Wie SPS Commerce Insights von Sumo Logic nutzt, um die Cybersicherheit zu verbessern
Ergebnisse auf einen Blick
Herausforderung
Es war eine Herausforderung, mit dem wachsenden und sich verändernden Unternehmen Schritt zu halten und es gleichzeitig vor Cyberbedrohungen zu schützen.
Für die Verwaltung der Cybersicherheit seiner umfangreichen Infrastruktur nutzte SPS Commerce ein hybrides Personalmodell, das das interne Team des Security Operations Center (SOC) und einen Managed Services Provider umfasste, der bei der Überwachung von Alarmen rund um die Uhr behilflich war.
„Es ist eine Binsenweisheit, dass die Angreifer nur einmal erfolgreich sein müssen, während unser SOC-Team 100 Prozent der Zeit erfolgreich sein muss. Wir brauchten also tatsächlich die Transparenz und die Daten, um diese Bedrohungen zu erkennen und darauf zu reagieren“, so Nick Kemske, SOC und Incident Response Manager bei SPS Commerce.
Lösung
Um einen Überblick über die Angriffsfläche des Unternehmens zu erhalten, wünschte sich SPS Commerce einen zentralen Zugriff auf alle Datenquellen, um dem SOC-Team einen präzisen Sicherheitsüberblick und Einblicke zu ermöglichen. Dies erforderte die Investition in eine SIEM-Lösung.
Als Teil der Anforderungen des SOC-Teams war eine Lösung nötig, die den Mehrwert bietet, die gleichen Systeme, Logs und Metriken zu sehen, die der Rest des Unternehmens zur Überwachung der Umgebung sammelt. Sumo Logic war die perfekte Lösung, da das Infrastrukturteam die Plattform bereits für seine Überwachungsaufgaben nutzte.
„Bei der Auswahl eines SIEM wollten wir nicht zu sehr von dem Vorgehen unserer Infrastrukturpartner abweichen. Die Ausweitung der Sumo Logic-Nutzung auf unsere SIEM-Bedürfnisse gibt uns eine bessere Möglichkeit, mit den Teams zusammenzuarbeiten und Probleme zu lösen, wenn sie auftreten“, so Kemske.
„Bei der Auswahl eines SIEM wollten wir nicht zu sehr von dem Vorgehen unserer Infrastrukturpartner abweichen. Die Ausweitung der Sumo Logic-Nutzung auf unsere SIEM-Bedürfnisse gibt uns bessere Möglichkeiten zur Zusammenarbeit und Partnerschaft mit den Teams, um Probleme zu lösen, wenn sie auftreten.“
– Nick Kemske, SOC- und Incident Response Manager, SPS Commerce
Ergebnisse
Schnelle Implementierung und Anlaufphase zur Unterstützung der SOC-Anforderungen
Da das Infrastrukturteam die Sumo Logic-Plattform bereits implementiert hatte und die Logs des Unternehmens aus den Infrastrukturdatenquellen erfasste, konnte das SOC-Team bei der Einführung der Plattform schnell Fortschritte machen. Die Verwendung der Cloud-Collectors der Plattform machte es dem Team leicht, zusätzliche Datenquellen aus ihren Sicherheitstools zu integrieren, z. B. die Lösungen von CrowdStrike und Tenable des Unternehmens.
„Sumo Logic erleichtert den Einstieg, indem es alle in der Anwendung vorinstallierten Funktionen nutzt, wie etwa die sofort einsatzbereiten Sicherheitsregelsätze“, sagt Kemske und fügt hinzu: „Es gibt jede Menge wirklich fantastische Dokumentationen zur Funktionsweise der gesamten Plattform, mit deren Hilfe wir uns wirklich schnell einarbeiten konnten.“
Eine einzige Quelle für Sicherheitstelemetrie und Erkenntnisse
Da Sumo Logic alle gewünschten Logdaten aufnimmt, ist die Lösung nun die maßgebliche Sicherheitsdatenquelle für das SOC-Team. „Alles fließt in Sumo Logic ein und steht zur Überwachung unserer Sicherheit zur Verfügung. In meinem Team gibt es den Spruch „alles heißt alles“, wenn es um Sicherheit und die Bedeutung der Überwachung aller Bereiche geht“, so Kemske.
Von Switches und Routern bis hin zu AWS- und Azure-Logs laufen alle Telemetriedaten in Sumo Logic zusammen, um Alerts zu ordnen und Bedrohungen in der gesamten Infrastruktur des Unternehmens zu korrelieren. Basierend auf dem Anwendungsfall der Datenquelle für die Sicherheitsanalyse nutzt das SOC-Team das flexible Data Tiering von Sumo Logic, um festzulegen, welche Quellen Cloud-SIEM kontinuierlich verarbeiten und analysieren soll.
Mit integrierten Threat Intelligence-Feeds nutzt das SOC-Team die mehr als 700 vordefinierten Regeln von Cloud-SIEM zusammen mit den benutzerdefinierten Regeln des Teams, um angereicherte und umsetzbare Erkenntnisse zu erhalten. „All das wird in Cloud-SIEM zusammengeführt, das wiederum den Untersuchungsworkflow für mein Team in Gang setzt – es funktioniert einfach wunderbar und mühelos“, so Kemske.
Schnellere Ermittlungen durch Automatisierung und eine einteilige Ansicht
Vor der Einführung von Cloud-SIEM basierte der Untersuchungsworkflow des SOC-Teams auf 20 separaten System-Dashboards, die einen langwierigen, manuellen Aufwand erforderten, um einen Überblick über den gesamten Footprint des Unternehmens zu gewinnen. Mit Cloud-SIEM hat das Team nun einen Überblick über die Vorgänge in der Umgebung “ und das alles von einer einzigen Konsole aus, ohne dass das Team zwischen verschiedenen Tools wechseln muss.
„Cloud-SIEM hat unseren Wechsel von einem sehr routinemäßigen, manuellen Prozess zu einem viel stärker automatisierten Prozess unterstützt. Das hat uns wirklich geholfen, Transparenz zu schaffen und Zeit bei unseren Untersuchungen zu sparen“, erklärt Kemske und fügt hinzu: „Da wir JIRA-Tickets auch ganz einfach von Cloud-SIEM aus starten können, können wir uns viel besser so mit unseren Lieferteams und Partnern integrieren, wie es von uns erwartet wird.“
