Ergebnisse auf einen Blick
Herausforderung
Mit einem kleinen Sicherheitsteam musste das Unternehmen seine Sicherheitsvorkehrungen für eine bessere Echtzeit-Transparenz verbessern.
Als Finanzdienstleister, der Kunden in Australien, Neuseeland, Kanada und Singapur betreut, muss Latitude Financial eine Reihe von regionalen Compliance-Anforderungen einhalten. Daher musste das Unternehmen seine IT-Sicherheitsinvestitionen und -prozesse überprüfen.
Zu dieser Zeit bestand das Sicherheitsteam aus drei Analysten und die gesamten Sicherheitsabläufe waren stark von einem externen Managed Security Services Provider (MSSP) abhängig. Intern hatte Latitude Financial Sumo Logic für das Log-Management eingesetzt, aber an der Sicherheitsfront verfügte das Unternehmen nicht über eine SIEM-Lösung (Security Information and Event Management) und es gab keinen durchgängigen Echtzeit-Einblick in den Sicherheitsstatus der Umgebung.
Lösung
Im Rahmen des Aufbaus des unternehmenseigenen Security Operations Center (SOC) evaluierte Latitude Financial mehrere SIEM-Lösungen und entschied sich für Sumo Logic Cloud-SIEM als erste Wahl. Mehrere Faktoren waren für das Sicherheitsteam ausschlaggebend für die Entscheidung für Sumo Logic, darunter
- hervorragendes Engagement des Anbieters und ein hohes Maß an Unterstützung
- schnelle Bereitstellung in nur wenigen Tagen
- benutzerfreundliche Oberfläche, die es einfach macht, Informationen über Entitäten zu untersuchen und zu vertiefen, ohne zu anderen Tools wechseln zu müssen
- Cloud-native Architektur und Speicher, die die Verwaltung von Backups überflüssig machen
„Wir verfügen jetzt über eine robuste und zuverlässige Lösung, die viel mehr ist als ein herkömmliches SIEM-Tool. In Verbindung mit den leistungsstarken Dashboards von Sumo Logic ist es nicht mehr nötig, zwischen verschiedenen Tools zu wechseln, und die Lösung hat die Erkennungs- und Reaktionsfähigkeiten unseres SOC ausgereifter gemacht.“
– Paul Maddicks, Senior Security Operations Analyst
Ergebnisse
Gestärkte Sicherheit mit Transparenz und umsetzbaren Erkenntnissen
Der erste Schritt für das Sicherheitsteam war die Implementierung von Sumo Logic Cloud-SIEM, um Einblick in die gesamte Infrastruktur des Unternehmens zu erhalten. Latitude Financial hat 3.000 Mitarbeiter, die an verschiedenen Standorten arbeiten und eine Reihe von Workstations, Servern und anderen Tools sowohl vor Ort als auch in AWS-Cloud-Umgebungen einsetzen. Die Einrichtung von Integrationen war für Sumo Logic ein einfacher Prozess, um Telemetriedaten aus der Umgebung aufzunehmen, und das Unternehmen verfügt nun über 46 Sicherheitsquellen, die Sumo Logic analysiert, um sie in die SOC-Dashboards des Teams einzuspeisen.
Durch die Zentralisierung der Daten in Sumo Logic für die Sicherheitsanalyse gewann Latitude Financial effektiv Echtzeit-Sicherheitseinblicke über die gesamte Infrastruktur und den Sicherheits-Stack. Die tägliche Aufnahme von 100 GB durch Sumo Logic erzeugt 61 Millionen Datensätze und mehr als 100.000 Signale. Diese liefern dem Sicherheitsteam täglich acht bis zehn verwertbare Erkenntnisse.
Die leistungsstarken Korrelations- und Analysefunktionen von Cloud-SIEM ermöglichen es dem Team, sich effizient auf die täglichen Insights zu konzentrieren, die Aufmerksamkeit erfordern. Ausgestattet mit sofort einsatzbereiten Lösungen und benutzerdefinierten Dashboards nutzt das Sicherheitsteam 184 Sicherheits-Dashboards, die die Verwaltung des Untersuchungsprozesses vereinfachen. Die Dashboards sind interaktiv und ermöglichen es den Sicherheitsexperten, mit einem einzigen Mausklick tiefer in die Ermittlungsdetails vorzudringen und sogar Details zu Entitäten aus integrierten Tools abzurufen. Dank dieser Effizienz und Benutzerfreundlichkeit ist das Team in der Lage, Untersuchungsabläufe schnell abzuschließen.
„Wir verfügen nun über eine robuste und zuverlässige Lösung, die weit mehr ist als ein herkömmliches SIEM-Tool. In Verbindung mit den leistungsstarken Dashboards von Sumo Logic ist es nicht mehr notwendig, zwischen verschiedenen Tools hin und her zu wechseln, und die Lösung hat die Erkennungs- und Reaktionsfähigkeiten unseres SOC wirklich verbessert“, so Paul Maddicks, Senior Security Operations Analyst bei Latitude Financial.
Höherqualifiziertes Team durch Sumo Logic-Zertifizierungen
Latitude Financial verfügt nun über zehn erfahrene Sicherheitsanalysten im SOC-Team. Dies ermöglicht es dem Unternehmen, den Fokus verstärkt auf Initiativen zu legen, die die Sicherheitskompetenzen des Teams weiterentwickeln und vertiefen. Ein Teil der Entwicklung des Teams wird durch die umfassende Nutzung des Schulungs- und Zertifizierungsprogramms von Sumo Logic sichergestellt. Das interaktive Training und die virtuellen Zertifizierungsrunden haben sich als so wertvoll erwiesen, dass Latitude Financial es zur Voraussetzung für seine Sicherheitsanalysten gemacht hat, die Schulung zu absolvieren und die erforderliche Zertifizierung zu erhalten.
“Die Trainingszertifizierungen von Sumo Logic haben unsere Analysten weitergebildet, ihr Produktwissen vertieft und ihr Selbstvertrauen gestärkt. Infolgedessen arbeitet unser Team effizienter und kann Insights zügig bearbeiten, bewerten und untersuchen“, so Maddicks.
Agile Bedrohungsjagd zur Untersuchung, Validierung und Behebung von IOCs
Durch den Einsatz von Sumo Logic Cloud SIEM entwickelt Latitude Financial seine SOC-Playbooks und Prozesse kontinuierlich weiter. Das Sicherheitsteam wendet außerdem eine rigorose Bedrohungsjagd an, die neben der Aufdeckung von Kompromissindikatoren (Indicators of Compromise, IOCs) auch Möglichkeiten zur Optimierung und Verbesserung der Erkennungsfunktionen von Cloud-SIEM aufzeigt. Die umfassenden Daten der Plattform in Kombination mit der einfachen Abfragesprache machen es für die Bedrohungsjagd-Experten einfach und leistungsstark, verdächtige Aktivitäten zu suchen und aufzudecken.
So berichtet Maddicks, dass „Sumo Logic einen Hinweis auf ein nicht zugelassenes Fernzugriffstool lieferte, was den Anstoß für die Bedrohungssuche durch das Team gab. Sie entdeckten schnell TeamViewer auf Laptops und durchsuchten die Logdaten von Sumo Logic, um den Namen des Laptops, den Benutzernamen, die IP-Adresse und den Ort, an den der Laptop gesendet wurde, zu identifizieren.“ Innerhalb kürzester Zeit konnten die Analysten bestätigen, dass es sich bei den Erkenntnissen über einen möglichen IOC tatsächlich um eine echte Bedrohung handelte, und diese erfolgreich beseitigen.