Home » IT-Security » SOC als Managed Services » Vorgehensweise & Ergebnisse » 

Vorgehensweise & Ergebnisse

RadarServices bietet pro-aktive und kontinuierliche IT-Sicherheitsüberwachung und -Risikoerkennung in effektiver und effizienter Form durch folgende Technologien und Kenntnisse:

Vorgehensweise

  • Automatisierte IT-Sicherheitsüberwachung und Risikoerkennung rund um die Uhr: Korrelation, Cross-Korrelation und Aggregation von Ereignissen aus Security Information & Event, Management (SIEM) und Logging, Advanced Cyber Intrusion Detection (ACID), Host-based, Intrusion Detection System (HIDS), Vulnerability Management and Assessment (VAS), Software, Compliance (SOCO) und Advanced Email Threat Detection (AETD).
  • Das Risk & Security Intelligence Team, unsere Experten für die Risiko- und Sicherheitsanalyse, bewertet die automatisiert erlangten Erkenntnisse in vorab definierten Intervallen (täglich/wöchentlich/monatlich).

Ergebnis

Die konsolidierten und verifizierten IT-Risiko- und Sicherheitsinformationen sind sofort für den Behebungsprozess verwendbar.

Keine false positives, keine false negatives.

Alle IT-Risiko- und Sicherheitsinformationen werden zentral im Risk & Security Cockpit präsentiert. Maßgeschneiderte und leicht verständliche Risikoberichte und Statistiken sind auf Knopfdruck verfügbar.

Echtzeit-Alarmierung wird auf Basis von festgelegten Schwellwerten ausgelöst.

Vorgehensweise IT-Risikomanagement as a Service

Advanced Correlation Engine

Korrelation innerhalb eines Moduls und Cross-Korrelation von Informationen aus verschiedenen Modulen führen zu einer hochqualitativen Erkennung von Risiken und Sicherheitsproblemen und einem umfassenden Blick auf die Aktivitäten im Unternehmen.

Informationen sind in Organisationen oftmals in Silos vorhanden und werden dadurch möglicherweise vernachlässigt oder unzureichend genutzt. Eine Korrelation von Logs mit Schwachstellen, IDS-Daten, SIEM Erkenntnissen und zahlreichen weiteren Daten lässt einen neuartigen Gesamtüberblick über sicherheitsrelevante Daten entstehen.

Korrelation und Cross-Korrelation basieren auf Regeln, Policies und selbstlernenden Algorithmen: Regeln werden vordefiniert, um Muster zu erkennen. Sie werden kontinuierlich erweitert und auf die Bedürfnisse des Kunden maßgeschneidert. Policies werden verwendet, um festzustellen, ob spezifische Aktionen zur richtigen Zeit und am richtigen Ort stattfinden. Selbstlernende Algorithmen umfassen die Lernfähigkeit der Correlation Engine, zwischen normalem und abnormalem Vorkommen unterscheiden und Verhaltensveränderungen bei Applikationen, Servern und in anderen Netzwerkbereichen erkennen zu können. Eine Verwendung außerhalb der Geschäftszeiten, eine übermäßige Verwendung von Anwendungen oder anderen IT-Services sowie Muster im Netzwerkverkehr über die Zeit und im Vergleich zu vergangenen Perioden (unter Berücksichtigung von täglichen, wöchentlichen, monatlichen und saisonalen Schwankungen) sind Beispiele für die Erkennung von Anomalien.

Die Erkenntnisse werden vom Intelligence Team analysiert. In einer kritischen Situation erhält das Team eine sofortige Alarmierung. In einer vorab definierten, besonders kritischen Situation erhält zudem der Kunde eine Alarmierung.

Risk & Security Intelligence Team

Das Risk & Security Intelligence Team von RadarServices analysiert, konsolidiert und bewertet alle im Rahmen der automatisierten Risikoerkennung gesammelten Daten, um hochqualitative Risiko- und Sicherheitsinformationen zu erreichen. False positives und false negatives werden eliminiert.

Das erfahrene Intelligence Team beschäftigt sich ausschließlich mit der Risikoanalyse bei Kunden und profitiert von der wertvollen Möglichkeit, Analogien über Branchengrenzen hinweg ziehen zu können. Jeden Tag werden tausende Vorkommnisse bearbeitet und korreliert. Darüber hinaus verbessern die Erkenntnisse laufend die Policies und Regeln der automatisierten Risikoerkennung.

Die Aufgabe des Intelligence Teams besteht vor allem auch in der Unterstützung Ihrer IT-Teams. Hochqualitative Risiko- und Sicherheitsinformationen werden in der jeweils gewünschten Detailtiefe zur Verfügung gestellt. Neu entdeckte Risiken werden kontinuierlich integriert. Jede Risikobeschreibung wird mit einer Anleitung für ihre Behebung oder – wenn die Behebung nicht möglich ist – einer Darstellung von Wegen zur Risikominimierung angereichert. Auf diese Art und Weise werden Ihre IT-Risikomanagementprozesse unterstützt und zu Ihrer kontinuierlichen und stets aktuellen Risikoeinschätzung beigetragen.

Das Intelligence Team versteht sich also als Sparringspartner Ihrer IT-Teams. Die erfahrenen und sehr gut aus- und weitergebildeten Mitarbeiter transferieren ihr Wissen im Rahmen der Anleitung des IT-Betriebs bei Behebungsprozessen und – wenn gewünscht – auch beratend bei strategischen Entscheidungen. Jeder einzelne Mitarbeiter verfügt über tiefgreifendes Spezialisten-Knowhow in den Bereichen Security Audit, Penetration Testing, white-hat Hacking und Social Engineering.

Kunden, die sich nach einem Angriff an RadarServices wenden, finden sofort einsatzbereite Experten für fire fighting und Forensik vor. Das Intelligence Team nimmt also die Rolle eines externen CERT Teams ein.

Risk & Security Cockpit

Alle Risiko- und Sicherheitsinformationen werden zentral im Radar Risk & Security Cockpit präsentiert. Maßgeschneiderte und leicht verständliche Risikoberichte und Statistiken sind auf Knopfdruck verfügbar.

Das Cockpit beinhaltet Berichte und Statistiken in der gewünschten Detailtiefe. Das kann ein einseitiger Überblick für einen Vorstand oder Geschäftsführer oder eine Zusammenstellung aus dem weitreichenden Angebot an Berichten und Statistiken über Schwachstellen, Anomalien, Netzwerkdaten, Scans, Services, Inventar, Assets, etc für IT-Teams sein.

Die Ergebnisse der IT-Sicherheitsüberwachung und IT-Risikoerkennung werden dargestellt mit:

  • den festgestellten, klassifizierten und priorisierten Sicherheitsproblemen,
  • dem kompletten Incident Workflow,
  • der Möglichkeit der automatischen Zuordnung zu Usergruppen (Teams) sowie dem Verteilen von Incidents,
  • den internen Zuständigen, die für die Behebung verantwortlich sind sowie dem aktuellen Status im Behebungsprozess.

Alarmierungen werden in dringenden Fällen ausgelöst. Sie sind im Cockpit, via E-Mail und sogar als Push-Mitteilung auf das Mobiltelefon erhältlich.

Die interne und externe Koordination wird durch einen durchgehenden Risikobehebungs-Workflow im Cockpit sowie ein Nachrichten-/Feedback-System für die Kommunikation mit dem Intelligence Team optimiert.

Im integrierten Business Process Risk View werden die durch die IT-Sicherheitsprobleme gefährdeten Geschäftsprozesse aufgezeigt. So ist zum Beispiel ein Server mit zahlreichen Schwachstellen nicht nur eine Gefahr für die IT-Infrastruktur, sondern auch für die IT-Services, die er dem Unternehmen bereitstellt. Die Kommunikation per E-Mail fällt aus, Auftragseingänge über das Webportal werden nicht mehr erhalten oder die Lagerstände können nicht im SAP erfasst werden. Durch die Überleitung von IT-Risiken über Risiken für IT-Services hin zu Geschäftsprozessrisiken werden die Auswirkungen klar und mit all ihren Zusammenhängen auf Knopfdruck nachvollziehbar.

Die Asset Management Funktionen erlauben den Überblick über alles, was sich tatsächlich im Netzwerk befindet, angefangen von der DMZ und dem Unternehmensnetzwerk bis hin zu virtuellen Maschinen und Cloud-Services. Es werden unbekannte Zugriffspunkte, Webserver und andere Geräte, die ein Netzwerk für Angriffe öffnen, erkannt. Die Betriebssysteme von jedem Gerät werden identifiziert, offene Netzwerk-Ports gefunden, aktive Services auf diesen Ports bestimmt und wichtige Informationen über installierte Zertifikate aufgeschlüsselt. Assets werden in Bezug auf eine Vielzahl von Attributen wie z.B. die Netzwerkadresse, offene Ports, das Betriebssystem, die installierte Software oder festgestellte Schwachstellen getagged, um eine automatische Auswahl von Hosts scannen oder Informationen zu diesen berichten zu können.

Risk & Security Cockpit