Ein Interview mit dem Betriebsleiter von Thetabyte

Die Mission der Modernisierung eines Sicherheitsoperationszentrums (SOC) ist selten einfach, aber wenn der Kunde der Nigerianische Nationale Erdölgesellschaft (NNPC), die Risiken sind exponentiell. Deshalb hat NNPC einen Vertrag abgeschlossen. Thetabyte, ein spezialisierter Anbieter von Cybersicherheitsdienstleistungen mit Fokus auf die Transformation von SOCs im großen Maßstab für Unternehmen, um dieses entscheidende Projekt zu leiten.

Die NNPC ist Nigerias staatlicher Ölkonzern und eines der größten Energieunternehmen Afrikas. Ihre Geschäftstätigkeit ist von entscheidender Bedeutung und bildet die Grundlage für einen Großteil der nigerianischen Wirtschaft, der Staatseinnahmen und der Devisenreserven. Aufgrund ihrer schieren Größe, ihrer nationalen Bedeutung, der strengen regulatorischen Auflagen und der Notwendigkeit, die bestehende, heterogene Infrastruktur zu integrieren, stellte sie das Unternehmen vor enorme Herausforderungen.

Ich sprach mit Ron Maman, dem Betriebsleiter von Thetabyte, der die Implementierung des Systems leitete. Swimlane-Turbine agentenbasierte KI Automatisierungsplattform bei NNPC. Ron erzählt die Geschichte hinter den Kulissen, wie diese Lösung es NNPC ermöglichte, die Alarmmüdigkeit zu überwinden, strenge Compliance-Ziele zu erreichen und die Reaktionszeiten bei Vorfällen in ihrer vielfältigen Infrastruktur deutlich zu reduzieren.

Lesen Sie weiter für eine Zusammenfassung meines Gesprächs mit Ron im Frage-Antwort-Stil, in dem er die Erfahrungen von Thetabyte mit Swimlane Turbine detailliert schildert.

Welchen konkreten Herausforderungen sah sich die NNPC gegenüber, die den dringenden Bedarf an KI-Automatisierung begründeten?

NNPC hatte mit drei Hauptproblemen zu kämpfen:

• Alarmmüdigkeit
• fragmentierte Werkzeugsätze, 
• Mangelnde zentrale Transparenz ihrer Sicherheitsabläufe. 

Manuelle Prozesse verlangsamten die Reaktion auf Sicherheitsvorfälle kontinuierlich, und die Analysten waren mit sich wiederholenden, niedrig priorisierten Aufgaben überlastet. Zudem konnten sie Bedrohungsdaten nicht zuverlässig mit ihren bestehenden SIEM-Warnmeldungen verknüpfen. Diese fehlende Verbindung führte zu erheblichen Schwachstellen in der Bedrohungserkennung.

Warum haben Sie sich für Swimlane Turbine und nicht für andere Konkurrenzprodukte entschieden?

Wir haben mehrere Plattformen evaluiert. Den Konkurrenzplattformen fehlte schlichtweg die visuelle, intuitive Drag-and-Drop-Funktionalität zum Erstellen komplexer, benutzerdefinierter Playbooks, die wir bei Turbine vorfanden. Turbine Canvas's Low-Code/No-Code-Schnittstellen und ein modulares Playbook-Design bieten die einfachste und effektivste Möglichkeit, Automatisierungen zu erstellen und zu verwalten. 

Der Low-Code-Playbook-Builder und die nahtlose API-Integration mit nahezu jedem Tool machten Turbine zur idealen Wahl. Entscheidend war auch, dass die Plattform Analysten aller Erfahrungsstufen (Tier 1 bis Tier 3) mit maßgeschneiderten Playbooks unterstützen kann, was Turbine hervorragend umsetzt.

Fallstudie lesen

Welche Funktionen von Turbine nutzen Sie am häufigsten?

Unsere Lieblingsfunktionen in Turbine sind Leinwand Und Dashboards und Berichte.

• Canvas ermöglicht die schnelle Entwicklung und Bereitstellung komplexer Playbooks ohne tiefgreifende Programmierkenntnisse. Es beschleunigt unsere Fähigkeit, neue Automatisierungen bereitzustellen, erheblich.
• Echtzeit-Dashboards und KI-gestützte Berichte liefern Kennzahlen und KPIs in Echtzeit, die sowohl unseren technischen SOC-Analysten als auch den Führungskräften der NNPC übersichtlich präsentiert werden. Sie sind von unschätzbarem Wert, um den ROI nachzuweisen und Transparenz zu gewährleisten.

Welche Tools haben Sie in Turbine integriert?

Swimlane ermöglichte es uns, alle Tools des NNPC-Sicherheits-Stacks mit einem einzigen Klick über die Swimlane-Marktplatz. Die wichtigsten sind:

• Jira: ElastischSIEM-Datenalarmerfassung und automatisierte Priorisierung
  
• VirusTotal: Echtzeit-Anreicherung der Bedrohungsanalyse
  
• Jira: Ermöglicht die automatisierte Ticketerstellung und -verfolgung für reibungslose SOC-Übergaben
  
• Proprietäres Threat-Intelligence-Tool: Da es über eine API verfügt, konnten wir es in Turbine integrieren und so umfassende Echtzeit-Anreicherung und Kontextinformationen für Warnmeldungen erhalten.

Für welche Anwendungsfälle nutzen Sie Turbine?

Wir konzentrierten uns auf zwei wichtige, wirkungsvolle Anwendungsfälle innerhalb der NNPC-Umgebung.

1. Automatisierte Vorfall-Triage und -Anreicherung
   Nach dem Empfang einer SIEM-Warnung startet Turbine umgehend automatisierte Anreicherungs-Playbooks. Dies beinhaltet die Abfrage externer Datenbanken. Intelligente Bedrohung Es werden Feeds für bekannte Indikatoren für eine Kompromittierung (IOCs) abgerufen und interne Datenbankabfragen durchgeführt, um den betroffenen Eigentümer, die Systemkritikalität und den Standort zu ermitteln. Dadurch erhalten Analysten umgehend ein vollständig kontextbezogenes und hochpräzises Warnmeldungspaket.
2. Bedrohungseindämmung und -behebung
   Über die Turbine-Dashboards haben Analysten volle Transparenz über automatisierte Funktionen wie die Identifizierung von Indikatoren für Kompromittierung (IOCs), die Datenkorrelation und die Ausführung von Gegenmaßnahmen, einschließlich der direkten Blockierung schädlichen Datenverkehrs an der Perimeter-Firewall. Analysten haben die volle Kontrolle über das Playbook von einem einzigen Bildschirm aus und können so schnell notwendige Eindämmungs- und Verteidigungsmaßnahmen wie das Sperren von IP-Adressen durchführen, ohne zwischen verschiedenen Sicherheitstools wechseln oder sich manuell anmelden zu müssen.

Nennen Sie ein Beispiel für ein Problem, bei dessen Lösung Swimlane geholfen hat.

Eine wesentliche Herausforderung bestand in der manuellen Korrelation von IOCs über verschiedene Systeme hinweg. Vor der Einführung von Swimlane mussten Analysten manuell zwischen SIEM, EDR, und Firewall-Protokolle.

Mit Swimlane haben wir eine automatisierte IOC-Korrelation über alle Systeme hinweg implementiert und so die durchschnittliche Untersuchungszeit pro Alarm von 45 Minuten auf unter 10 Minuten reduziert.

Gab es bei Ihnen schon einmal eine Situation, in der Turbine einen größeren Kompromiss verhindert hat?

Wir waren Ziel einer Malware-Kampagne, die es auf Mitarbeiter der NNPC abgesehen hatte. Turbine ermöglichte es uns, die Bedrohung in weniger als 5 Minuten zu erkennen und zu isolieren und so eine Gefährdung der Benutzerdaten erfolgreich zu verhindern.

Welche Ergebnisse haben Sie seit der Implementierung von Turbine erzielt?

Innerhalb der ersten drei Monate erreichten wir ein wichtiges Ziel: die Automatisierung von über 60% unserer Level-1-Triage. Diese Leistung entlastete unsere allgemeinen Analysten unmittelbar und erheblich.

Seit der Implementierung von Turbine konnten wir eine massive Steigerung unserer SOC-Effizienz verzeichnen:

• Unsere Reaktionszeit bei Vorfällen sank um gewaltige 70%.
• Unsere mittlere Erkennungszeit (MTTD) und die mittlere Reaktionszeit (MTTR) sank signifikant.
• Die Zufriedenheit der Analysten stieg unmittelbar, und zwar direkt aufgrund der Reduzierung des hohen manuellen Arbeitsaufwands.
• Die Protokollierung und Berichterstattung haben unsere Compliance-Bereitschaft sofort verbessert.
  
  

Letztendlich bietet Turbine Sicherheitsteams die wertvollste Ressource: Freiheit. Wie Ron Maman abschließend feststellt:

“Ich würde Swimlane meinen Kollegen empfehlen, weil es Sicherheitsteams in die Lage versetzt, mit weniger Aufwand mehr zu erreichen. Es automatisiert die mühsamen Aufgaben, beschleunigt die Reaktion auf kritische Ereignisse und gibt Analysten die Freiheit, sich auf das Wesentliche zu konzentrieren.”