Ergebnisse auf einen Blick
Herausforderung
Mit einem kleinen Sicherheitsteam musste das Unternehmen seine Sicherheitsvorkehrungen für eine bessere Echtzeit-Transparenz verbessern.
Als Finanzdienstleister, der Kunden in Australien, Neuseeland, Kanada und Singapur betreut, muss Latitude Financial eine Reihe von regionalen Compliance-Anforderungen einhalten. Deshalb musste das Unternehmen seine IT-Sicherheitsinvestitionen und -prozesse überprüfen.
Zu dieser Zeit bestand das Sicherheitsteam aus drei Analysten und der gesamte Sicherheitsbetrieb war stark von einem Drittanbieter von Managed Security Services (MSSP) abhängig. Intern hatte Latitude Financial Sumo Logic für die Protokollverwaltung eingesetzt, aber an der Sicherheitsfront verfügte das Unternehmen nicht über eine SIEM-Lösung (Security Information and Event Management), und es gab keinen durchgängigen Echtzeit-Einblick in den Sicherheitsstatus der Umgebung.
Lösung
Um das unternehmenseigene Security Operations Center (SOC) auszubauen, evaluierte Latitude Financial mehrere SIEM-Lösungen und entschied sich für Sumo Logic Cloud SIEM als erste Wahl. Mehrere Faktoren waren für das Sicherheitsteam ausschlaggebend für die Entscheidung, Sumo Logic einzusetzen, darunter
- Hervorragendes Engagement des Anbieters und ein hohes Maß an Unterstützung
- Schnelle Bereitstellung in nur wenigen Tagen
- Benutzerfreundliche Oberfläche, die es einfach macht, Informationen über Entitäten zu untersuchen und zu vertiefen, ohne zu anderen Tools wechseln zu müssen
- Cloud-native Architektur und Speicher, die die Verwaltung von Backups überflüssig machen
„Wir verfügen jetzt über eine robuste und zuverlässige Lösung, die viel mehr ist als ein herkömmliches SIEM-Tool. In Verbindung mit den leistungsstarken Dashboards von Sumo Logic ist es nicht mehr nötig, zwischen verschiedenen Tools zu wechseln, und die Lösung hat die Erkennungs- und Reaktionsfähigkeiten unseres SOC ausgereifter gemacht.“
– Paul Maddicks, Senior Security Operations Analyst
Ergebnisse
Gestärkte Sicherheit mit Transparenz und umsetzbaren Erkenntnissen
Der erste Schritt für das Sicherheitsteam war die Implementierung von Sumo Logic Cloud SIEM, um Einblick in die gesamte Infrastruktur des Unternehmens zu erhalten. Latitude Financial hat 3.000 Mitarbeiter, die an verschiedenen Standorten arbeiten und eine Reihe von Workstations, Servern und anderen Tools sowohl vor Ort als auch in AWS-Cloud-Umgebungen einsetzen. Die Einrichtung von Integrationen war für Sumo Logic ein einfacher Prozess, um Telemetriedaten aus der Umgebung aufzunehmen. Das Unternehmen verfügt nun über 46 Sicherheitsquellen, die Sumo Logic analysiert und in die SOC-Dashboards des Teams einspeist.
Durch die Zentralisierung der Daten in Sumo Logic für die Sicherheitsanalyse gewann Latitude Financial effektiv Echtzeit-Sicherheitseinblicke in die gesamte Infrastruktur und den Sicherheitsstapel. Sumo Logics tägliche Aufnahme von 100 GB erzeugt 61 Millionen Datensätze und mehr als 100.000 Signale. Diese liefern dem Sicherheitsteam täglich acht bis zehn verwertbare Erkenntnisse.
Die leistungsstarken Korrelations- und Analysefunktionen von Cloud SIEM ermöglichen es dem Team, sich effizient auf die täglichen Erkenntnisse zu konzentrieren, die Aufmerksamkeit erfordern. Ausgestattet mit sofort einsatzbereiten Lösungen und benutzerdefinierten Dashboards, nutzt das Sicherheitsteam 184 Sicherheits-Dashboards, die die Verwaltung des Untersuchungsprozesses vereinfachen. Die Dashboards sind interaktiv und ermöglichen es den Sicherheitsexperten, mit einem einzigen Mausklick tiefer in die Details der Untersuchung vorzudringen und sogar Details über die Entitäten aus integrierten Tools einzuholen. Diese Effizienz und Benutzerfreundlichkeit erlauben es dem Team, Untersuchungsabläufe schnell abzuschließen.
„Wir verfügen nun über eine robuste und zuverlässige Lösung, die weit mehr ist als ein herkömmliches SIEM-Tool. In Verbindung mit den leistungsstarken Dashboards von Sumo Logic ist es nicht mehr notwendig, zwischen verschiedenen Tools hin und her zu wechseln, und die Lösung hat die Erkennungs- und Reaktionsfähigkeiten unseres SOC wirklich verbessert“, so Paul Maddicks, Senior Security Operations Analyst bei Latitude Financial.
Höherqualifiziertes Team durch Sumo Logic-Zertifizierungen
Latitude Financial now has ten seasoned security analysts on the SOC team, which has empowered the company to increase its focus on initiatives that advance and deepen the team’s security skills. Part of the team’s development is made possible by making full use of Sumo Logic’s training and certification program. Interactive training and virtual cert jams have provided such great value that Latitude Financial has made it a prerequisite for its security analysts to complete the training and obtain the required certification.
„Die Sumo Logic-Schulungszertifizierungen haben unsere Analysten weitergebildet, ihr Wissen über das Produkt erweitert und ihr Vertrauen gestärkt. Dadurch ist unser Team effizienter und kann schnell reagieren, eine Triage vornehmen und Erkenntnisse untersuchen“, so Maddicks.
Agile Bedrohungsjagd zur Untersuchung, Validierung und Behebung von IOCs
Latitude Financial nutzt Sumo Logic Cloud SIEM, um seine SOC-Playbooks und -Prozesse kontinuierlich zu verbessern. Das Sicherheitsteam wendet außerdem eine rigorose Bedrohungsjagd an, die neben der Aufdeckung von Kompromissindikatoren (Indicators of Compromise, IOCs) auch Möglichkeiten zur Optimierung und Verbesserung der Erkennungsfunktionen von Cloud SIEM aufzeigt. Die umfassenden Daten der Plattform in Kombination mit der einfachen Abfragesprache machen die Suche und das Aufdecken verdächtiger Aktivitäten für die Experten der Bedrohungsjagd einfach und leistungsstark.
Maddicks berichtet zum Beispiel, dass „Sumo Logic einen Hinweis auf ein nicht genehmigtes Fernzugriffs-Tool lieferte, was den Anstoß für die Jagd nach Bedrohungen durch das Team gab. Sie entdeckten schnell Instanzen von TeamViewer auf Laptops und durchsuchten die Protokolldaten von Sumo Logic, um den Namen des Laptops, den Benutzernamen, die IP-Adresse und den Ort, an den der Laptop funkte, zu identifizieren.“ Innerhalb kürzester Zeit bestätigten die Bedrohungsjäger, dass es sich bei den Erkenntnissen über einen möglichen IOC tatsächlich um eine echte Bedrohung handelte, und beseitigten sie erfolgreich.
