Infinigate, Cyrebro und G Data Advanced Analytics SOCplus: mehr als ein Managed SOC

Autor: Melanie Staudacher

Managed SOC, KI und Cyberanalysten: Mit dem Konzept SOCplus will Infinigate die IT-Sicherheit auf ein neues Level heben. Dafür kooperiert der Distributor mit Cyrebro und G Data Advanced Analytics und bietet diverse Zusatzleistungen an.

Firmen zum Thema

Das SOCplus geht über das klassische Überwachen der IT-Landschaft hinaus.
Das SOCplus geht über das klassische Überwachen der IT-Landschaft hinaus.
(Bild: Gorodenkoff - adobe.stock.com)

In der IT-Security wird es immer Herausforderungen geben, die zu Problemen im Unternehmen werden können. Viele verschiedene Lösungen und Dashboards sind im Einsatz, aber oft nicht miteinander vernetzt. Das macht die IT-Landschaft unübersichtlich. Ein isoliertes Security-Produkt kann kaum jeden IT-Bereich umfassend überwachen und schützen.

Alexander Loos, Team Leader der Business Unit MSSP bei Infinigate
Alexander Loos, Team Leader der Business Unit MSSP bei Infinigate
(Bild: Infinigate)

„Hier kommt ein Security Operations Center ins Spiel“, sagt Alexander Loos, Team Leader der Business Unit MSSP bei Infinigate. Der Distributor will mit dem neuen Angebot „SOCplus“ seine Systemhaus- und MSP-Partner in die Lage versetzen, Managed-SOC-Dienstleistungen unter eigenem Namen anzubieten. Damit sollen sie möglichst alle Lücken in der IT-Sicherheit ihrer Kunden schließen können.

Ein Managed SOC mit Extras

Als Grundgerüst des Konzepts dient das Managed SOC des IT-Security-Herstellers Cyrebro. Dessen typische Aufgaben sind es, den Netzwerkverkehr zu überwachen, Sicherheitsbedrohungen zu erkennen und zu untersuchen, Reaktionen darauf einzuleiten sowie Sicherheitsrichtlinien durchzusetzen.

Beispiele für Sicherheitsvorfälle sind:

  • unnormaler Zugriff auf Benutzerkonten
  • Änderungen an Dateikonfigurationen
  • Missbrauch eines privilegierten Kontos
  • unnormale Änderungen während der geplanten Patch-Aktualisierung
  • nicht autorisierter Port-Zugriff
  • Darüber hinaus will Infinigate den Partnern ein erweitertes Rund-um-sorglos-Paket bieten. Deswegen ergänzt der Distributor das Managed-SOC-Angebot mit weiteren Bausteinen wie Incident Response oder Incident Readiness. Teils bietet Infinigate diese Services selbst an, teils über die Dienstleister Cyrebro und G Data Advanced Analytics.

    Systemhäuser können entweder alle Leistungen von SOCplus in Anspruch nehmen oder nur einzelne Komponenten buchen. Die Bausteine sind: Managed SOC, Incident Response, Incident Readiness, Cybersecurity Awareness, Change & Improvements sowie demnächst Automated Pentesting & Vulnerability Management.

    Die Managed-SOC-Lösung Cyrebro setzt für den Systemhauspartner alle Events in Bezug zueinander, damit er sich einen Blick auf alle IT- und Security-Vorfälle verschaffen kann. Dadurch wird eine ganzheitliche Analyse von Angriffsmustern gewährleistet. Erkennt die Lösung einen verdächtigen Vorgang, untersuchen die Analysten von Cyrebro den Vorfall und geben Handlungsempfehlungen. Auf dieser Grundlage entscheidet das Systemhaus, ob es selbst auf den Vorfall reagiert oder einen der Dienstleistungspartner, Cyrebro oder G Data Advanced Analytics, das Problem beheben und untersuchen lässt.

    Wer ist Cyrebro?

    Cyrebro ist gleichzeitig Lösungsanbieter eines Managed SOC sowie Dienstleister für Incident Response. Dahinter steht das israelische Unternehmen CyberHat, das in Tel Aviv seinen Hauptsitz hat und weltweit aktiv ist.

    Gegründet wurde das Unternehmen im Jahr 2012 von Nadav Arbel als „erste Smart SOC Platform“. Cyrebro wirbt damit, dass Unternehmen mit der Cloud-Plattform alle Ereignisse, Aktionen und deren Auswirkungen sehen und verstehen können. Dafür bindet der Hersteller alle relevanten Betriebssysteme, Sicherheitslösungen und Netzwerkkomponenten der jeweiligen Endkundenumgebung in die Plattform ein. Sie ist multimandantenfähig und läuft in der Cloud.

    Christian Ederer, Technical Director bei Infinigate
    Christian Ederer, Technical Director bei Infinigate
    (Bild: Infinigate)

    „Wir haben uns für die Partnerschaft mit Cyrebro entschieden, weil die Lösung offen ist. Mehr als 750 verschiedene Systeme von Drittanbietern können angebunden werden“, sagt Christian Ederer, Technical Director bei Infinigate. „Dabei bietet Cyrebro ein attraktives Preismodell und wird in Deutschland gehostet. Zudem arbeiten bei dem Hersteller mehr als 100 SOC-Analysten.“

    Nadav Arbel, CEO und Mitbegründer von Cyrebro
    Nadav Arbel, CEO und Mitbegründer von Cyrebro
    (Bild: Cyrebro)

    „Nur wenige hosten ihre eigene E-Mail-Infrastruktur noch selbst und das Gleiche wird in wenigen Jahren noch für Security Operations gelten“, sagt Nadav Arbel, CEO und Mitbegründer von Cyrebro. „Durch die Partnerschaft mit Infinigate beschreitet Cyrebro einen neuen Weg, um ausgereifte Security Operations für jede Organisation, die dies benötigt, verfügbar zu machen. Hunderte MSP-Partner in Europa stehen bereit, unsere SOC-Plattform über das Angebot von Infinigate einzusetzen, was die Entscheidung über die Zusammenarbeit für uns klar gemacht hat.“

    Wie funktioniert Cyrebro?

    IT-Umgebungen bei Endkunden bestehen in der Regel aus verschiedenen Systemen von verschiedenen Herstellern, die allerhand Daten und Events liefern. „Aber diese Komponenten kommunizieren oft nicht miteinander, sondern sind quasi Silos“, sagt Loos. Dadurch können Lücken in der Überwachung entstehen. Cyrebro als Managed SOC soll hier das Dach bilden und alle Informationen, Logs sowie Alarme aus den Systemen sammeln und in Zusammenhang setzen.

    1. Schritt: Daten sammeln

    Um an eine aussagekräftige Menge an Daten zu kommen, nutzt Cyrebro sogenannte Kollektoren. Sie laufen entweder auf Hardware, die beim Endkunden steht, auf einer virtuellen Maschine oder in der Public Cloud. Dabei dienen sie als Schnittstellen zu Security-Produkten von Drittanbietern, über die alle Nutzeraktivitäten und Log-Dateien dokumentiert und gesammelt werden. Insgesamt hat Cyrebro Schnittstellen zu mehr als 750 verschiedenen Hersteller-Lösungen.

    Bei dieser großen Zahl ist die Wahrscheinlichkeit hoch, dass Cyrebro eine Schnittstelle zu den Sicherheitsprodukten besitzt, die der Endkunde im Einsatz hat. Sollte noch keine Verbindung existieren, erstellt der Anbieter sie im Rahmen des Onboardings.

    „In der Regel werden die Kollektoren virtuell bereitgestellt, damit die Systemhäuser sie einfach beim Endkunden implementieren können“, ergänzt Ederer. Einzige Voraussetzung für den Endkunden ist, dass er eine statische, öffentliche IP-Adresse hat.

    2. Schritt: Daten aufbereiten

    Die Kollektoren nehmen die Log-Daten entgegen und normalisieren sie. Bei Bedarf werden sie von Cyrebro gesammelt und zwischengespeichert, sollte der Endkunde kurzfristig offline sein.

    Was bedeutet Daten normalisieren?

    Normalisieren bedeutet in der Informatik, dass mehrfach genannte und somit überflüssige Informationen einer Datenbank schrittweise entfernt werden. Dafür teilt ein Security Information and Event Management (SIEM) die Informationen, die es gesammelt hat, in mehrere Tabellen auf und verknüpft die Beziehungen der Daten miteinander, um sie zu vereinheitlichen. Durch die Normalisierung ist die Datenbank effizienter organisiert, flexibler und belegt keinen unnötigen Speicherplatz.

    Wie die Normalisierung im Detail funktioniert erfahren Sie hier.

    Die Kollektoren schicken die per SSL-verschlüsselten Daten in ein SIEM in der IBM-Cloud, gehostet in Frankfurt am Main. An diesem Punkt kommt der größte Mehrwert von Cyrebro zum Tragen, wie Loos verspricht. Die Daten werden zu Clustern zusammengefasst, mit denen ein Data Lake gespeist wird.

    3. Schritt: Daten analysieren

    Bei der Analyse der Daten setzt die hauseigene Threat Intelligence an. Tatsächlich leitet sich der Name Cyrebro vom spanischen Wort „Cerebro“ ab, das Gehirn bedeutet. Die Technologie arbeitet automatisiert und gleicht die gesammelten Informationen mit bekannten Bedrohungsmustern ab. Dafür hat der Hersteller mehr als 1.000 Erkennungs-Algorithmen im Einsatz, die er mithilfe bisheriger Daten aus seinen Kundensystemen entwickelt hat.

    Diese Analyse erfolgt automatisch auf Basis von Künstlicher Intelligenz (KI). Wird ein bisher nicht klassifizierter oder verdächtiger Vorgang entdeckt, kommt menschliches Knowhow ins Spiel. Darin liegt Loos zufolge eine weitere Besonderheit des Angebots: Echte SOC-Analysten bei Cyrebro prüfen den möglichen Incident auf seine Relevanz und geben den Vorfall inklusive einer Handlungsempfehlung über die Online-Plattform an den Partner weiter.

    Die Kombination von Cyrebro aus professionellen Cyberanalysten und einem ausgeklügelten Automatisierungsmechanismus, der jeden Alarm überwacht und analysiert, stellt sicher, dass die kritischsten Verstöße priorisiert werden.

    Nadav Arbel, CEO bei Cyrebro



    „Hier wird der Unterschied zwischen einem reinen SIEM und einem Managed SOC deutlich“, ergänzt Ederer. „Eine einfache SIEM-Lösung sammelt alle Events im Netzwerk und stellt sie mehr oder weniger schön aufbereitet zur Verfügung. Das war's. Bei diesem Managed SOC kommen Experten dazu, die suspekte Events bewerten und den nächsten Schritt empfehlen.“ Dadurch werden Partner gezielt über relevante Sicherheitsrisiken informiert.

    Mit den Bausteinen in unserem SOCplus-Set reagieren wir auf die personelle Ressourcenknappheit am Markt. Denn der Partner erhält neben einem intelligenten SIEM die SOC-Experten gleich noch mit dazu.

    Alexander Loos, Team Leader der Business Unit MSSP bei Infinigate



    Incident Response

    Hat das Managed SOC einen Incident erkannt und die Analysten von Cyrebro haben den Alarm verifiziert, erscheint eine Warnmeldung in der Defcon-Konsole der Partner-Plattform. Dort steht eine Zusammenfassung zu jedem Incident bereit, zum Beispiel welche Systeme, User, Hosts und IP-Adressen betroffen sind. Der Systemhauspartner entscheidet selbst, ob er anhand der mitgelieferten Handlungsanweisungen in der Plattform die Incident Response selbst vornimmt oder auf die Hilfe von Cyrebro zurückgreift. Der Support erfolgt in diesem Fall ausschließlich in englischer Sprache.

    Für Partner, die einen deutschsprachigen Support benötigen und besondere Zertifizierungsanforderungen haben, empfiehlt Infinigate alternativ die Leistungen von G Data Advanced Analytics. Über Infinigate ist dieser Support als Retainer-Modell je Endkunde buchbar. Die Experten übernehmen bei Bedarf die Ermittlungsleitung und kommen für zeitkritische Einsätze direkt vor Ort.

    Tilman Frosch, Geschäftsführer bei G Data Advanced Analytics
    Tilman Frosch, Geschäftsführer bei G Data Advanced Analytics
    (Bild: G Data Advanced Analytics)

    Wer ist G Data Advanced Analytics?

    G Data Advanced Analytics (ADAN) versteht sich als herstellerneutrale, unabhängige IT Security Consultancy innerhalb der G Data Gruppe. Zwar hat das Unternehmen seinen Sitz auf demselben Gelände wie der Hersteller G Data Cyberdefense. Geführt werden die Unternehmen jedoch von unterschiedlichen Vorständen. Geschäftsführer des Dienstleisters ADAN sind Tilman Frosch und Michael Zimmer. Vorstände des Herstellers G Data sind Kai Figge, Frank Heisler und Andreas Lüning.

    Zu den Leistungen von ADAN gehören Consulting, Security und Red Team Assessments, Pen-Tests, Monitoring und Malware-Analyse sowie die Response auf große und komplexe Incidents.

    Incident Readiness und Security Awareness

    Damit SOC-Dienstleistungen umfassend und vor allem nachhaltig sind, gehören laut Interpretation von Infinigate weitere Bausteine dazu. Als Incident Readiness bezeichnet Infinigate einen Service im Rahmen von SOCplus, den Systemhauspartner ergänzend zum Managed SOC anbieten können. Selbst wenn es noch keine größeren sicherheitskritischen Vorfälle gab, bedeutet das nicht, dass das in Zukunft so bleiben wird.

    Deshalb spielen Systemhäuser mit ihren Kunden den Fall eines Cyberangriffs durch. Was würde konkret passieren? Wie müssen die Kunden reagieren? Um sich im Vorfeld auf einen Angriff vorzubereiten, erstellt Infinigate gemeinsam mit dem Systemhauspartner Meldeketten, Notfall-Checklisten und Handbücher für den Ernstfall.

    Zu einem nachhaltigen SOC Service gehört nach Meinung des Distributors auch die Sensibilisierung der Mitarbeiter beim Endkunden. Sie müssen zum einen über die IT-Security-Risiken aufgeklärt werden. Und zum anderen müssen Unternehmen ihre Angestellten schulen, damit sie wissen, wie sie sich im Notfall verhalten und an wen sie was melden müssen.

    Hinter diesen Services namens Cybersecurity Awareness steht Infinigate selbst als Dienstleister, der seine Systemhauspartner unterstützt. Der Distributor stellt bei Bedarf zertifizierte Trainer aus den eigenen Reihen für die Schulungen bereit. In den Basis-Schulungen unterscheidet er zwischen der Stufe „Basic“ für alle Mitarbeiter, „Management“ für die obere und mittlere Führungsebene sowie „Technik“ für Mitarbeiter aus der IT.

    Change & Improvements und Vulnerability Management

    Zuletzt bietet Infinigate im Rahmen von SOCplus den Baustein Change & Improvements. Dabei unterstützt der Distributor den Partner bei Leistungen wie der Prüfung von IT-Sicherheitsprodukten auf korrekte Konfiguration, bei Schwachstellen-Scans sowie mit Optimierungsempfehlungen und Hilfe bei der Wiederherstellung der Handlungsfähigkeit nach einem Sicherheitsvorfall.

    Für das Modul Automated Pentesting & Vulnerability Management ist Infinigate aktuell in Gesprächen mit weiteren Herstellern, die Infinigate neben Cyrebro und G Data Advanced Analytics in das Konzept aufnehmen will. Ziel ist es, noch im zweiten Halbjahr 2021 den Systemhauspartnern eine automatisierte Lösung anzubieten, die regelmäßig die IT-Systeme des Endkunden auf Herz und Nieren prüft.

    „Ein Security Operations Center ist kein heiliger Gral“, sagt Loos. „Aber mit Konzepten wie einem Managed SOC sind Sie noch besser aufgestellt, die sensiblen Daten Ihrer Kunden zu schützen und und rechtliche wie auch versicherungsbezogene Anforderungen zu erfüllen.“

    Interessenten können sich hier die Erstvorstellung des SOCplus in einem Webcast ansehen.

    (ID:47501914)

    Über den Autor

     Melanie Staudacher

    Melanie Staudacher

    Volontärin, Vogel IT-Medien GmbH