Riedstadt. Die Tsolkas Executive Consulting verbaut seit 15 Jahren SOCs der Generation 3, 4 und 5. Darunter wurden SIEM/SOCS der Typen Cisco Mars, NetIQ, QRadar, ArcSight, McAfee und Splunk verbaut.
Mit der motion2insights GmbH & Co. KG hat die Tsolkas Executive GmbH mit weiteren Gesellschaftern eine Neuausgründung gestellt, die ein neues SOC für IT und OT entwickelte, und fortlaufend verbessert.
OSCAR © – Open Source Cruncher for Availability and Reliability ist ein Generation 6 SOC. Es basiert auf Elastic Search Enterprise License. Seine Angriffserkennung und Skalierung ist bemerkenswert. Es ist modular aufgebaut und mandantenfähig. Es kann temporär von der zentralen Infrastruktur abgekoppelt sein, und verrichtet seine Aufgabe trotzdem mit Hilfe von Anomaliedetektoren, und es stellt die Softwareintegrität dabei durch ausgetauschte Schlüssel höchst sicher. Wenn es wieder Verbindung zum zentralen SOC hat, synchronisiert es einfach. In der Zwischenzeit ist sein Schutz voll gegeben. Seine SOAR-Umgebung enthält Autopiloten, die mit ML unterstützt, vollautomatische oder teilautomatische Handlungen durchführen könnten. OSCAR © spart Ihnen durch die Intelligenz Kosten im Incident Management. Auch in Punkto Lizenzkosten gehört es zu den günstigen Spitzenreitern auf dem Markt.
SIEM – Das Security Information und Event Management liefert Echtzeit-Ereigniserfassung, Monitoring, Korrelation und Analyse von Ereignissen über heterogene Quellen hinweg in einem Big-Data-Umfeld. Die Daten des Unternehmens werden überwacht und vor immer höher entwickelten Cyberbedrohungen geschützt. Die stetig steigende Datenflut in Unternehmen bietet immer mehr Angriffsfläche. Durch die Einfachheit des SIEMs hat sich die Komplexität der Arbeit eines Security Incident Managers und Security Analysten reduziert. Big Data verhindert die klassischen Silos in der IT-Infrastruktur.
Ingestion Pipelines – OSCAR © verwendet eine übersichtliche Anzahl an extrem leistungsfähigen Ingestion Pipelines. Diese Pipelines sorgen für die Datenströme aus bereits existierenden Datenquellen in das SOCs. Die Daten werden normalisiert, gefiltert, transformiert bzw. angereichert. Wir nutzen u.a. HDFS-basierende Tools für die Data Ingestion Strategie von OSCAR ©. In unseren Machine Learning Pipelines findet die Datensammlung online und offline statt. Die Daten werden untersucht, transformiert und in das Feature Engineering gesendet. Wir setzen Chi-Squared und andere mathematische Ansätze für statistische Tests ein, um die Auswirkung eines Features nach den trainierten Machine Learning Modellen zu bestimmen. Wir nutzen dedizierte Pipelines für jedes unserer Modelle. Unsere Trefferquote für ML basierte Threat Detection liegt im Durchschnitt bei 99,7%.
Bedrohungserkennung – OSCAR erfasst permanent Sicherheitsereignisse in Datenquellen. Durch den Einsatz ausgezeichneter und zertifizierter Technologien und umfassender Datenkorrelation werden Bedrohungen zuverlässig erkannt. Unser SOC bietet Ihnen eine fehlertolerante und validere Threat-Erkennung u.a. durch Datenkorrelation. Die Erkennung findet in Echtzeit statt und retrospektiv. Die Sichtbarkeit im SOC durch die Panels wird kontinuierlich optimiert. OSCAR © skaliert hoch, ist extrem performant und ist kostentransparent. In die Bedrohungsanalyse haben wir bereits unseren ML basierenden Autopiloten eingearbeitet. SOAR Tools automatisieren auf der Abwehrebene. OSCAR´s pattern-basierenden Use Cases werden auch ML-basierend vorgehalten. OSCAR © stellt automatisiertes Pentesting und Simulationen bis zu einem gewissen Grad bereit. Die Reife erhöht sich von Projekt zu Projekt.
Auswertung – In OSCAR © findet eine Vorbewertung der Incidents durch ein erweitertes MITRE ATT&CK Framework statt. Abschließend werden nur noch die kritischen Alarme durch Incident Manager, Security Analysten, IT-Forensiker und Red Teams bewertet, um eine garantiert zuverlässige Entscheidungen für die weitere Handhabung des Angriffs – oder eine Gegen- bzw- Abwehr zu treffen. OSCAR © kann derart eingestellt werden, dass unsere Autopiloten die Beseitigung von Bedrohungen oder Angriffen einleiten, oder auch nur dem Mitarbeiter einen Vorschlag macht, wie die Störung am besten zu beseitigen wäre. Die letzte Entscheidung kann durch User Intervention getroffen werden.
Abwehr – Im Incident-Fall kann ihr SOC Team Abwehrmaßnahmen einleiten und Isolierungen durchführen. Die Autopiloten können je nach Angriffsstärke dazu genommen werden um bei der Recherche, Bewertung und Abwehr zu helfen. Sie bieten für die SOAR-Ebene eine weitere helfende Hand durch die automatisierte Handlungen zur effizienteren Analyse und Koordinierung von Abwehrmaßnahmen. OSCAR © kann sich wiederholende einfache Dinge übernehmen, damit das SOC Team sich auf den Kern des Angriffs und der Abwehr konzentrieren kann.
Machine Learning – „Learning is any change in a system that produces a more or less permanent change in its capacity for adapting to its environment“ – Herbert Simon. Machine Learning is das Studieren von Algorithmen, die ihre Performance verbessern, bei gesetzten Aufgaben und mit Erfahrung. Die von uns eingesetzten SOAR-Tools – Security Orchestration Automation and Response – stellen Verfahren zur Verfügung, mit denen sich Sicherheitsbedrohungen sammeln lassen. Auf deren Basis erfolgt eine voll- oder halbautomatische Reaktion. OSCARs © Ziel ist es das Schwachstellenmanagement in Unternehmen zu verbessern. OSCAR © stellt SOAR und ML sehr abgestimmt zur Verfügung. Die Tiefe der Eingriffe können wir bei der Implementierung auf die Gegebenheiten und Anforderungen unserer Kunden anpassen.
SOAR – OSCARs © SOAR konzentriert sich auf Datensammlung, Verarbeitung und die Reaktion. Zur Zeit der Datensammlung tragen unsere SOAR Tools Informationen über Sicherheitsbedrohungen aus diversen Quellen zusammen. Diese werden an zentraler Stelle aggregiert und der Verarbeitung zugeführt. Die voll- oder halbautomatisierte Verarbeitung entlastet Sicherheitsteams von Überwachungsaufgaben. Intelligente Algorithmen scannen die vorliegenden Informationen z.B. nach Anomalien und bereiten sie derart auf, dass eine Reaktion darauf erfolgen kann. Der Reaktionspart der Lösung ist für die Einleitung von Maßnahmen auf erkannte Security Events in Echtzeit verantwortlich. Gleichzeitig werden Verantwortliche über Vorfälle sowie Maßnahmen und deren Erfolg informiert.Bei der Integration unserer SOAR-Tools haben wir verstärkt darauf geachtet, OSCARS © SIEM um die SOAR-Funktionen zu erweitern, damit Datenhaltung und Funktionen nicht so klar abgegrenzt sind, wie sie es in der SIEM und SOAR-Lösung normalerweise wären. Wir haben Wert auf Datensparsamkeit gelegt.
OSCAR © – gibt es für Azure, AWS und die Google Cloud. Es kann on premisses bei Kunden auf Hardware installiert werden und es gibt mehrere Kombinationen des Incident Managements – IM dazu. Das IM kann in den Clouds as a service über unsere Partnerfirma bereitgestellt werden, oder on premisses, oder an einen bereits existierenden Service Provider des Kunden angebunden werden. Auch für die SOC Readiness bedienen wir uns Partnerfirmen, die unsere Produkte kennen, und den Kunden bei den einen oder anderen Dingen, die zur erfolgreichen SOC – Installation noch fehlen, beraten oder es auch umsetzen können, wie z.B. PKI, CMDB, Asset Management usw.
Mehr zu OSCAR © erfahren Sie demnächst in unseren regelmäßigen Updates über unsere Agenturen, auf Sectank oder auf https://www.motion2insights.de