Ergebnisse auf einen Blick
Herausforderung
Da das Sicherheitsteam von Netskope weiß, dass Bedrohungen sowohl von außen als auch von innen stammen können, wollte es ein Verfahren zur Überwachung von Insider-Bedrohungen einführen.
Die Aufrechterhaltung einer starken Sicherheitslage ist für Netskope unerlässlich. Sean Salomon, Information Security Analyst bei Netskope, verweist auf eine Studie des Ponemon Institute aus dem Jahr 2022, die besagt, dass Insider-Bedrohungen Unternehmen 15,38 Millionen Dollar pro Vorfall kosten, und bemerkt: „Das ist eine Menge Geld, das Unternehmen nicht verlieren wollen. Das ist einfach kein gutes Geschäft und für einen Sicherheitsanalysten kein schöner Gedanke.“
Als Salomon eine erste Standardarbeitsanweisung (SOP) für die Überwachung von Insider-Bedrohungen durch Netskope entwarf, erkannte er, dass ein manueller Prozess zu viel Zeit, Mühe und Ressourcen erfordern würde. Salomon stellt fest: „Ein manueller Ansatz hätte mindestens fünf Mitarbeiter, zehn Tools und mindestens 90 Minuten Arbeitszeit pro Untersuchung erfordert. Das ist eine Menge an Ressourcen für eine SOP. Und was ist, wenn eine Anfrage an einem Wochenende oder nach den Geschäftszeiten eingeht, wo weniger Mitarbeiter verfügbar sind?“
Um die Überwachung von Insider-Bedrohungen zu optimieren und zu automatisieren, wollte Netskope eine SIEM-Lösung einführen.
Lösung
Für sein Programm zur Überwachung von Insider-Bedrohungen benötigte Netskope schnelle und präzise Einblicke in das Nutzerverhalten, das auf Indikatoren für Insider-Bedrohungen mit hohem Risiko hinweisen kann. Zudem wollte das Unternehmen den Prozess automatisieren, um Ressourcenengpässe zu mildern. Dies erforderte Investitionen in die Echtzeit-Datenanalyse, um Visibilität in die Insider-Bedrohungsaktivitäten von Netskope zu erhalten. Netskope entschied sich dafür für Sumo Logic Cloud-SIEM.
„Cloud-SIEM ermöglicht es uns, diese Versuche der Datenexfiltration durch Insider frühzeitig zu erkennen, so dass wir so schnell wie möglich gegen sie vorgehen und die Auswirkungen einer potenziellen Insider-Bedrohung begrenzen können. Wir erhalten all diese Informationen automatisch und verlassen uns dabei weder auf Menschen noch auf Tabs, sondern nur auf ein Tool – Sumo Logic.“
– Sean Salomon, Information Security Analyst
Ergebnisse
Automatisierte Überwachung von Insider-Bedrohungen
Mit Cloud-SIEM, das nativ in der Cloud entwickelt wurde, können Sie mit vorgefertigten Anwendungen, einschließlich sofort einsatzbereiter Dashboards, Abfragen und Regeln, ganz einfach tiefe Einblicke in die Sicherheit gewinnen. Cloud-SIEM nimmt Daten auf und führt die vielen Datenquellen von Netskope zusammen, wie z. B. Endpoint Detection and Response (EDR), Cloud-Storage und Marketing- und Vertriebs-Tools, um eine zentrale Sicherheitsüberwachung und kontextbezogene Einblicke zu ermöglichen.
„Durch den Einsatz von Sumo Logic Cloud-SIEM wurde die gesamte Standardarbeitsanweisung (SOP) für die Insider-Bedrohungsüberwachung bei Netskope vollständig automatisiert. Dies verkürzt unsere Reaktionszeit signifikant, reduziert das Risiko menschlicher Fehler und gewährleistet, dass wir effiziente und effektive Entscheidungen treffen können“, so Salomon.
Robuste Analyse für Datenexfiltrationsversuche
Während der Untersuchung einer Insider-Bedrohung ermöglicht Sumo Logic Netskope die Analyse historischer Daten sowie die Überwachung der aktuellen Aktivitäten eines Benutzers. „Es besteht immer das Potenzial, dass ein Benutzer gegen die besten Interessen des Unternehmens handelt, wenn er plant, das Unternehmen zu verlassen, und Cloud-SIEM hilft uns, dieses Risiko zu mindern“, sagte Salomon.
Netskope nutzt die Content-Management-API von Cloud SIEM, um zu erkennen, wenn Benutzer Massen-Downloads von Daten initiieren oder versuchen, Daten extern mit einer privaten E-Mail-Adresse oder der Adresse eines Wettbewerbers zu teilen. Selbstverständlich besteht auch die Möglichkeit, dass ein Benutzer versucht, Daten auf einen externen USB-Speicher zu kopieren, und Cloud SIEM überwacht auch diese Aktivität. Mithilfe der Search API der Lösung hat Salomon einen Suchauftrag eingerichtet, der alle fünf Sekunden prüft, ob ein Benutzer Daten auf ein externes USB-Laufwerk übertragen hat.
Dieser Workflow kann 200–300 Aktionen umfassen, um die Erfassung aller erforderlichen Informationen zu automatisieren. Das Team muss sich nicht mehr mit einer Vielzahl von API-Endpunkten oder einer Reihe verschiedener Tools verbinden und Zugangsdaten austauschen.
