Internationale Studie: Welche Prioritäten Sicherheitsverantwortliche bei Cloud-Integrität, Fachkräftemangel und den dringendsten Angriffsvektoren setzen.
Schluss mit der Warnmeldeflut
Jahr für Jahr wird das SLCC-Team mit Tausenden Warnmeldungen überflutet. Es benötigte also eine Lösung zum Filtern, Kategorisieren und Priorisieren potenzieller Bedrohungen. Und die fand es in Risk-Based Alerting (RBA) von Splunk: Der mittlere Zeitaufwand zur Verarbeitung einer Warnmeldung ist seitdem auf nur 13 Minuten gesunken. (Diese Zeitspanne umfasst alle Schritte vom Eingang der Meldung bis zur Weiterleitung an das zuständige Team.)
Wie ist La Poste das gelungen? Zunächst passte das SLCC-Team Splunk ES – jede Funktion, Regel, Suche und jedes Dashboard – an seine konkreten Anforderungen an. Mithilfe der RBA-Funktionen weist Splunk ES jedem Ereignis eine Risikobewertung zu und gibt eine Warnmeldung aus, wenn das Risiko eine bestimmte Schwelle überschreitet. Das Team wird also nur über potenzielle Bedrohungen und verdächtige Aktivitäten benachrichtigt. Dadurch wurden False Positives um das Zehnfache reduziert, sodass sich Analysten auf wirklich dringliche Bedrohungen konzentrieren und effizienter arbeiten können.
Mit vereinten Kräften gegen neue Bedrohungen
Als nützliche Waffe im Kampf gegen dynamische Bedrohungen hat sich das Threat Intelligence Management von Splunk ES erwiesen. Mit dieser Funktion kann das SLCC-Team neu erkannte Bedrohungen analysieren und in technische Metriken umwandeln. Anhand dieser Metriken lassen sich dann die Warnmeldungen verbessern, sodass die neue Bedrohung künftig leicht identifiziert und eingeordnet werden kann. Auch eine rückwirkende Bedrohungserkennung ist möglich, indem zurückliegende Ereignisse nach früheren Vorkommnissen dieser Bedrohungen durchsucht werden.
Wer zahlreiche Bedrohungen abwehren und ein großes Unternehmen schützen will, braucht dafür jede Menge Personal. La Poste ist hier keine Ausnahme: Die Cybersecurity-Organisation des Unternehmens besteht aus 200 Profis, darunter das SLCC-Team mit mehreren SOC-Experten. Mit Splunk können nun sämtliche Teams ihre Einblicke zusammenführen und gemeinsam maßgeschneiderte Schnittstellen für Anwendungsfälle jeder Art nutzen – sei es für komplexe Analysen, die Überwachung von KPIs oder manuelle Suchen. Splunk hat also nicht nur den Cybersecurity-Teams schnellere, gründlichere Untersuchungen ermöglicht, sondern zugleich auch die Zusammenarbeit mit anderen Teams verbessert.
