Die Cyber-Defense-Lösung

Die Cyber Defense Lösung setzt sich aus verschiedenen technischen Komponenten und organisatorischen Einheiten mit unterschiedlichen Funktionen und Aufgaben zusammen. Erst die optimale Abstimmung ergibt einen Gesamtaufbau, der Ihnen wirklichen Schutz vor Cyberattacken bietet.

Das Zielbild für eine effektive Verteidigung

Wie soll Ihre Lösung aussehen?
terreActive empfiehlt diesen in der Praxis erprobten Lösungsaufbau.

Zielbild Cyber Defense

Die IT-Infrastruktur

Die zu überwachende IT-Infrastruktur bildet die Basisplattform der Lösung. Hiermit sind alle Systeme, Appliances und Applikationen gemeint, die für die Erbringung geschäftskritischer Anwendungen und zum Schutz der Infrastruktur vorhanden sind. Sie liefern wertvolle Informationen in Form von Maschinendaten (z.B. Logdaten) an das zentrale Security Monitoring Framework.

SIEM: Das Security Monitoring Framework

Das Herzstück der Security Monitoring Lösung bildet das Framework, wo alle Daten gesammelt und gespeichert werden. Beim Baselining wird der Normalzustand definiert um davon ausgehend später Abweichungen feststellen zu können. Im Framework werden zusätzlich die Daten korreliert und als vordefinierte Events, sogenannte kundenspezifische Use Cases, zur Analyse weitergeleitet.

Das Security Operations Center

Sicherheitsrelevante Vorfälle, die durch das Monitoring erkannt wurden, werden im SOC durch ein CERT (Computer Emergency Response Team)  bearbeitet. Die Experten kümmern sich um die Verifikation und den Follow-Up,  der je nach Ereignis variiert und in Prozessen festgelegt ist. In grösseren Organisationen wird diese Funktion von einem separaten Team innerhalb der Security-Abteilung wahrgenommen. Diese Gewaltentrennung bedeutet einen zusätzlichen Sicherheitsnutzen und entlastet die Betriebsorganisation.

Gute Visualisierung hilft für eine schnelle Erkennung - und Geschwindigkeit kann im Falle einer Cyberattacke entscheidend sein. Eine gute Security Monitoring Lösung unterstütz das SOC durch Konzentration der wichtigsten Daten in grafisch aufbereiteten Dashboards. Gleichzeitig können die Daten zur Generierung von Berichten oder zur Analyse und Ursachenforschung verwendet werden.

Die Stakeholder

Durch den zentralisierten Security Monitoring Ansatz können die Daten, bzw. die Reports daraus, einer Vielzahl von Interessensgruppen in geeigneter Form zur Verfügung gestellt werden.  Jeder Stakeholder - ob technisch versiert, auf Compliance bedacht oder Mitglied der Geschäftsleitung - erhält seinen Bericht in einer für ihn verständlichen Form aufbereitet.  Die Bandbreite der Personen, die an den Reports interessiert sind, kann weit über IT-Sicherheit hinausgehen und beinhaltet unter anderem auch den Applikationsverantwortlichen, die Entwicklung und die Business Owner.

Wie geht's jetzt weiter?
Die Cyber Defense Methode
Ist das Zielbild definiert, brauchen Sie noch die richtige Vorgehensmethode.