Einblick in das erste Jahr der SOC Automationsoperationen

Es ist etwas mehr als ein Jahr vergangen, seit SOC Prime sich auf seine aktuelle Mission begeben hat – Effizienz in die ausgefeiltesten Cyber-Security-Technologien durch Automatisierung, Wissenskonsolidierung und Fusion bestehender markführender Technologien zu bringen. Mit modernen Schlagworten behaupteten wir, dass wir „Cyber-Security handlungsfähig machen“ würden, indem wir die Erkennung bekannter Bedrohungen automatisieren und Werkzeuge bereitstellen, sowie FTE für den Kampf gegen unbekannte Bedrohungen freisetzen. Während viele Unternehmen da draußen das gleiche Ziel verfolgen, glauben wir, dass keine einzelne Lösung oder Organisation allein die Gegner bekämpfen kann und es offensichtlich ein kollektives Verteidigungssystem braucht. Nun, ich bin stolz bekannt zu geben, dass wir heute unsere ersten Schritte gemacht haben, um dieses Ziel zu verwirklichen. Heute verkündet SOC Prime die Vereinigung unserer beiden Kernprodukte, Predictive Maintenance für SIEM und Integration Framework, unter einer einzigen Plattform für Sicherheits- und Intelligenzmanagement.

Heutzutage können wir fest behaupten, dass die aktuelle Geschwindigkeit der Erkennung von Sicherheitsverletzungen verbessert werden kann und sie drastisch niedriger sein kann als die berüchtigten 200 Tage. Und eine der ersten Antworten liegt in der Automatisierung vieler Routineoperationen eines modernen SOC und dem Zusammenführen der Technologien, die in der Branche schon lange etabliert sind. Wie viele von Ihnen hat unser Team jahrelang in den Erste-Linie-Betrieb von SIEM-Implementierungen investiert und wie viele von Ihnen sind wir durch all die unterhaltsamen und herausfordernden Dinge wie das Schreiben von Parsern, die Entwicklung von Use Cases, Dimensionierung, Umfangsbestimmung, die Suche nach Workarounds und das Veranlassen, dass all diese komplexen Systeme das tun, was sie sollen – Sicherheitsvorfälle erkennen! Wenn wir darüber nachdenken, hängt eine genaue Erkennung von mehreren Faktoren ab, einschließlich: der Verfügbarkeit von Log-Daten und externen Feeds, der Qualität der von SIEM konsumierten Daten, die mit der richtigen Analyse in dem Moment beginnt, in dem sie aus der Log-Quelle extrahiert wird, und mit Kategorisierung & Anreicherung endet, die Leistung der Plattform selbst, die ständige Aufmerksamkeit des Administrators benötigt, die Genauigkeit von Asset- und Netzwerkdateninformationen und nicht zuletzt – die Sicherheit des SIEM-Systems selbst.

All dies war über ein Jahrzehnt hinweg eine gründliche manuelle Arbeit, und all dies ändert sich jetzt, da wir fortschrittlichere Werkzeuge anwenden, um unsere täglichen Arbeiten einfacher zu machen und unsere Ressourcen effizienter zu nutzen. Dafür ist unser Predictive Maintenance-Modul ausgelegt – die Sichtbarkeit in das Herz Ihres SOCs zu verbessern und Ihnen bei Bedarf sofort vollständigen Einblick und Antworten zu geben. Es wird keine Zweifel mehr geben oder den Raum für wilde Vermutungen darüber, ob ein SIEM die Daten erfasst hat, die Sie benötigen, und ob es sie bereitstellen kann, wenn sie benötigt werden. Jetzt können Sie sich auf die Fakten verlassen und jederzeit ein vollständiges Bild sehen.

Doch SIEM selbst ist nur ein Teil einer soliden Sicherheitsinfrastruktur und muss sich mit einer Vielzahl von Geräten und Sicherheitstechnologien verbinden. Wie SANS Anfang 2015 feststellte, gaben mehr als 52 % der Unternehmen, die an der SOC-Umfrage teilnahmen, an, dass sie wenig Einblick in die Konfigurationen und Schwachstellen ihrer Assets haben, was wiederum die Effizienz der Reaktion auf Vorfälle reduziert. Während Schwachstellenmanagement- und Compliance-Bewertungssysteme seit 1999 im Einsatz sind und sowohl in Bezug auf Genauigkeit als auch Geschwindigkeit ihrer Arbeit großen Erfolg erzielt haben, gibt es immer noch eine Lücke bei der Operationalisierung, wenn es um SOC geht. Und diese Lücke wird durch die vollständige Integration von Schwachstellenmanagement-Technologien mit SIEM geschlossen und ist daher eines der ersten Dinge, die wir über unser Integrations-Framework bearbeitet haben.

Zusammen mit unseren ersten Kunden und Partnern beweisen wir nun in der Praxis, dass das Framework die Basis für kontinuierliches Schwachstellen- und Asset-Monitoring ist. Nun kann jedes Unternehmen auf der Welt das Schwachstellenmanagement, die Compliance & Konfigurationsbewertungsplattformen in seinen SOC automatisieren. Da nicht jedes Unternehmen gleich ist, was Größe, Infrastruktur, branchenspezifische Details und Vorschriften betrifft, haben wir unsere Plattform entwickelt, um für alle durch reine SaaS- und On-Premise-Editionen verfügbar zu sein, die auf VMware ESXi, Microsoft HyperV, Amazon AWS, KVM & Proxmox Virtualisierungsplattformen bereitgestellt werden können. Werden jedoch Integration und Automatisierung die Sicherheit als Ganzes auf die nächste Evolutionsstufe heben? Noch nicht, und wir haben in den nächsten Monaten noch viel mehr in Planung. Bleiben Sie dran für Updates!