Building is a SOC is complex procedure, specific people skillset, complex processes and state of the art technology are all crucial components. That is why our team incorporates solid engineering and consulting expertise. We used the combination of technical skillset, GRC knowledge and practical experience to formulate the most efficient and effective methodology.
Based on this unique value we offer implementation and support of next generation SIEM systems and the same for advanced SOCs at our customers.
Die weniger komplexe Option ist ein Basis-Detect-Paket, das die kontinuierliche Überwachung von Ereignissen, Warnmeldungen und deren Priorisierung umfasst. Berichterstattung und eskalative Kommunikation auf Grundlage der Prioritäten der Vorfälle sind ebenfalls wichtige enthaltene Grundfunktionen.
Das obere Ende unserer Dienstleistung umfasst die gesamte Koordination der Incident-Response-Kette, die Malware- und forensische Analyse von Bedrohungen sowie die fortlaufende Beratung zur kontinuierlichen Verbesserung des Schutzes über die oben genannten hinaus.
In jedem Fall arbeiten wir mit bewährter Methodik, bei der die Koordinierung durch einen Service-Manager erfolgt und die Arbeit durch das Senior Cyber Defense Advisory Team festgelegt wird.
Das bedeutet, dass unser Ingenieursteam zunächst den aktuellen Stand der Schutz-Tools und deren Leistungsfähigkeit analysiert. Anschließend werden – auf Grundlage der Cybersicherheitsstrategie und der aktuellen Risikobewertung – die Architekturkomponenten eines fortschrittlichen Sicherheitstoolsets geplant und implementiert.
Wir berücksichtigen natürlich die organisatorische Netzwerkarchitektur, die Systemhosts und die Benutzermerkmale. Basierend auf Möglichkeiten der nächsten Generation und den Bedürfnissen des Unternehmens entwerfen wir die Schutzarchitektur und erstellen einen detaillierten Plan der benötigten Systeme und deren Einrichtung.
Unsere Experten für Perimetersicherheit, Endpunktschutz-Suites, Tools für die Verhaltensanalyse und komplexe SIEM-Systeme sind imstande, diese Systeme zu entwerfen, zu implementieren und zu warten. Wir entwickeln Lösungen, die Prävention, Erkennung und Reaktion ermöglichen.
Es ist von entscheidender Bedeutung, dass dieses Team während eines neuen Kundenengagements die aktuellen Überwachungsmöglichkeiten analysiert, Lücken und Risiken identifiziert, damit sich das SOC-Team auf die Daten und Informationen verlassen kann, die das Netzwerk der Systeme liefert.
Zu den Verbesserungen gehören größere System-Upgrades, die Analyse und Feinabstimmung der aktuellen Systemeinrichtung und die Integration neuer Funktionen oder Anwendungen in das bestehende System. Neue Funktionen können die Analyse von Benutzer- und Systemverhalten sein, die Analyse von Netzwerkpaketen oder die Aufnahme von Endpunktdaten für die Verarbeitung und Suche. Eine weitere wichtige Entwicklungsrichtung ist die SOAR-Integration, bei der das SIEM die Basis bildet und mehrere Tools sowie Schutzverfahren integriert werden können. Die Integration von fortschrittlichen Bedrohungsdaten zur Unterstützung der Arbeit von Analysten ist ebenfalls ein wichtiger Schritt auf dem Weg zu einem ausgereiften, komplexen und fortschrittlichen SIEM.
Zunächst einmal kann der gesamte Prozessablauf so orchestriert werden, dass die Benutzer, das SIEM und andere Tools wie das Ticketing-System einer IT erkannt und unter dem Dach einer ausgereiften SOAR-Lösung integriert werden. Zweitens wird die Arbeit der Analysten von einer automatisierten Datenerfassung und einer Bedrohungsanalyse unterstützt, sodass möglichst wenig menschliche Arbeitszeit für die Suche und Vorverarbeitung von Kontextdaten während der Kategorisierung verschwendet wird.
Das dritte Hauptmerkmal, das es zu berücksichtigen gilt, ist die Automatisierung der Reaktionsmechanismen innerhalb des Security Information and Event Management bzw. mithilfe integrierter Abwehrwerkzeuge und Netzwerkkomponenten. Dabei kann es sich um Verfahren zur Eindämmung oder Behebung von Problemen handeln, die von Systemgeräten oder einfach von IT-Administratoren manuell auf Grundlage von automatisch geöffneten Anfrage-Tickets ausgeführt werden.
Unser Ansatz sieht die Einrichtung eines zentralen Risikoregisters vor, das den Schwachstellenstatus der Systemelemente enthält, sowie die Durchführung überprüfbarer, systemgestützter Workflow-Prozesse für das Patching. Für diese Arbeit bieten wir die Beratung und entsprechende Systemimplementierung an.
Mit andere Arten von Bedrohungsvektoren sollte ebenfalls umgegangen werden, einschließlich IoCs, die aus externen oder internen Quellen stammen. Unsere Experten für Cyberabwehr entwickeln und implementieren auch Systeme für Bedrohungsmanagement.
After evaluating the information source and reliability of IoCs, they are analyzed through rigorous and structured techniques, and then commented by those with expertise and access to all sources. Using CTI as a service or building up an own both requires analysts to discover and identify a vast amount of information accurately and timely.
When properly implemented, threat information updates can help you maintaining the quality of your detection and response capabilities.
Wie im Abschnitt SIEM-Implementierung beschrieben, haben wir für viele unserer Kunden schon SOC-Prozesse eingerichtet und mit unserem eigenen SOC gehen wir noch einen Schritt weiter. Wir teilen dieses Fachwissen mit unseren Partnern.
Auf Grundlage einer Bewertung der Sicherheitsabläufe und -technologien entwirft und plant unser Beraterteam die Roadmap für Ihre SOC-Weiterentwicklung. Die Reihenfolge dieser Schritte muss mit Bedacht gewählt werden, um das Qualifikationsniveau der Analysten, die Komplexität der Systeme und die aktuelle Prozesslandkarte zu berücksichtigen.
Die größte Herausforderung für Organisationen, ob neu oder alt, besteht darin, herauszufinden, wie gut sie arbeiten. Ein sinnvoller erster Schritt ist die Einrichtung eines Bewertungssystems. Unsere Balanced Scorecard-Methodik basiert auf der Verwendung eines KPI-Baums und einer Entscheidungsmatrix. Diese Methode hilft bei der Auswahl von Schlüsselkennzahlen zur Bewertung der Unternehmensleistung.
Die Berater liefern auf Knopfdruck oder automatisch gut aggregierte, gut visualisierte und – was vielleicht am wichtigsten ist – leicht lesbare Zahlen. Wenden Sie sich an unsere Experten, die Ihnen helfen, die am besten geeigneten KPI-Kennzahlen zu finden.
Ein entscheidender Aspekt eines gut funktionierenden Sicherheitsteams ist es, über das neueste Wissen, über neue Techniken und Taktiken zu verfügen. Was wir anbieten, ist eine praktische, erfahrungsbasierte und rollenspezifische Kompetenzschulung für Fachleute.
Unser Unternehmen führt auch ein aktuelles, dynamisches Schulungsprogramm für Ingenieure und Analysten durch, die Systeme installieren, bedienen und nutzen, um zu lernen und zu wachsen. Einer der wichtigsten Faktoren in einem Unternehmen sind Sicherheitsexperten, die Vorfälle erkennen und anschließend Bedrohungen ermitteln, analysieren und abwenden. Ihre berufliche Aus- und Weiterbildung ist eine wesentliche Voraussetzung für die rasche Weiterentwicklung der Technologie.
Bedrohungen ermitteln, analysieren und abwenden. Ihre berufliche Aus- und Weiterbildung ist eine wesentliche Voraussetzung für die rasche Weiterentwicklung der Technologie.
Wir veranstalten verschiedene Arten von Planspielen zur Cybersicherheit für Schulungen und Leistungstests. Bei diesen Spielen handelt es sich in der Regel um Kampagnen des roten Teams gegen das blaue Team, um „Capture the Flag“ oder um SOC-Sensibilisierungstests durch simulierte Angriffe.
Ein APT-Simulationssystem (Advanced Persistent Threat) ist ein Netzwerksicherheits-Tool der nächsten Generation, das einen realen Angriff durchführt und gleichzeitig die Möglichkeit bietet, die Erkennungs- und Reaktionszeit zu messen und durch die Bereitstellung detaillierter Berichte aus dem Angriff zu lernen und die Verteidigungsprozesse und -systeme weiterzuentwickeln.
Es gibt verschiedene Testtools, mit denen die Werkzeuge und die Prozesse des Teams regelmäßig getestet werden können.
Durch CTI (Cyber Threat Intelligence) Beratung helfen wir Ihnen, das richtige Modell externen CTI-Wissens zu finden und einzubauen oder Ihre eigene, spezifische CTI-Datenbank und Vorgangsweise zu erstellen.
Nach der Bewertung der Informationsquellen und der Zuverlässigkeit der IoCs werden diese mit Hilfe strenger und strukturierter Methoden analysiert und anschließend von denjenigen kommentiert, die über Fachwissen und Zugang zu allen Quellen verfügen. Die Nutzung von CTI as a Service oder der Aufbau von einem eigenen Service erfordert, dass die Analysten eine große Menge von Informationen genau und rechtzeitig entdecken und identifizieren.
Bei ordnungsmäßiger Implementierung können Aktualisierungen von Bedrohungsinformationen dazu beitragen, Ihre Erkennungs- und Reaktionseffizienz aufrechtzuerhalten.
In allen Abschnitten der Reaktionskette können verschiedene Aufgaben vom SOCWISE-Expertenteam durchgeführt oder unterstützt werden. Erstens ist die Koordinierung des Reaktionszeitraums eine wichtige Aufgabe, die einen methodischen und technischen Hintergrund erfordert. Zweitens kann das SOCWISE-Team auch die Analyse einschließlich Sandboxing und forensische Analysen durchführen. Wenn ein kritischer Vorfall eintritt und/oder eine spezielle OT-Bedrohung zu bewältigen bzw. eine industrielle und fortschrittliche Malware-Laborumgebung erforderlich ist, kann unsere Unterstützung entscheidend sein.
Regelmäßige Vorsorgetests durch ethische Offensivkräfte können eine Notwendigkeit zur Einhaltung der Vorschriften sein, geben aber in den meisten Fällen sehr nützliches Feedback für das Verteidigungsteam. Wir entwerfen und führen verschiedene aktive Abwehrtests durch.
Holistische Penetrationstests werden in mehreren Stufen durchgeführt. Black-, Grey- oder White-Box-Tests können unter umfassend geplanten und sicher umgesetzten Bedingungen durchgeführt werden. Sie werden immer unter streng definierten Bedingungen ausgeführt, wobei der Zielbereich externe IP-Adressen, private Netzwerksegmente oder spezifische Anwendungen sein können.
Die gefundenen Schwachstellen und die ungeschützten Angriffsflächen werden in einer ausführlichen Dokumentation mit Vorschlägen zur Behebung aufgelistet.
Schwachstellentests können für IT- und OT-Netzwerke getrennt durchgeführt werden. Das erfordert aber die manuelle Arbeit von Cyber-Abwehrtechnikern. Bei diesen Projekten bauen wir auf verschiedene Scanner- und Analysetools.
Eine ganzheitliche Schwachstellenanalyse wird mit professioneller Vorsicht in der produktiven IT-Umgebung durchgeführt, sodass der Betrieb nicht beeinträchtigt wird. Auch eine enge Zusammenarbeit mit dem IT-Team des Kunden wird vorbereitet.
Die Testergebnisse werden in einem detaillierten digitalen Bericht festgehalten, der den Betriebsteams Anhaltspunkte gibt, um anfällige Systemkomponenten zu patchen oder die betroffene Systemarchitektur neu zu gestalten.
Durch den Einsatz eines vollständig passiven netzwerkbasierten OT-Netzwerkanalysetools bieten wir gelegentliche oder regelmäßige Bewertungen an.
Das erste Ergebnis der Bewertung ist eine genaue Inventarliste der Geräte, die über das Netzwerk kommunizieren – darunter Computer, Netzwerkkomponenten, SPS, HMIs oder andere. Wir ordnen jedem Objekt einen Sicherheitsstatus zu, der auf dem aktuellen Firmware-/Betriebssystemstatus basiert.
Wir ermitteln die Netzwerkverbindungen und -sitzungen zwischen allen kommunizierenden Einheiten und erstellen Topologiekarten der Schichten 2 und 3. Auf Grundlage eines automatisch erstellten grundlegenden Datenverkehrsmusters heben wir ungewöhnliches, verdächtiges Verhalten hervor. Auf Grundlage vordefinierter und maßgeschneiderter Regeln ermitteln wir Bedrohungen oder feindselige Aktivitäten im OT-Netzwerk und schlagen entsprechende Maßnahmen vor.
Die empfangenen Daten werden einem speziellen Scan unterzogen, der letztendlich die tatsächliche Bedrohung des Systems durch die erkannte Bedrohung ermittelt. Die Untersuchung wird Informationen liefern, die Ihnen bei der Aufdeckung von Details und Identifizierung von Quellen behilflich sind, um den künftigen Schutz noch effektiver zu gestalten.
Wir führen forensische Untersuchungen und Malware-Analysen an Onsite-, Remote- oder Offsite-Standorten durch, je nach den erforderlichen und verfügbaren Sandboxing-Möglichkeiten.
