Wie SPS commerce die Sicherheitserkenntnisse von Sumo Logic nutzt, um die Cybersicherheit zu verbessern
Ergebnisse auf einen Blick
Herausforderung
Es war eine Herausforderung, mit dem wachsenden und sich verändernden Geschäft Schritt zu halten und es gleichzeitig vor Cyber-Bedrohungen zu schützen.
Für die Verwaltung der Cybersicherheit seiner umfangreichen Infrastruktur nutzte SPS Commerce ein hybrides Personalmodell, das das interne Team des Security Operations Center (SOC) und einen Managed Services Provider umfasste, der bei der Überwachung von Alarmen rund um die Uhr behilflich war.
„Es ist eine Binsenweisheit, dass die Angreifer nur einmal erfolgreich sein müssen, während unser SOC-Team 100 Prozent der Zeit erfolgreich sein muss. Wir brauchten also wirklich die Transparenz und die Daten, um diese Bedrohungen zu erkennen und darauf zu reagieren“, so Nick Kemske, SOC und Incident Response Manager bei SPS Commerce.
Lösung
Um einen Überblick über die Angriffsfläche des Unternehmens zu erhalten, wollte SPS Commerce einen zentralen Zugriff auf alle Datenquellen, um dem SOC-Team einen genauen Einblick in die Sicherheitslage zu geben. Dies erforderte die Investition in eine SIEM-Lösung.
Als Teil der Anforderungen des SOC-Teams wollten sie eine Lösung, die ihnen den Mehrwert bietet, dieselben Systeme, Protokolle und Metriken zu sehen, die der Rest des Unternehmens zur Überwachung der Umgebung sammelt. Sumo Logic war die perfekte Lösung, da das Infrastrukturteam die Plattform bereits für seine Observability-Anwendungsfälle nutzte.
„Bei der Auswahl eines SIEM wollten wir uns nicht zu weit von dem entfernen, was unsere Infrastrukturpartner tun. Die Ausweitung der Sumo Logic-Nutzung auf unsere SIEM-Bedürfnisse gibt uns eine bessere Möglichkeit, mit den Teams zusammenzuarbeiten und Probleme zu lösen, wenn sie auftauchen“, so Kemske.
„Bei der Auswahl eines SIEM wollten wir uns nicht zu weit von dem entfernen, was unsere Infrastrukturpartner tun. Die Ausweitung der Sumo Logic-Nutzung auf unsere SIEM-Bedürfnisse gibt uns bessere Möglichkeiten zur Zusammenarbeit und Partnerschaft mit den Teams, um Probleme zu lösen, wenn sie auftreten.“
– Nick Kemske, SOC und Incident Response Manager, SPS Commerce
Ergebnisse
Schnelle Implementierung und Anlaufphase zur Unterstützung der SOC-Anforderungen
Da das Infrastrukturteam die Sumo Logic-Plattform bereits implementiert hatte und die Protokolle des Unternehmens aus den Datenquellen der Infrastruktur sammelte, konnte das SOC-Team bei der Einführung der Plattform schnell vorankommen. Die Verwendung der Cloud-Sammler der Plattform machte es dem Team leicht, zusätzliche Datenquellen aus ihren Sicherheitstools zu integrieren, wie z. B. die Lösungen des Unternehmens CrowdStrike und Tenable.
„Sumo Logic erleichtert den Einstieg, indem es alle in der Anwendung vorinstallierten Funktionen nutzt, wie etwa die sofort einsatzbereiten Sicherheitsregelsätze“, sagte Kemske und fügte hinzu: „Es gibt jede Menge wirklich fantastische Dokumentationen zur Funktionsweise der gesamten Plattform, sodass wir uns wirklich schnell einarbeiten konnten.“
Eine einzige Quelle für Sicherheitstelemetrie und Einblicke
Da Sumo Logic alle gewünschten Protokolldaten aufnimmt, ist die Lösung jetzt die maßgebliche Sicherheitsdatenquelle für das SOC-Team. „Alles geht in Sumo Logic für unsere Sicherheitsüberwachung ein. In meinem Team gibt es ein Sprichwort: „Alles bedeutet alles“, wenn es um Sicherheit und die Wichtigkeit einer umfassenden Überwachung geht“, sagte Kemske.
Von Switches und Routern bis hin zu AWS- und Azure-Protokollen laufen alle Telemetriedaten in Sumo Logic zusammen, um Warnungen zu ordnen und Bedrohungen in der gesamten Infrastruktur des Unternehmens zu korrelieren. Basierend auf dem Anwendungsfall der Datenquelle für die Sicherheitsanalyse nutzt das SOC-Team das flexible Data Tiering von Sumo Logic, um festzulegen, welche Quellen Cloud SIEM kontinuierlich verarbeiten und analysieren soll.
Mit den integrierten Bedrohungsdaten-Feeds nutzt das SOC-Team die mehr als 700 vordefinierten Regeln von Cloud SIEM zusammen mit den benutzerdefinierten Regeln des Teams, um angereicherte und umsetzbare Erkenntnisse zu erhalten. „All das wird in Cloud SIEM zusammengeführt, was dann den Ermittlungsworkflow für mein Team in Gang setzt. Es ist wirklich eine großartige und nahtlose Reise“, bemerkte Kemske.
Schnellere Untersuchungen mit Automatisierung und einer Ansicht in einem Fenster
Vor der Einführung von Cloud SIEMbasierte der Untersuchungsworkflow des SOC-Teams auf 20 separaten System-Dashboards, die einen langwierigen, manuellen Aufwand erforderten, um einen Überblick über den gesamten Fußabdruck des Unternehmens zu erstellen. Mit Cloud SIEM hat das Team jetzt einen Überblick über die Vorgänge in der Umgebung – und das alles von einer einzigen Konsole aus, ohne dass das Team zwischen verschiedenen Tools wechseln muss.
„Cloud SIEM hat unseren Wechsel von einem sehr routinemäßigen, manuellen Prozess zu einem viel stärker automatisierten Prozess unterstützt. Das hat uns wirklich geholfen, Transparenz zu schaffen und Zeit bei unseren Untersuchungen zu sparen“, erklärte Kemske und fügte hinzu: „Da wir JIRA-Tickets auch ganz einfach von Cloud SIEM aus starten können, können wir uns viel besser in die von ihnen erwartete Art und Weise mit unseren Lieferteams und Partnern integrieren.“
