Einblicke in die Arbeit des SecOps-Teams von bet365: Bringt euer SIEM in die Cloud

Hallo, liebe Leser!

Ich werfe gerne einen Blick hinter die Kulissen von SecOps-Teams, um zu erleben, wie sie arbeiten. Vor Kurzem hatte ich das Vergnügen, mit John Eccleshare, Head of Compliance and Information Security bei bet365, zusammenzuarbeiten, als er Gastredner auf dem Gartner Security and Risk Summit in London war. bet365 ist der weltweit größte Anbieter für Online-Sportwetten und in mehr als 150 Ländern aktiv. Ihr könnt euch sicher vorstellen, dass der Cybersicherheitsbetrieb bei bet365 enorm komplex ist: Das Team muss verschiedenste gesetzliche Auflagen beachten und dabei gleichzeitig einen Dienst bereitstellen, bei dem jede Nanosekunde zählt.

Gute Gründe für ausgereifte SecOps

In seiner Präsentation berichtete John, wie schwierig es ist, Sicherheitsexperten zu finden und zu halten. Um sein Team optimal einzusetzen, konzentriert sich bet365 daher vor allem auf proaktive SecOps-Verbesserungen und entwickelt in enger Zusammenarbeit mit den IT- und DevOps-Teams Anpassungen und Lösungen für neue Use Cases im Bereich Security und Betrugsbekämpfung. Die Arbeit an „echter“ Cybersicherheit sollte im Vordergrund stehen.

Das SIEM in Zahlen

Bei bet365 arbeiten über 400 Benutzer in 24 verschiedenen Abteilungen regelmäßig mit Splunk und fügen nicht planbare Workloads durch einfache Suchvorgänge zu ML-Anwendungsfällen hinzu. In einer derart komplexen Umgebung wird Governance schnell zu einem kritischen Faktor. Und das ist noch nicht alles: Hinzu kommen noch mehr als 210 Korrelationen, die 164 verschiedene Arten von Technologien und Datenquellen aus über 14.000 Systemen umspannen. Angesichts dieser Zahlen wird schnell klar, dass es bei bet365 einiges zu tun gibt – aber auch, dass das System eine kritische Plattform ist, auf der das gesamte Unternehmen aufbaut.

Splunk-Migration in die Cloud

Um das Sicherheitsteam zu entlasten und sicherzustellen, dass es sich wieder um seine Kernaufgaben Cybersicherheit und Betrugsbekämpfung kümmern kann, beschloss das bet365-Team, die On-Premise-Umgebung als Managed Service zu Splunk Cloud zu migrieren. Durch die Migration wurden Kapazitäten von über vier Vollzeitstellen für andere Aufgaben verfügbar gemacht, und die Zahl der bereitgestellten Security-Anwendungsfälle stieg um 25 %. Der interne Netzwerk-Traffic ging um 50 % zurück, und der Zeitaufwand für das Sichern und Wiederherstellen des Systems schrumpfte von einem Tag auf wenige Minuten.

Darüber hinaus arbeitete John bei Governance- und alltäglichen Aufgaben eng mit dem DevOps-Team zusammen. Das führte zu einer besseren Abstimmung innerhalb der gesamten Entwickler-Community mit unterm Strich sehr positiven Resultaten.

Wenn ihr mehr über die Modernisierung bei bet365 sowie die Erfahrungen und Tipps des Teams erfahren möchtet, könnt ihr euch hier die gesamte Präsentation ansehen: https://www.slideshare.net/Splunk/inside-secops-at-bet365

Herzlichen Dank an das bet365-Team und John Eccleshare für diesen authentischen Erfahrungsbericht, von dem wir alle lernen können.

Viele Grüße

Matthias