DIG revolutioniert die Phishing-Abwehr mit Swimlane.

Hintergrund

Die Digital Investigative Group (DIG) ist ein in Montana ansässiges Startup im Bereich Managed Security Services Provider (MSSP). Das Unternehmen hat sich zum Ziel gesetzt, Cybersicherheit in Regionen zu etablieren, in denen Technologie bisher keine zentrale Rolle spielte. DIG arbeitet mit lokalen Behörden und Managed Service Providern (MSPs) zusammen, um deren Cybersicherheit zu verbessern und sie vor Cyberbedrohungen zu schützen.

DIG-Chef-Cyberforensiker Zach Tielking, Er bringt es am besten auf den Punkt: “Wir bieten diesen kleineren Unternehmen ein höheres Maß an Sicherheit und Zertifizierung.”.

Personalmangel

Mit dem Wachstum des Kundenstamms und dem steigenden Ansehen von DIG wuchs auch der Bedarf an qualifizierten Cybersicherheitsexperten. Die Suche nach solchen Experten gestaltete sich schwierig – insbesondere in Montana. Schätzungsweise 3,5 Millionen Stellen im Bereich Cybersicherheit sind in den USA derzeit unbesetzt, ein Anstieg um 350.000 in den letzten acht Jahren.

“Es herrscht ein großer Fachkräftemangel, insbesondere in Montana. Hier gibt es nicht viele Studiengänge im Bereich Cybersicherheit.” Das DIG erkannte die Schwierigkeit, qualifizierte Mitarbeiter zum Schutz seiner Kunden zu finden, und identifizierte eine Lösung, die dazu beitragen könnte, diese Qualifikationslücke zu schließen: Sicherheitsautomatisierung.

“In Montana, wie überall sonst auch, besteht ein großer Bedarf an Cybersicherheitsexperten. Es war für uns und andere Unternehmen sehr schwierig, diese Fachkräfte zu finden. Wir setzen daher verstärkt auf Automatisierung, um mit den Anforderungen Schritt halten und die Sicherheit in Montana gewährleisten zu können.”

Aufbau einer Phishing-Abwehr

Die Verantwortung eines Managed Security Service Providers (MSSP) besteht darin, nicht nur die Technologie und Daten, sondern auch die Nutzer zu schützen. Menschen sind ein Hauptziel von Cyberangriffen; so sehr, dass bei 851.300 Sicherheitsvorfällen menschliches Versagen eine Rolle spielt. Das Internet Crime Complaint Center des FBI berichtet, dass Phishing die häufigste Bedrohung in den Vereinigten Staaten darstellt.

Laut Tielking ist Phishing nach wie vor der häufigste Angriffsvektor. Menschen stellen in solchen Umgebungen eine große Schwachstelle dar. Lösungen zu finden, die uns helfen, diese Phishing-E-Mails schneller zu verarbeiten, war daher unsere wichtigste Anforderung im Bereich der Automatisierung.“

Phishing-Angriffe zielen häufig auf Mitarbeiter-E-Mails ab. Daher müssen Sicherheitsteams wie das DIG schnell reagieren und Tausende von E-Mails analysieren, um festzustellen, ob es sich um echte Bedrohungen handelt. Dies erfordert eine aufwendige manuelle Prüfung und Analyse, die viel Zeit und Ressourcen des Teams in Anspruch nimmt.

Die DIG musste den Phishing-Abwehrprozess automatisieren, um ihre Kunden vor dem Verlust sensibler Daten zu schützen. Die ausgewählte Automatisierungslösung sollte die Untersuchung von Phishing-E-Mails automatisieren, damit das Team Bedrohungen schneller erkennen und präventiv handeln konnte.

Vielseitige Automatisierung über den gesamten Werkzeugstapel hinweg

Wir haben Turbine für die Zukunft der Automatisierung entwickelt. Es bietet beispiellose Flexibilität und einen umgebungsunabhängigen Ansatz, um einen höheren Mehrwert als herkömmliche SOAR-Systeme, No-Code-Automatisierung oder eine Kombination aus SIEM- und XDR-Lösungen zu erzielen. Vier einzigartige Technologien zeichnen Turbine aus.

Managed Security Service Provider (MSSPs) betreuen eine Vielzahl von Kunden mit jeweils individuellen Geschäftsanforderungen und Anwendungen. Eine Sicherheitsautomatisierungslösung muss daher vielseitig und anpassbar sein, um den komplexen Bedürfnissen von MSSPs und ihren Kunden – heute und in Zukunft – gerecht zu werden. Das bedeutet: keine Abhängigkeit von einem bestimmten Anbieter und keine Integrationseinschränkungen. MSSPs müssen zudem Zeit bei Routineaufgaben sparen, weshalb sich eine Automatisierungsplattform problemlos in die bestehende Infrastruktur integrieren lassen sollte. Als zentraler Bestandteil der Sicherheitsabläufe von MSSPs automatisiert eine erstklassige Lösung außerdem den gesamten Tool-Stack und sorgt so für mehr Transparenz zwischen zuvor isolierten Tools.

Das DIG verglich verschiedene Anbieter von Sicherheitsautomatisierung und SOAR-Lösungen, um eine Plattform zu finden, die über herkömmliche Anwendungsfälle von Security Operations Centern (SOCs) hinausgeht. Swimlane stach dabei aus mehreren Gründen hervor.

Vielseitigkeit und Anpassbarkeit: Tielking betonte, dass dies notwendige Eigenschaften für ihre Sicherheitsautomatisierungsplattform seien. “Bei unserer Suche nach Automatisierungslösungen erwies sich Swimlane als eines der wenigen Produkte, das uns eine vielseitigere und individuellere Automatisierung ermöglichte. Andere SOAR-Lösungen boten zwar vorgefertigte Standardlösungen für einen schnellen Start, ließen aber darüber hinaus kaum Anpassungsmöglichkeiten zu. Swimlane hingegen – und deshalb entschieden wir uns für Swimlane – bot Frameworks, die es uns erlaubten, die Lösung optimal an unsere Geschäftsanforderungen und zukünftigen Bedürfnisse anzupassen.”

Schnelle Zeitersparnis:  Die ersten Wochen nach der Implementierung eines neuen Sicherheitstools sind oft die wichtigsten. Für das DIG-Team bedeutete die schnelle Reaktionszeit von Swimlane, dass sie Phishing-Daten schneller verarbeiten konnten. Die Zeitersparnis war sofort spürbar.

“Gleich zu Beginn, von unserem ersten Anruf und der Einrichtung an, verging nur eine Woche, und wir konnten bereits unsere Daten verarbeiten. Dadurch, dass wir einen Teil dieser Datenverarbeitung vorab erledigt hatten, konnten wir die Zeitersparnis durch den Verzicht auf Phishing-Angriffe nutzen, um unsere SIEM-Lösung aufzubauen. Innerhalb der ersten zwei Wochen hatten wir Swimlane also im Einsatz, verarbeiteten unsere Daten und konnten so den Mehrwert der Zeitersparnis für unser Unternehmen nutzen. Es ging wirklich schnell.”

Ein System zur Aufzeichnung von Sicherheitsdaten: “Wir nutzen Swimlane als zentrales Repository für alle eingehenden Daten. Damit automatisieren wir unsere übrigen Tools und schaffen so eine Art ‘Single Pane of Glass’-System. Dadurch können die Mitarbeiter in einem einzigen Bereich arbeiten – ohne Abhängigkeit von einem einzelnen Produkt oder einer einzelnen Software. Das erleichtert Schulungen, Lernprozesse und verbessert die allgemeine Arbeitsqualität.”

5-Sterne-Support: Die Erfahrung mit einem Anbieter ist genauso wichtig wie die Leistungsfähigkeit eines Produkts. Tielking war sofort von der Supportqualität von Swimlane beeindruckt. “Die Mitarbeiter des Swimlane-Supports sind fantastisch. Sie waren sehr zuvorkommend und haben mir in jeder Hinsicht geholfen.“

Sofortige Rückgabe

Für DIG stellte sich der Erfolg mit Swimlane schnell ein. Die Low-Code-Sicherheitsautomatisierung ermöglichte es dem Team, in kürzerer Zeit mehr zu erreichen, was zu messbaren Verbesserungen führte.

Erhöhung der Anzahl der EndgeräteTiekling stellte fest, dass die Low-Code-Automatisierung von Swimlane es unserem Unternehmen ermöglichte, die Anzahl unserer Endgeräte von einigen Hundert auf mehrere Tausend zu erhöhen – ohne unser Personal aufzustocken. Sie half unseren Mitarbeitern, sich auf diese Endgeräte zu konzentrieren, ohne den manuellen Prozess.“

30-40% Zeitersparnis: Tielking erläuterte, wie das DIG-Team Swimlane zur Automatisierung seiner SIEM-Lösung einsetzte. “Wir haben diese Warnmeldungen integriert und einige der anfänglichen manuellen Aufgaben, die viel Zeit in Anspruch nahmen – die Untersuchung dieser Warnmeldungen –, in unsere Automatisierung überführt. Dadurch konnten wir die Zeit, die wir für die Bearbeitung der verschiedenen Warnmeldungen unserer MDR- und EDR-Lösungen benötigen, erheblich reduzieren.” Die Einsparungen waren sofort spürbar: Die manuelle Bearbeitung von SIEM-Warnmeldungen dauerte zuvor “fast 30 bis 401 Tsd. Minuten”, “mit Swimlane nur noch Sekunden”.

Das DIG-Team wurde eingeladen, Swimlane Turbine im Betatest zu erproben und seine neuen Funktionen und seine Leistungsfähigkeit kennenzulernen. Eine der spannendsten Neuerungen in Turbine ist die schnellere und einfachere Erstellung von Playbooks. Für das DIG-Team war dies ein echter Durchbruch.

Anhaltender Erfolg mit Swimlane Turbine“Die Mitarbeit im Turbine-Beta-Programm war eine großartige Chance für das DIG. Wir konnten einen Einblick in die zukünftigen Entwicklungen gewinnen. Es zeigt uns die Vorgehensweisen, die den Einstieg in die Automatisierung für unsere neuen Techniker deutlich erleichtern werden. Dadurch können wir Mitarbeiter, die noch keine Erfahrung mit SOARs haben, flexibler einsetzen. Ich freue mich sehr auf Turbine, da es vielen unserer Mitarbeiter ermöglichen wird, die verschiedenen Prozesse, an denen wir täglich arbeiten, zu automatisieren.”

Angesichts der bisherigen Ergebnisse mit Turbine sind bereits beeindruckende Resultate zu erwarten. 

“Die Turbinen-Playbooks werden die DIG-Prozesse voraussichtlich um das Zwei- bis Dreifache beschleunigen. Wir werden in der Lage sein, die bereits komplexen – oder sogar sehr komplexen – Arbeitsabläufe, mit denen wir arbeiten, zu optimieren und mithilfe dieser Playbooks effizienter durchzuführen. Es ist wirklich spannend zu sehen, wie wir unsere Automatisierungen weiterentwickeln können.”.