Internationale Studie: Welche Prioritäten Sicherheitsverantwortliche bei Cloud-Integrität, Fachkräftemangel und den dringendsten Angriffsvektoren setzen.
„Teamwork makes the dream work“
Infolge von Datensilos und uneinheitlichen Reporting-Prozessen kam es in der Vergangenheit mitunter vor, dass mehrere Analysten dieselbe Warnmeldung unabhängig voneinander bearbeiteten und dabei nicht im Austausch miteinander standen. Entsprechend unterschiedlich waren die Herangehensweisen der einzelnen Analysten, da es an einem gemeinsamen Standard fehlte. Und obendrein gingen 90 % der Warnmeldungen auf nur 20 % der fallspezifischen Use Cases zurück. Effizienter und standardisiert ließ sich der Prozess durch Splunk SOAR gestalten, mit dessen Hilfe Johnson Matthey Playbooks einsetzte, nach deren Vorgabe die Arbeit der Analysten besser organisiert und einheitlicheres Reporting gewährleistet werden konnte. Neben der Etablierung einheitlicher Prozesse trug dies auch zu mehr Datengenauigkeit für eine proaktive Optimierung bei.
In der Vergangenheit galt es für Analysten, zur Erfassung einer Bedrohungen manuell ein Ticket zu erstellen und auch relevante Details von Hand einzugeben. Mit Splunk SOAR können sie repetitive Aufgaben wie diese nun automatisieren und erhalten dabei zusätzliche Kontextdetails für Warnmeldungen. Dadurch sparen sie bei der Untersuchung der zugehörigen Tickets enorm viel Zeit ein: Wo es früher noch 30 Minuten waren, sind es heute im Schnitt gerade einmal fünf. „Splunk SOAR vereinfacht die Kommunikation erheblich“, so Lowey. „Wenn einer unserer Analysten ein Ticket an das OT-Team weiterleiten muss, extrahiert er die nötigen Details einfach per Mausklick und weist es ihm im IT-Service-Management zu. Alles bleibt in einem System und ist somit optimal geschützt.“
Absicherung gegen alte und neue Risiken gleichermaßen
Angreifer führen immer neue und raffiniertere Cyberbedrohungen ins Feld. Daher gilt es, ihnen einen Schritt voraus zu sein. So auch, als die Teams von Johnson Matthey mit einer neuen Form von Phishing-Angriffen namens „Quishing“ konfrontiert waren. Zum Einsatz kommen dabei QR-Codes, die Standardsysteme zur Bedrohungserkennung nicht von regulären Bildern unterscheiden können. So entschied man sich, Splunk Attack Analyzer zu implementieren.
Mit beachtlichen Ergebnissen: Das gesamte System zur Phishing-Erkennung operiert nun erheblich präziser und produziert deutlich weniger Fehlalarme. Denn in der Vergangenheit hatte es beispielsweise jede E-Mail, deren Betreff die Wörter „dringend“, „Zahlung“ oder „Ankündigung für Bericht“ enthielt, als verdächtig gekennzeichnet. Durch dein Einsatz von Splunk Attack Analyzer ließ sich die Genauigkeit der Phishing-Erkennung von 50 % auf 80 % erhöhen. Dadurch wird leichter erkennbar, welche Bedrohungen wirklich bedenklich sind. So werden dank der Lösung 61 % der Phishing-Versuche automatisch als Fehlalarm identifiziert und das zugehörige Ticket wird geschlossen, ohne dass ein Analyst eingreifen muss. Wird dagegen eine schädliche URL erkannt, fügt die Lösung sie automatisch dem Cloud-Proxy hinzu.
Dank Splunk Enterprise Security, Splunk SOAR und Splunk Attack Analyzer konnte Johnson Matthey seine Datensicherheitsstrategie einfacher und zielführender gestalten, seine Prozesse optimieren und die Entscheidungsfindung verbessern. So kommunizieren die vormals in Silos isolierten Cybersecurity-Teams nun nahtlos miteinander und arbeiten koordiniert zusammen, um die Sicherheit des Unternehmens zu gewährleisten.