen, manuellen Aufwand erforderten, um einen Überblick über den gesamten Footprint des Unternehmens zu gewinnen. Mit Cloud-SIEM hat das Team nun einen Überblick über die Vorgänge in der Umgebung “ und das alles von einer einzigen Konsole aus, ohne dass das Team zwischen verschiedenen Tools wechseln muss.
„Cloud-SIEM hat unseren Wechsel von einem sehr routinemäßigen, manuellen Prozess zu einem viel stärker automatisierten Prozess unterstützt. Das hat uns wirklich geholfen, Transparenz zu schaffen und Zeit bei unseren Untersuchungen zu sparen“, erklärt Kemske und fügt hinzu: „Da wir JIRA-Tickets auch ganz einfach von Cloud-SIEM aus starten können, können wir uns viel besser so mit unseren Lieferteams und Partnern integrieren, wie es von uns erwartet wird.“