Optimierte Endpunkt-Transparenz | Splunk + Cisco = CESA

Viele Unternehmen glauben Ihre IT-Sicherheit unter Kontrolle zu haben: Sie sind der Meinung den Finger am Puls ihrer Daten zu haben und mit unzähligen Security-Features im Netzwerk ein „Sicherheitsbollwerk“ geschaffen zu haben. Aber es gibt eine Schwachstelle, die besonders schwer einzugrenzen ist: die User und deren Endgeräte.

Fehlende Transparenz bei Endpoints wird besonders dann wichtig, wenn mehr Benutzer von unterschiedlichen Geräten auf euer Netzwerk zugreifen. Das Resultat: Endpoint-Blindness, d.h. Ihr seht nicht mehr das komplette Bild eurer Endpunkte und der Nutzeraktivitäten und könnt somit nicht mit absoluter Sicherheit sagen, was eure User in eurem Netzwerk machen. Das solltet ihr aber – denn nur ein einziges schwaches Passwort, ein unbedachter Klick oder eine unerkannte Infektion können einen umfassenden Sicherheits-Incident und damit eine Kette an Problemen verursachen (und euch schlimmstenfalls den Job kosten).

Unentdeckte Bedrohungen am Endpunkt können schnell zur Gefahr werden Bedrohungen wie Zero-Day Malware, auffälliges User-Verhalten und Datenexfiltration müssen frühzeitig identifiziert und jeweilige Gerätetypen und Betriebssysteme erkannt werden.	Bestehende Bereitstellungen ermöglichen kosteneffektives Handeln Durch die Nutzung bestehender Installationen und Bereitstellungen können effektiv Zeit und Kosten eingespart werden. Unterm Strich werden so auch Bedrohungen schneller und einfacher erkannt.	Mobilität ist wichtig Mitarbeiter und Endgeräte sind heute nicht mehr immer nur an einem Ort. Trotzdem solltet ihr in der Lage sein, ihnen zu folgen, und Telemetriedaten zu sammeln, egal ob ein Gerät am Netzwerk angeschlossen ist, oder nicht.

Cisco nutzt CESA

Dieser Herausforderung sah sich auch das Sicherheitsteam von Cisco gegenüber. Das 75.000-Mitarbeiter Unternehmen verfügte über nur unzureichende Einblicke in Endpunkte in und außerhalb des Netzwerks, wollte die Erkennung von internen Bedrohungen um ein Vielfaches erhöhen und dabei die Zeit für Untersuchungen drastisch verkürzen. Als Antwort auf die fehlende Transparenz und potentiell unentdeckte Bedrohungen entwickelte Cisco CESA. CESA steht für Cisco Endpoint Security Analytics und ist eine auf Splunk basierende Monitoring-Lösung für optimierte Endpunkt-Sicherheit. Seit Einführung von CESA erhält das Cisco-Sicherheitsteam deutlich mehr Transparenz in ihr Netzwerk und ihre Endpunkte und konnte die Zeit für Untersuchungen von mehreren Tagen auf wenige Stunden reduzieren. Cisco schätzt, dass ca. 80% der Use Cases, für die CESA genutzt wird, ohne CESA nicht erkannt werden würden.

Das Cisco Team kann jetzt User zu Geräten, Traffic und Zielpunkten zuordnen, erhält umfangreiche Einblicke in über 96.000 Endpunkten und gewinnt durch CESA zudem Erkenntnisse zu:

• Unautorisierten Anwendungen und SaaS
• Sicherheitsumgehungen
• Unbekannter Malware
• Verhalten von externen Nutzern in Zero-Trust-Umgebungen
• Endpunkt-Asset-Inventar
• Whitelists und Blacklists von Anwendungen und Zielpunkten

Die ganze Case Study zu Splunk und Cisco findet ihr übrigens hier (auf Englisch).

Webinar – Cisco und Splunk

Das Tolle ist: Ab sofort könnt auch ihr von CESA profitieren. Einen kurzen Überblick erhaltet ihr hier. Für tiefergehende Informationen seht ihr euch am besten die Aufzeichnung dieses deutschsprachigen Webinars an, in dem ihr:

• erfahrt, was CESA ist
• lernt, welche Probleme CESA löst 
• informiert werdet, wie Cisco IT (CSIRT) CESA nutzt
• Details zu Use Cases und Architektur erhaltet
• eine live Demo seht

Zu guter Letzt lege ich euch noch ein weiteres interessantes Video ans Herz: In diesem aufschlussreichen Interview (auf Englisch) zwischen Melissa Vish (Global Security Partner Ecosystem Manager bei Cisco) und Scott Pope (Director, Security Product Management bei Splunk), erfahrt ihr wie ihr mit minimalem Aufwand, Ressourcen und Investment eure Endpunkt-Transparenz verbessert. Das Interview behandelt Use Cases, informiert über nützliche Ressourcen und beinhaltet eine Q&A Session.

Viel Spaß!