Die Cyber-Defense-Lösung
Die Cyber Defense Lösung setzt sich aus verschiedenen technischen Komponenten und organisatorischen Einheiten mit unterschiedlichen Funktionen und Aufgaben zusammen. Erst die optimale Abstimmung ergibt einen Gesamtaufbau, der Ihnen wirklichen Schutz vor Cyberattacken bietet.
Das Zielbild für eine effektive Verteidigung
Wie soll Ihre Lösung aussehen?
terreActive empfiehlt diesen in der Praxis erprobten Lösungsaufbau.
Die IT-Infrastruktur
Die zu überwachende IT-Infrastruktur bildet die Basisplattform der Lösung. Hiermit sind alle Systeme, Appliances und Applikationen gemeint, die für die Erbringung geschäftskritischer Anwendungen und zum Schutz der Infrastruktur vorhanden sind. Sie liefern wertvolle Informationen in Form von Maschinendaten (z.B. Logdaten) an das zentrale Security Monitoring Framework.
SIEM: Das Security Monitoring Framework
Das Herzstück der Security Monitoring Lösung bildet das Framework, wo alle Daten gesammelt und gespeichert werden. Beim Baselining wird der Normalzustand definiert um davon ausgehend später Abweichungen feststellen zu können. Im Framework werden zusätzlich die Daten korreliert und als vordefinierte Events, sogenannte kundenspezifische Use Cases, zur Analyse weitergeleitet.
Das Security Operations Center
Sicherheitsrelevante Vorfälle, die durch das Monitoring erkannt wurden, werden im SOC durch ein CERT (Computer Emergency Response Team) bearbeitet. Die Experten kümmern sich um die Verifikation und den Follow-Up, der je nach Ereignis variiert und in Prozessen festgelegt ist. In grösseren Organisationen wird diese Funktion von einem separaten Team innerhalb der Security-Abteilung wahrgenommen. Diese Gewaltentrennung bedeutet einen zusätzlichen Sicherheitsnutzen und entlastet die Betriebsorganisation.
Gute Visualisierung hilft für eine schnelle Erkennung - und Geschwindigkeit kann im Falle einer Cyberattacke entscheidend sein. Eine gute Security Monitoring Lösung unterstütz das SOC durch Konzentration der wichtigsten Daten in grafisch aufbereiteten Dashboards. Gleichzeitig können die Daten zur Generierung von Berichten oder zur Analyse und Ursachenforschung verwendet werden.
Die Stakeholder
Durch den zentralisierten Security Monitoring Ansatz können die Daten, bzw. die Reports daraus, einer Vielzahl von Interessensgruppen in geeigneter Form zur Verfügung gestellt werden. Jeder Stakeholder - ob technisch versiert, auf Compliance bedacht oder Mitglied der Geschäftsleitung - erhält seinen Bericht in einer für ihn verständlichen Form aufbereitet. Die Bandbreite der Personen, die an den Reports interessiert sind, kann weit über IT-Sicherheit hinausgehen und beinhaltet unter anderem auch den Applikationsverantwortlichen, die Entwicklung und die Business Owner.