Ihr Kompetenzzentrum für mehr Sicherheit

Cyberkriminelle haben sich mittlerweile professionalisiert und agieren in vernetzten Angriffsgruppen. Deshalb ist es notwendig, auch für Ihren Schutz ein Team von agilen IT-Sicherheitsexperten auf Ihrer Seite zu haben. Das Security Operation Center (SOC) von ISPIN ist Ihr Kompetenzzentrum für eine professionelle Überwachung bzw. Betreuung, 24x7 an 365 Tagen.

Moderne Cyberangriffe sind lautlos, komplex und oft massgeschneidert. Prävention alleine reicht nicht mehr. Selbst beim Einsatz modernster Malware-Sandboxing-Technologien erhalten Unternehmen eine Flut von Warnmeldungen, in der man die Übersicht verliert und Gefahr läuft, falsch zu priorisieren.

Unternehmen brauchen eine Kombination aus Automatisierung und Experten, die modernste Analysetools methodisch nach Spuren durchsuchen, Verdachtsmomente klären und bei Gefahren aktiv handeln. Das in der Schweiz ansässige Security Operation Center von ISPIN stellt genau diese Fähigkeiten zur Verfügung. Es werden alle Qualitäten vereint, um Ihnen eine umfassende Erkennung, Analyse und Response zu Cyberangriffen anzubieten.

Ein SIEM alleine reicht nicht
Ein Security Information and Event Management (SIEM) als zentrales Sicherheitselement einzusetzen ist nur der Anfang. Es sammelt, analysiert und korreliert Logdaten aus verschiedensten Quellen, um Informationen über sicherheitsrelevante Ereignisse zu erlangen. Erkennt das System Abweichungen, schlägt es Alarm. Doch um von einfachen Logdaten zu einem Alarm zu kommen, benötigt es klare Szenarien, sogenannte Use Cases, die definieren, was überhaupt geprüft werden soll. Doch wer entscheidet bei einer Flut von Warnmeldungen, ob es sich um ein relevantes Ereignis handelt oder nicht? Wer nimmt die Alarme entgegen? Wer entscheidet über die allfällige Abschaltung von Systemen oder Netzwerkteilen? Wer schliesst die Sicherheitslücken? Genau hier kommt der Mensch ins Spiel. In einem SOC verrichtet nicht nur die Technik akribische Detektivarbeit. Hier laufen komplexe Analysen und Echtzeitprozesse unter den geschulten Blicken speziell qualifizierter Sicherheitsexperten ab. Sie analysieren die Alarme, spüren kaum sichtbare Spuren von Advanced Persistent Threats auf, und empfehlen Gegenmassnahmen, um den Schaden zu begrenzen und künftige Angriffe derselben Art zu verhindern.

Ein SIEM ist somit im Grund nur ein Werkzeug, welches ein SOC mit Informationen versorgt. Entsprechend geschulte Security-Experten werten diese im SOC aus und leiten Folgeprozesse ein. 

Visibilität und Reaktionsfähigkeit gegen Bedrohungen

Unsere Leistungen im Bereich SOC as a Service

Im Zentrum der ISPIN Cyber Defense Services steht unser Security Operation Center as a Service. Darin enthalten ist unsere SIEM-Plattform, mit der bereits beim Kunden eingesetzte Securitylösungen wie Firewalls, IDS/IPS, SIEM (Splunk, etc.), Threat Detection, usw. nahtlos integriert werden können. Dadurch wird der Investitionsschutz der bestehenden Technologien garantiert. Durch die konsequent entwickelte Architektur wird sichergestellt, dass Ihre sensiblen Daten niemals Ihr Unternehmen verlassen. Damit wird die Konformität zu vielen schweizerischen und internationalen Regulationen gewährleistet (z. B. FINMA, PCI-DSS, GDPR).

SIEM oder die Suche nach der Nadel im Heuhaufen

Die ISPIN Plattform basiert auf der mehrfach prämierten Technologie von RadarServices, dem einzigen europäische Anbieter von Managed Detection & Response. Die Sammlung, Analyse und Korrelation von Logs aus verschiedenen Quellen in einem Netzwerk (Server, Clients, Netzwerkgeräte, Firewalls, Anwendungen, etc.) ist zentral, um Informationen über sicherheitsrelevante Ereignisse zu erlangen. Falschalarme wirken sich auf die Substanz des Unternehmens aus. Sie kosten Zeit und Geld und reduzieren die Security Awareness. Es gilt daher, aus Millionen von Ereignissen diejenigen herauszukristallisieren, welche auf einen Missbrauch der IT und Applikationen, auf internen Betrug oder auf andere Sicherheitsbedrohungen hinweisen. 

Die erfahrenen Cyber Threat Experten von ISPIN überwachen Ihr Netzwerk rund um die Uhr und filtern Tausende von Sicherheitsereignisse und Fehlalarme heraus. Das Intelligence Team validiert und analysiert die verdächtigen Ereignisse und priorisiert sie hinsichtlich Kritikalität und Dringlichkeit. Schliesslich informieren wir Sie nur über nur eine Handvoll tatsächlich risikobehafteter Ereignisse und bieten Ihnen fachkundige Anleitung zur Behebung der Bedrohung.

Die Wirkung unseres Security Operation Centers

Threat Detection – Visibilität und Reaktionsfähigkeit gegen Bedrohungen

Das Filtern von Millionen von Sicherheitsereignissen um glaubwürdige Bedrohungen zu finden ist eine zeitaufwändige und kritische Aufgabe. Um die Sichtbarkeit von Risiken und Gefährdungen zu erhöhen, können Sie Ihre internen Logfiles mit zusätzlichen Sensoren ergänzen. Diese erhöhen die Transparenz um Netzwerkanomalien zu beurteilen, Trends zu verfolgen und Bedrohungen zu erkennen. 

Die ISPIN Cyber Defense Module:

Vulnerability Management and Assessment (VAS)

Für kontinuierliche interne und externe Schwachstellen-Scans mit umfassender Erkennung, Compliance Checks und Tests für eine komplette Abdeckung zu allen Schwachstellen.

Software Compliance (SOCO)

Zur Kontrolle, welche Software (Windows- und Linuxsysteme) auf Endgeräten ausgeführt werden darf. Es werden kontinuierliche Analysen der installierten Software durchgeführt um Schwachstellen festzustellen. 

Host Intrusion Detection System (HIDS)

Zur Erkennung von Rootkits, versteckten Angriffen, Trojanern oder Viren anhand von Systemveränderungen. HIDS sammelt, analysiert und korreliert Logs eines Servers oder Clients vor und alarmiert bei der Erkennung von Angriffen, Missbrauch oder Fehlern. Es überprüft zudem die Datenintegrität des lokalen Systems. HIDS führt zu einer Echtzeit-Alarmierung und aktiven Reaktionen. 

Advanced Threat Detection (ATD)

Für die Erkennung von “Advanced Malware“ in E-Mails und Web Downloads werden Sandbox-Technologien der nächsten Generation eingesetzt. Diese fangen durch vollständige Systememulation nicht nur persistente Gefahren und Zero-Day Exploits sondern können zusätzlich die Auswirkungen von Malware abschätzen. 

Network Based Intrusion Detection System (NIDS)

Zur Erkennung von gefährlicher Malware, Anomalien und anderen Risiken im Netzwerkverkehr auf Basis von signatur- und verhaltensbasierten Detection Engines. Der Netzwerkverkehr aus und zum Internet wird dabei in Echtzeit analysiert, um verdächtige Muster und Anomalien wie z.B. Malware, Command and Control Server, Bots, Spyware, Drive-by Sources, DDoS Ziele und Quellen zu erkennen. 

Endpoint Detection & Response (EDR)

Zur Überwachung von Endgeräten im Hinblick auf verdächtige Aktivitäten. Im Extremfall kann der Endpunkt isoliert werden, um so schnell und effektiv einen Angriff einzudämmen.

SIEM Use Cases

Jede IT Infrastruktur ist anders aufgebaut und verlangt einen gezielten Einsatz von SIEM Use Cases, um die Erkennung von Gefahren zu optimieren. Unsere jahrelange Erfahrung hat gezeigt, dass die Einsatzgebiete dieser SIEM Use Cases mit bekannten Problemzonen verbunden werden müssen. Dies wird erreicht, indem ein oder mehrere Compliance-, Sicherheitsstandards oder Best Practices miteinander verknüpft werden. Je nach Bedarf und vorhandenen Risikoeinschätzungen, kann eine spezifische und gezielte Auswahl von Use Cases eingesetzt werden. Wurden zum Beispiel bei einem ISO 27001 Audit Gaps aufgedeckt, kann zur Mitigation ein Satz definierter Use Cases eingesetzt werden, um diese fehlenden Controls zu schliessen.

Mit unseren SOC Services haben Sie Zugriff auf eine umfassende SIEM Use Case Bibliothek mit mehr als 500 Use Cases, welche komplett durchdokumentiert sind und jederzeit implementiert werden können. Diese Sammlung enthält Verknüpfungen zu allen bekannten Standards wie ISO 27001, PCI-DSS oder dem NIST Cybersecurity Framework. Alle Use Cases enthalten einen Alert-LifeCycle-Workflow zur kontinuierlichen Verbesserung. Dieser definiert die Schnittstellenanbindung für den Austausch mit unseren Kunden.

Use Case Incident Management

Jeder Use Case beinhaltet ein detailliertes Playbook zur Eventanalyse. Dieses dokumentiert den gesamten Prozess im Incident-Fall (Workflow, Template Informationen). Der Kunde profitiert von den Erfahrungen und wählt sich den gewünschten Eskalationspfad aus.

Transparentes Dashboard & Reporting

Mit dem ISPIN Dashboard behalten Sie jederzeit den Überblick über die verschiedenen relevanten Ereignisse im Netzwerk. Zentral im Risk & Security Cockpit werden Ihnen regelmässig rollenbasierte Reports für CEO, CISO, IT-Leader etc. mit allen relevanten IT-Risiko- und Sicherheitsinformationen zur Verfügung gestellt. Diese enthalten unter anderem eine Abbildung des gesamten Risikomanagement-Prozesses von der Entdeckung bis zur Behebung des Cyberschadensereignisses, eine Inventarisierung der identifizierten Geräte im Netzwerk, die Erstellung von Asset-Profilen und noch vieles mehr.

Betriebsmodelle

Mit ISPIN gehen Sie auf Nummer sicher, und zwar in jeder Hinsicht. Vier Gründe sprechen für ISPIN: das breite Angebot, die Kombinierbarkeit der Komponenten, die Betriebssicherheit sowie die Flexibilität. Unser Service richtet sich ganz nach Ihren Bedürfnissen. So haben Sie die Möglichkeit zwischen drei verschiedenen Betriebsmodellen zu wählen.

  • Managed SOC
    Beim Managed SOC handelt es sich um ein komplettes Outsourcing des Security Incident Management sowohl als 7/24 als auch 5/12 Service. Dabei überwacht und analysiert das hochqualifizierte Team von SOC-Spezialisten alle Aktivitäten in Ihrer IT-Umgebung, filtert und analysiert die Ereignisse und Fehlalarme und alarmiert Ihr Betriebsteam bei echten Vorfällen. Ihr Team wird dabei entlastet und muss nicht mehr Tausende von Warnmeldungen durchsuchen oder Protokolldateien analysieren, um festzustellen, was in Ihrer IT-Umgebung passiert.
  • Hybrides SOC
    Sie verfügen über ein eigenes SOC oder Sicherheitsteam und möchten dieses entlasten? Das ISPIN SOC kann die Level 1 und/oder die Level 2 Funktionen übernehmen und Ihre internen Experten unterstützen. Unsere Experten können z.B. wiederholende Aufgaben übernehmen, so dass sich Ihre Mitarbeiter auf die wesentlichen Projekte konzentrieren können.
  • Fusion SOC – NOC
    Wie bei allen Notfallorganisationen ist die Geschwindigkeit das wichtigste Gut. Deshalb bieten wir zusammen mit dem ISPIN NOC (Network Operations Center) einen Fusion Service an, um genau diese Reaktionsgeschwindigkeit massiv zu erhöhen.

Wir bieten auch einen 3-monatigen Proof of Value an. Fordern Sie ein Angebot an.