Ergebnisse auf einen Blick
Herausforderung
Endowus musste seine Sicherheitsvorkehrungen verbessern, die Tools rationalisieren und die Alarmmüdigkeit reduzieren.
Als Endowus vor drei Jahren begann, seine Sicherheitsinfrastruktur aufzubauen, stieß das Unternehmen schnell auf ein erhebliches Tool-Chaos. Mit der Implementierung verschiedener Sicherheitstools, darunter E-Mail-Sicherheit und Lösungen zur Verhinderung von Datenverlust, gingen Alarme aus zahlreichen Quellen ein, was zu einer überwältigenden Flut von Benachrichtigungen führte. Hinzu kam, dass das Sicherheitsteam die Alarmierungssysteme über mehrere Dashboards hinweg ständig überwachen und feinabstimmen musste, wodurch das Sicherheitsmanagement komplex und zeitaufwendig wurde.
Um den Überblick wiederzuerlangen und die Effizienz zu verbessern, war Alvin Lim, Leiter der Abteilung für Informationssicherheit bei Endowus, auf der Suche nach einer Cloud-SIEM-Lösung, die seine Sicherheitstools in einer einzigen, zentralisierten Plattform vereinen konnte.
Lösung
Nachdem man mit drei verschiedenen Logging-Lösungen gesprochen und mit zwei davon ein Proof of Concept (POC) durchgeführt hatte, entschied man sich schließlich aus drei wichtigen Gründen für Sumo Logic: die einfache Integration, Wartung und erweiterte Alert-Feinabstimmung.
Einfache Integration in bestehende Tools
Die Cloud-native Architektur von Sumo Logic machte es Endowus einfach, die wichtigsten Datenquellen zu integrieren, darunter AWS, SentinelOne, Google Workspace und ihr Secure Web Gateway. Im Gegensatz zu anderen Anbietern, die komplexe Installationen und zusätzliche Umgehungslösungen erfordern, vereinfachte Sumo Logic die Log-Erfassung und sorgte für kontinuierliche Transparenz in der gesamten Sicherheitsumgebung.
„Der andere Anbieter, den wir evaluiert haben, war nicht Cloud-nativ, daher hätten wir mehr Hürden überwinden müssen, um die Logdaten ordnungsgemäß zu erfassen. Seit der Implementierung von Sumo Logic ist die Integration nahtlos“, sagte Lim.
Alert-Feinabstimmung und verkürzte Ermittlungszeit
Vor Sumo Logic war das Team von Alarmmüdigkeit überwältigt und benötigte etwa eine Stunde, um jeden Alarm zu untersuchen. Rückblickend auf die Zeit vor der Implementierung von Sumo Logic sagt Lim: „Wir wurden mit Alarmen überschwemmt, bei denen wir nicht wussten, ob sie relevant waren oder nicht, was dem Team viel Stress bereitete, da wir nicht wussten, ob eine Eskalation nötig war. Mit Sumo Logic haben wir nun klare Einblicke in das Geschehen, und unsere Untersuchungszeit ist deutlich gesunken.“
Cloud-native Flexibilität und Skalierbarkeit
Als kleines, aus zwei Entwicklern bestehendes Team, benötigte Endowus eine Lösung, die einfach zu verwalten war, ohne unnötigen Aufwand zu verursachen. Die intuitive Plattform von Sumo Logic, die sofort einsatzbereiten Regeln und die automatische Regelwartung ermöglichten es auch Teammitgliedern ohne tiefgreifende technische Kenntnisse, zum Sicherheitsbetrieb beizutragen.
Starker ROI und vertretbare Investition
Für Endowus war das Kosten-Nutzen-Verhältnis der Schlüssel zur Auswahl der richtigen Sicherheitslösung. Neben den Funktionen und Möglichkeiten musste auch der ROI vertretbar sein. Sumo Logic zeichnete sich nicht nur durch sein umfassendes Sicherheitsangebot aus, sondern auch durch seine im Vergleich zu Alternativen günstigen Preise.
Lim nutzte außerdem Sumo Logic Flex Licensing, sodass seine Kosten auf Basis des Insights- und Analytics-Volumens berechnet wurden und nicht nach der Datenmenge, wodurch die Lösung mit seinen sich entwickelnden Anforderungen skaliert werden konnte. Diese Flexibilität ermöglichte es ihnen, die Nutzung je nach Anwendungsfall zu erhöhen oder zu verringern und sich an neue Anforderungen anzupassen, während die Kosten unter Kontrolle blieben.
„Budgetfreigaben für neue Tools können oft eine Herausforderung sein. Als Sicherheitsverantwortliche müssen wir für Investitionen eintreten, an die wir glauben. Sumo Logic ergab für uns logischerweise Sinn, da wir den Wert des Services klar erkennen konnten“, so Lim.
„Sumo Logic hilft uns, die Auswirkungen zu beschleunigen, indem es wichtige Erkenntnisse identifiziert und uns einen klaren Weg zur Untersuchung und Abhilfe aufzeigt, und das alles über eine optimierte, konsolidierte Cloud-SIEM-Plattform.“
– Alvin Lim, Leiter Informationssicherheit
Ergebnisse
Um 90 % reduzierter Zeitaufwand für die Untersuchung von Alerts
Mit Sumo Logic Cloud SIEM kann das Endowus-Team verdächtige Aktivitäten schnell erkennen, Fehlalarme reduzieren und sicherstellen, dass jeder Alarm handlungsrelevant ist. Früher benötigten sie etwa eine Stunde, um jeden einzelnen Alarm zu untersuchen. Heute werden harmlose Alarme in nur fünf bis zehn Minuten bearbeitet, sodass sich das Team auf echte Bedrohungen konzentrieren kann.
Verbesserte Erkennung von und Reaktion auf Vorfälle
Durch die Beseitigung von Datensilos hat Endowus einen umfassenden Überblick über seine Sicherheitslandschaft und kann dadurch Angriffsvektoren aufspüren und die Ursachen von Vorfällen identifizieren.
In einem Fall half Sumo Logic Endowus, einen Phishing-Vorfall frühzeitig zu erkennen, bevor er Auswirkungen hatte. Durch die Integration der Daten aus den verschiedenen Tools von Endowus konnte das Team verdächtiges Verhalten schnell identifizieren und die Bedrohung abwehren, bevor sie nennenswerten Schaden anrichtete.
Im Rückblick auf diesen Vorfall bemerkt Lim: „Dank Sumo Logic konnten wir die Quelle des Angriffs frühzeitig erkennen und Maßnahmen ergreifen, bevor echter Schaden entstand. Außerdem konnten wir durch die Integration all unserer zusätzlichen Tools in Sumo Logic das volle Ausmaß des Schadens einschätzen und ihn schnell begrenzen.“
Das benutzerfreundliche, spielerisch gestaltete Dashboard von Sumo Logic hilft dem Sicherheitsteam von Endowus, den Verlauf von Vorfällen leicht nachzuverfolgen und Zusammenhänge zwischen verschiedenen Datenpunkten zu erkennen. Selbst nicht-technische Anwender können sich problemlos im System zurechtfinden, wodurch Untersuchungen schneller und effizienter werden.
Lim dazu: „Die Sumo Logic Plattform ist optisch ansprechend und reagiert schnell, was es einfach macht, große Datenmengen zu verwalten, zu verarbeiten und zu analysieren. Dadurch werden Verzögerungen minimiert, die den Prozess behindern könnten. Die gesamte Benutzeroberfläche von Sumo Logic reagierte äußerst schnell, hielt uns engagiert und half, das Momentum aufrechtzuerhalten.“
Individuelle Verwaltung von Alerts für eine maßgeschneiderte Risikobereitschaft
Endowus nutzt die anpassbaren Alarm-Management-Funktionen von Sumo Logic, um die Sicherheitsüberwachung besser auf seine individuellen Bedürfnisse abzustimmen. Durch die Anpassung von Schwellenwerten für verschiedene Datenquellen minimiert Endowus die Alarmmüdigkeit und stellt sicher, dass die erhaltenen Alerts handlungsrelevant und sinnvoll sind.
Lim erklärt: „Wir wollten in der Lage sein, Schwellenwerte für jedes Tool und jede Datenquelle anzupassen, um sie an unsere Risikobereitschaft anzupassen. Zum Beispiel überwachen wir das Nutzerverhalten in Google Drive, um sicherzustellen, dass Teams flexibel arbeiten können, ohne die Sicherheit zu gefährden. Wenn ein Nutzer innerhalb kurzer Zeit übermäßig sensible Daten herunterlädt, werden wir alarmiert und können sofort untersuchen.“
Für die Zukunft hofft Lim zudem auf die UEBA von Sumo Logic sowie andere KI-gestützte Funktionen, um das Alert-Management des Unternehmens mithilfe der Automatisierung und KI zu verbessern.
„Allein durch die manuelle Anpassung der Schwellenwerte haben wir bereits eine Verbesserung der Alarmqualität festgestellt. Wir sind gespannt darauf, das Potenzial der KI-Funktionen von Sumo Logic zu nutzen, um unsere Prozesse effizienter zu gestalten. Diese Funktionen werden unser Sicherheitsteam befähigen, potenzielle Bedrohungen zu erkennen, zu beheben und zu entschärfen. Wir möchten unsere Abdeckung erhöhen und schneller Maßnahmen ergreifen, und ich freue mich sehr, dass Sumo Logic solche Funktionen entwickelt, um sicherzustellen, dass wir unsere Ziele erreichen.“
Steigerung der Mitarbeiterzufriedenheit
Insgesamt hat Endowus festgestellt, dass die Zufriedenheit des Teams seit der Implementierung von Sumo Logic gestiegen ist. Laut Lim sind seit der Umstellung auf Sumo Logic die Sicherheitsabläufe effizienter und die Moral im Team ist gestiegen.
„Es gibt weniger Frustration“, so Lim. „Früher mussten wir sechs oder sieben Alarme durchsehen, von denen fünf nicht hilfreich waren. Das ist mit Sumo Logic nicht mehr der Fall. Es hat das Team gestärkt, das nun neugierig ist, die Funktionen des Services weiter zu entdecken. Es befähigt sie, ihre Arbeit besser zu machen als zuvor.“
Mehr Transparenz, weniger Stress
Vor der Einführung von Sumo Logic stand Endowus vor einer großen Herausforderung. Das Unternehmen hatte keinen Überblick über die AWS-Sicherheitswarnmeldungen. Dies erschwerte es dem Sicherheitsteam, gründliche Untersuchungen durchzuführen, wobei die Teammitglieder oftmals verunsichert waren.
„Früher waren wir überfordert“, erinnert sich Lim. „Es kamen mehrere Alarme rein, und die Tatsache, dass wir sie nicht bearbeiten konnten, gab uns ein unangenehmes Gefühl. Noch beunruhigender war die Möglichkeit, dass echte Bedrohungen durchrutschen könnten, die wir nicht erkennen konnten.“
Sumo Logic hat alles verändert. Durch die Weiterleitung von AWS Cloudtrail-Logs in Cloud-SIEM hat Endowus einen tieferen Einblick in Sicherheitsereignisse, ohne komplexe Regelsätze manuell pflegen zu müssen. Mit Cloud-SIEM, das Alarme automatisch mit Sicherheitsrahmenwerken wie MITRE ATT&CK korreliert, erhält Endowus verwertbare Erkenntnisse darüber, was passiert ist und was möglicherweise passieren könnte, sowie Abhilfemaßnahmen zur Risikominderung.
„Sumo Logic hilft uns, den Impact zu beschleunigen, indem es wichtige Erkenntnisse identifiziert und uns einen klaren Weg für die Untersuchung und Behebung aufzeigt – alles über eine vereinfachte, konsolidierte Cloud-SIEM-Plattform“, so Lim.
Einfaches Onboarding und laufende Unterstützung
Obwohl Endowus zuvor nur wenig Erfahrung mit Sumo Logic hatte, konnte das Unternehmen mit Unterstützung des Sumo Logic-Kundenerfolgsteams schnell Fuß fassen. Vom anfänglichen POC bis zur vollständigen Implementierung profitierte das Unternehmen von einer praktischen Unterstützung, persönlichen Schulungen sowie Sumo Logic-Zertifizierungsprogrammen, wodurch die gesamten Fähigkeiten von Sumo Logic voll ausgeschöpft werden konnten.
Er merkt an: „Wir hatten anfangs wenig bis gar keine Erfahrung mit Sumo Logic, aber es war nicht schwer für uns, Dinge zu lernen, dank der Unterstützung des Customer-Success-Teams von Sumo Logic. Das Customer-Success-Team fungierte als erweiterte Version unseres Teams und half uns, schnell vollständig auf den neuesten Stand zu kommen.“
Lim betont, dass er Sumo Logic aus verschiedenen Gründen anderen Sicherheitsverantwortlichen empfiehlt: „Der ROI mit Sumo Logic ist extrem hoch. Man bekommt für jeden ausgegebenen Dollar einen echten Mehrwert. Noch wichtiger ist, dass es für ein beruhigendes Gefühl sorgt, weil man die Möglichkeit hat, bei Bedarf tiefgehende forensische Untersuchungen durchzuführen. Es ist ein leistungsstarkes Tool, das hilft, die eigenen Sicherheitsziele zu erreichen. Es ist ein sehr geschätztes Tool mit einer vollständigen Reihe von Funktionen, und Sumo Logic stellt sicher, dass die entscheidenden Sicherheitsziele erfüllt werden.“
