Time to Respond – So funktioniert Angriffsabwehr!

Oktober 2015 | Wirtschaftswoche | Sicherheit

Time to Respond – So funktioniert Angriffsabwehr!

Sicherheitsvorfälle bestimmen heute den Alltag in den Security-Teams. Automatisierung ist dabei der Schlüssel, um die Flut von Ereignismeldungen bewältigen zu können.

Beitrag iT-CUBE SYSTEMS AG / Unternehmensbeitrag

Viele Organisationen haben leistungsfähige SIEM-Systeme implementiert, mit deren Hilfe die Informationsaufbereitung aus Logs, Events, Feeds usw. stattfindet. Damit ist eine wichtige Metrik in der IT-Sicherheit „Time to Detect“ erfüllt. Aber Detection ist nur der erste Schritt im Incident Response Prozess.


Eine Antwort zu „Quo vadis Incident Response“ gibt uns der Gründer und CEO der iT-CUBE SYSTEMS AG, Herr Andreas Mertz: „Mit über 60 realisierten SIEM-Implementierungen haben wir einen guten Einblick in Kundenanforderungen und den aktuellen Reifegrad der Umsetzung. Eines der Hauptthemen im SOC ist die schnelle Reaktion auf erkannte Bedrohungen und Angriffe. Prozesse, Tools und Skillsets müssen orchestriert werden, um größeren Schaden unmittelbar abzuwenden.“


Thomas K. arbeitet im SOC-Team eines bekannten deutschen Industrieunternehmens. Täglich analysiert er Alarmmeldungen und geht diesen auf den Grund. Sein Hauptproblem: Verifikation und Aktion. Zwar über nimmt das SIEM-System die Erfassung, Filterung, Korrelation, Priorisierung, Visualisierung und Alarmierung aber es hapert an einer Lösung, die es ihm ermöglicht, auf Knopfdruck anzuzeigen, welche der Systeme in seiner IT-Landschaft betroffen sind und direkt darauf zu reagieren.


Hier kommt Tanium® ins Spiel. Das Kernstück der Tanium-Platform ist die extrem schnelle Kommunikation von Endpunkten in einer Ringstruktur. Dabei bedient sich Tanium® bereits existierender Lösungen und integriert sich in vorhandene APT-Detection- und SIEM-Systeme. Über REST-APIs sowie STIX und TAXI können IOC-Informationen (Indicators of Compromise) automatisch und strukturiert in die Tanium-Platform importiert werden.


Mit der Einführung von Tanium® hat Thomas K. nicht nur wertvolle Zeit im Kampf gegen Cyberattacken gewonnen. Er ist heute in der Lage, laufende Prozesse anzuzeigen und zu stoppen, nach einem MD5-Hash zu suchen, das ein Malware Detection System gefunden hat, Disk-Images zur gerichtsverwertbaren Beweismittelsicherung und forensischen Analyse zu ziehen und schließlich befallene Systeme direkt in Quarantäne zu setzen – ohne dafür ein Ticket an die Nachbarabteilung schicken zu müssen.


Auch das SOC-TEAM von iT-CUBE SYSTEMS nutzt für seinen Cyber Security Service seit neuestem die einzigartige Technologie von Tanium®, um Geschwindigkeit und Zuverlässigkeit im Response Prozeß zu erzielen. Herr Mertz sagt dazu: „Tanium® ermöglicht uns, erkannte Angriffe, innerhalb weniger Sekunden auf Plausibilität zu prüfen, das Ausmaß bereits vorliegender Infektionen über die gesamte IT-Infrastruktur zu ermitteln und direkte Gegenmaßnahmen einleiten zu können. Das spart wertvolle Zeit, reduziert Schnittstellen und Brüche in der Kommunikatiuon und entlastet die Teams auf Kundenseite.“


Das Unternehmen Tanium® ist 2007 im Silicon Valley gegründet worden. Sicherheitsexperten bescheinigen der Firma einen mehrjährigen Technologievorsprung – ein Grund, dass in den letzten sechs Monaten mehr als 200 Millionen USD Investmentkapital in das Unternehmen geflossen ist.


Als Service Partner in Deutschland, Österreich und der Schweiz agiert iT-CUBE SYSTEMS in enger Zusammenarbeit mit den lokalen Tanium-Teams.




www.it-cube.net