Infinigate, Cyrebro und G Data Advanced Analytics

SOCplus: mehr als ein Managed SOC

Seite: 2/3

Firmen zum Thema

Wie funktioniert Cyrebro?

IT-Umgebungen bei Endkunden bestehen in der Regel aus verschiedenen Systemen von verschiedenen Herstellern, die allerhand Daten und Events liefern. „Aber diese Komponenten kommunizieren oft nicht miteinander, sondern sind quasi Silos“, sagt Loos. Dadurch können Lücken in der Überwachung entstehen. Cyrebro als Managed SOC soll hier das Dach bilden und alle Informationen, Logs sowie Alarme aus den Systemen sammeln und in Zusammenhang setzen.

1. Schritt: Daten sammeln

Um an eine aussagekräftige Menge an Daten zu kommen, nutzt Cyrebro sogenannte Kollektoren. Sie laufen entweder auf Hardware, die beim Endkunden steht, auf einer virtuellen Maschine oder in der Public Cloud. Dabei dienen sie als Schnittstellen zu Security-Produkten von Drittanbietern, über die alle Nutzeraktivitäten und Log-Dateien dokumentiert und gesammelt werden. Insgesamt hat Cyrebro Schnittstellen zu mehr als 750 verschiedenen Hersteller-Lösungen.

Bei dieser großen Zahl ist die Wahrscheinlichkeit hoch, dass Cyrebro eine Schnittstelle zu den Sicherheitsprodukten besitzt, die der Endkunde im Einsatz hat. Sollte noch keine Verbindung existieren, erstellt der Anbieter sie im Rahmen des Onboardings.

„In der Regel werden die Kollektoren virtuell bereitgestellt, damit die Systemhäuser sie einfach beim Endkunden implementieren können“, ergänzt Ederer. Einzige Voraussetzung für den Endkunden ist, dass er eine statische, öffentliche IP-Adresse hat.

2. Schritt: Daten aufbereiten

Die Kollektoren nehmen die Log-Daten entgegen und normalisieren sie. Bei Bedarf werden sie von Cyrebro gesammelt und zwischengespeichert, sollte der Endkunde kurzfristig offline sein.

Was bedeutet Daten normalisieren?

Normalisieren bedeutet in der Informatik, dass mehrfach genannte und somit überflüssige Informationen einer Datenbank schrittweise entfernt werden. Dafür teilt ein Security Information and Event Management (SIEM) die Informationen, die es gesammelt hat, in mehrere Tabellen auf und verknüpft die Beziehungen der Daten miteinander, um sie zu vereinheitlichen. Durch die Normalisierung ist die Datenbank effizienter organisiert, flexibler und belegt keinen unnötigen Speicherplatz.

Wie die Normalisierung im Detail funktioniert erfahren Sie hier.

Die Kollektoren schicken die per SSL-verschlüsselten Daten in ein SIEM in der IBM-Cloud, gehostet in Frankfurt am Main. An diesem Punkt kommt der größte Mehrwert von Cyrebro zum Tragen, wie Loos verspricht. Die Daten werden zu Clustern zusammengefasst, mit denen ein Data Lake gespeist wird.

3. Schritt: Daten analysieren

Bei der Analyse der Daten setzt die hauseigene Threat Intelligence an. Tatsächlich leitet sich der Name Cyrebro vom spanischen Wort „Cerebro“ ab, das Gehirn bedeutet. Die Technologie arbeitet automatisiert und gleicht die gesammelten Informationen mit bekannten Bedrohungsmustern ab. Dafür hat der Hersteller mehr als 1.000 Erkennungs-Algorithmen im Einsatz, die er mithilfe bisheriger Daten aus seinen Kundensystemen entwickelt hat.

Diese Analyse erfolgt automatisch auf Basis von Künstlicher Intelligenz (KI). Wird ein bisher nicht klassifizierter oder verdächtiger Vorgang entdeckt, kommt menschliches Knowhow ins Spiel. Darin liegt Loos zufolge eine weitere Besonderheit des Angebots: Echte SOC-Analysten bei Cyrebro prüfen den möglichen Incident auf seine Relevanz und geben den Vorfall inklusive einer Handlungsempfehlung über die Online-Plattform an den Partner weiter.

Die Kombination von Cyrebro aus professionellen Cyberanalysten und einem ausgeklügelten Automatisierungsmechanismus, der jeden Alarm überwacht und analysiert, stellt sicher, dass die kritischsten Verstöße priorisiert werden.

Nadav Arbel, CEO bei Cyrebro



„Hier wird der Unterschied zwischen einem reinen SIEM und einem Managed SOC deutlich“, ergänzt Ederer. „Eine einfache SIEM-Lösung sammelt alle Events im Netzwerk und stellt sie mehr oder weniger schön aufbereitet zur Verfügung. Das war's. Bei diesem Managed SOC kommen Experten dazu, die suspekte Events bewerten und den nächsten Schritt empfehlen.“ Dadurch werden Partner gezielt über relevante Sicherheitsrisiken informiert.

Mit den Bausteinen in unserem SOCplus-Set reagieren wir auf die personelle Ressourcenknappheit am Markt. Denn der Partner erhält neben einem intelligenten SIEM die SOC-Experten gleich noch mit dazu.

Alexander Loos, Team Leader der Business Unit MSSP bei Infinigate



Incident Response

Hat das Managed SOC einen Incident erkannt und die Analysten von Cyrebro haben den Alarm verifiziert, erscheint eine Warnmeldung in der Defcon-Konsole der Partner-Plattform. Dort steht eine Zusammenfassung zu jedem Incident bereit, zum Beispiel welche Systeme, User, Hosts und IP-Adressen betroffen sind. Der Systemhauspartner entscheidet selbst, ob er anhand der mitgelieferten Handlungsanweisungen in der Plattform die Incident Response selbst vornimmt oder auf die Hilfe von Cyrebro zurückgreift. Der Support erfolgt in diesem Fall ausschließlich in englischer Sprache.

Für Partner, die einen deutschsprachigen Support benötigen und besondere Zertifizierungsanforderungen haben, empfiehlt Infinigate alternativ die Leistungen von G Data Advanced Analytics. Über Infinigate ist dieser Support als Retainer-Modell je Endkunde buchbar. Die Experten übernehmen bei Bedarf die Ermittlungsleitung und kommen für zeitkritische Einsätze direkt vor Ort.

Tilman Frosch, Geschäftsführer bei G Data Advanced Analytics
Tilman Frosch, Geschäftsführer bei G Data Advanced Analytics
(Bild: G Data Advanced Analytics)

Wer ist G Data Advanced Analytics?

G Data Advanced Analytics (ADAN) versteht sich als herstellerneutrale, unabhängige IT Security Consultancy innerhalb der G Data Gruppe. Zwar hat das Unternehmen seinen Sitz auf demselben Gelände wie der Hersteller G Data Cyberdefense. Geführt werden die Unternehmen jedoch von unterschiedlichen Vorständen. Geschäftsführer des Dienstleisters ADAN sind Tilman Frosch und Michael Zimmer. Vorstände des Herstellers G Data sind Kai Figge, Frank Heisler und Andreas Lüning.

Zu den Leistungen von ADAN gehören Consulting, Security und Red Team Assessments, Pen-Tests, Monitoring und Malware-Analyse sowie die Response auf große und komplexe Incidents.

(ID:47501914)

Über den Autor

 Melanie Staudacher

Melanie Staudacher

Volontärin, Vogel IT-Medien GmbH