Wenn Cyberangriffe sogar die stärksten IT-Sicherheitssysteme überwinden, dann ist die schnelle Erkennung solcher Attacken entscheidend, um auf den unbefugten Zugriff zu reagieren und die Wiederherstellung in Angriff zu nehmen. Mohawk arbeitete mit dem IBM Business Partner GlassHouse Systems zusammen, um die IBM® Security QRadar SIEM-Lösung (Security Information and Event Management) zu implementieren. Diese Lösung sollte dabei helfen, Sicherheitsverletzungen schnell zu erkennen und die Reaktion auf Vorfälle zu priorisieren.
Das Mohawk College verfügte bereits über ein leistungsfähiges System zum Schutz seiner komplexen IT-Umgebung. Die Hochschule wollte nun zusätzlich eine branchenführende SIEM-Lösung implementieren, um seine Abwehr gegenüber den zunehmenden Cyberbedrohungen noch weiter zu stärken.
Das College arbeitete deshalb mit GlassHouse zusammen, um die QRadar SIEM-Plattform zu implementieren. Ziel war es, einen transparenteren Einblick in seine Umgebung zu erhalten sowie Cybersicherheitsverletzungen zu erkennen, zu untersuchen und darauf zu reagieren.
Hochschuleinrichtungen sind eines der lukrativsten und attraktivsten Ziele für Cyberkriminelle. Die Beute ist zu verlockend: geistiges Eigentum, Forschungsergebnisse und personenbezogene Daten von Studierenden und Lehrkräften. Weil Cybersicherheitsmaßnahmen und entsprechende Technologien in Hochschulumgebungen oft nur punktuell eingesetzt werden, können sich böswillige Angreifer in der Regel einfach Zugriff auf diese leicht zu stehlenden Informationen verschaffen. Oft fehlt nämlich ein übergreifendes System zur Prävention und Reaktion, das mehrere Fachbereiche und Abteilungen einer Universität oder Hochschule abdeckt.
„Es gibt so viele verschiedene Fachbereiche, die alle etwas anderes machen, sodass sich der Schutz der gesamten Umgebung schwierig gestaltet“, erklärt Andrew Frank, Manager für IT Security Services am Mohawk College in Hamilton, Ontario. „Ohne gut durchdachtes Sicherheitsprogramm werden die Techniker in der Regel erst einmal alles tun, um die Umgebung zu schützen. Sie besorgen dann schnell ein paar Malwareschutzprogramme oder installieren vielleicht coole, neue Firewalls der nächsten Generation. Auch wenn diese Maßnahmen sehr wichtig sind, sind sie an einer Hochschule wie Mohawk nur ein Teil des Puzzles im Kampf gegen Cyberangriffe.“
Es ist nicht überraschend, dass Mohawk in puncto Cybersicherheit auf eine umfassende Lösung setzt. Schließlich legt die Hochschule den Schwerpunkt auf angewandte Forschung. Es werden mehrere Studienrichtungen angeboten, die es den Studierenden ermöglichen, praktische Erfahrungen in Unternehmen in Hamilton und dem Großraum Toronto zu sammeln. Die Hochschule ist für ihre innovativen Betriebsabläufe bekannt, mit umweltfreundlichen Gebäuden und Heizungs- sowie Kühlsystemen, die nach dem LEED-Standard zertifiziert sind.
Am Mohawk Collage wird auch das Fach Cybersicherheit unterrichtet. Außerdem verfügt die Hochschule über eine umfassende zentrale IT-Abteilung, die die Cybersicherheit der Einrichtung überwacht. Vor einigen Jahren wurde klar, dass die Hochschule technologisch ausgereifte Cybersicherheitstools zum Schutz vor und zur Verteidigung gegen böswillige Angreifer benötigt.
Frank erinnert sich daran, wie sich die Cybersicherheitsumgebung der Hochschule entwickelt hat. „Unser Vorstand fing an, Fragen dazu zu stellen, und wollte wissen, wie wir ein Programm zum Schutz unserer kritischen Assets entwickeln könnten“, erzählt er. Die zentrale IT-Abteilung befasste sich zunächst mit verschiedenen Branchenframeworks für die Sicherheit. Dazu gehörten beispielsweise die ISO-Normen 27001 und 27002 für das Management der Informationssicherheit. Dann wurde das National Institute of Standards and Technology Cybersecurity Framework (NIST CSF) herangezogen, um eine Schwachstellenanalyse durchzuführen und eine Selbsteinschätzung anhand der fünf Säulen des Frameworks vorzunehmen: Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen.
Die Hochschule wusste, dass die Identifizierung der zu schützenden Assets und der Schutz dieser Assets im Allgemeinen gut funktionierte. Allerdings schnitt das Mohawk College bei der Erkennung nicht gut ab. Das heißt, wenn die Kontrollen doch einmal versagten, konnte die Hochschule solch einen Verstoß nicht schnell genug identifizieren und infolgedessen auch nicht zeitnah darauf reagieren, geschweige denn, Maßnahmen zur Wiederherstellung ergreifen. „Sie können all diese Investitionen in Ihre Schutzmechanismen stecken, aber es gibt keine Patentlösung“, bestätigt Frank. „Am Ende ist das Risiko einer Kompromittierung hoch und die Umgebung komplex.“
Das Mohawk College beschloss, sich auf die Erkennung zu konzentrieren und in diesen Bereich zu investieren. „Wir wollten sicherstellen, dass wir Angreifer, die unsere Schutzmaßnahmen überwunden haben, schnell erkennen und aus unserem Netzwerk entfernen können“, sagt Frank. Im Hochschulbereich kann es manchmal Monate dauern, bis jemand merkt, dass Angreifer in ein System eingedrungen sind. „Dies wollten wir im Falles eines Angriffs auf unsere Systeme verhindern“, sagt er.
„Neben der schnellen Erkennung war für uns auch wichtig, was danach passiert“, erklärt Frank. „Man möchte in der Lage sein, Dinge zu reproduzieren, um zu wissen, was genau passiert ist und welche Systeme angegriffen wurden. Das ist notwendig, um seine Systeme nach einem Angriff wiederherzustellen und sein Netzwerk wieder abzusichern.“
Das Mohawk College machte sich auf die Suche nach einer branchenführenden Erkennungsplattform. Die Hochschule arbeitete zu diesem Zeitpunkt bereits mit IBM zusammen, um das Thema „SIEM-Tools“ (wie die QRadar-Lösung) in sein Ausbildungsprogramm für Cybersicherheit zu integrieren. Mit dieser Synergie im Hinterkopf begannen Frank und seine Kollegen, SIEM-Lösungen für die Hochschule genauer unter die Lupe zu nehmen.
Frank beschreibt, welche Kriterien wichtig waren: „Wir wollten ein einfach zu bedienendes Tool, das kein umfangreiches Training für die Benutzer erfordert, um die Daten zu durchsuchen und Ereignisprotokolle sowie den Netzwerktraffic zu analysieren.“ Die Hochschule benötigte ein Tool, das nicht nur die Informationen für die Suche speichert, sondern auch Vorfälle identifiziert und priorisiert und die Option zur Anwendung von KI bietet, um Verstöße schneller zu untersuchen.
QRadar stellte sich schnell als eine der besten Lösungen heraus, die Mohawk genauer untersuchte. Das Tool hob sich in vielen Aspekten von den anderen in Betracht gezogenen Lösungen ab: Es wurde von Gartner in seinem Bericht „Magic Quadrant for SIEM“ als eine der führenden SIEM-Lösungen eingestuft, es hatte eine gute Reputation bei den Providern von Public Clouds und es hatte gute Referenzen von anderen Hochschulen erhalten.
Das Mohawk College entschied sich für die Implementierung der QRadar SIEM-Plattform, um Bedrohungen in seinem komplexen und dezentral aufgestellten IT-Netzwerk schneller erkennen und priorisieren zu können. „QRadar erfüllte viele unserer Anforderungen, nachdem wir festgelegt hatten, welches Tool wir wollten“, so Frank. „Wir mussten nur jemanden finden, der es uns nicht nur verkaufen, sondern auch professionelle Services rund um die Installation bereitstellen konnte.“
Die Wahl für die Implementierung der QRadar-Lösung und die Bereitstellung von personalisiertem, laufendem Support fiel auf GlassHouse, einen lokalen IBM Business Partner.
„Wir haben von Anfang an gemerkt, dass alle bei GlassHouse äußerst professionell sind“, sagt Frank. „Sie haben uns nicht nur einfach etwas verkauft, um danach wieder zu verschwinden. Sie haben eine echte Beziehung zu uns aufgebaut.“
GlassHouse implementierte die QRadar-Lösung und baute die Infrastruktur für drei Campusstandorte und das Hauptrechenzentrum auf, damit die Hochschule Daten aus mehreren Systemen und Abteilungen aufnehmen und analysieren kann. Der IBM Business Partner schulte auch das Team von Mohawk und stellte alle erforderlichen Dokumentationen und Diagramme zur Verfügung.
Die QRadar-Plattform bietet dem Mohawk College ein konsolidiertes Dashboard, das den Mitarbeitern der IT-Sicherheit bei der Visualisierung der Netzwerksicherheit hilft. Wenn eine Verletzung oder ein Verstoß auftritt, erhalten die Sicherheitsanalysten über das Dashboard Informationen darüber, wie, wann und wo der Vorfall stattgefunden hat. Die QRadar-Lösung priorisiert die Verstöße nach Relevanz, Vertrauenswürdigkeit und Schweregrad. So können die Mitarbeiter des Mohawk Colleges zuerst auf die Verstöße mit der höchsten Priorität reagieren.
Die Lösung lässt sich außerdem sehr gut an die spezifischen Anforderungen der Benutzer anpassen. Die Hochschule verzeichnet zum Beispiel viele E-Mail-Phishing-Angriffe auf Lehrkräfte, Mitarbeiter und Studierende. „Wir konnten ein Dashboard für uns selbst erstellen“, erklärt Frank. „Wenn ein Phishing-Angriff stattfindet und unsere Schutzsysteme überwindet, können wir schnell die Daten durchgehen, egal ob es sich um die Betreffzeile, den Absender, den Empfänger oder den Inhalt einer Nachricht handelt. Dann können wir diese Nachrichten schnell herausfiltern und ermitteln, wie weit sie in unsere Organisation eingedrungen sind, wie stark sie sich verbreitet haben und wie viele Benutzer davon betroffen waren.“
Das Sicherheitsteam kann sich dann an die betroffenen Benutzer wenden, um sie darauf hinzuweisen, dass sie eine Phishing-Nachricht erhalten haben. Sie werden außerdem gebeten, das Team zu informieren, falls sie bereits mit der Phishing-Nachricht interagiert haben sollten. Das Mohawk-Team kann die Nachrichten auch vom E-Mail-Server entfernen, bevor andere Benutzer sie öffnen.
Mohawk dachte bei der Wahl der QRadar-Lösung auch an zukünftige Anforderungen. Obwohl das Mohawk College die QRadar-Lösung derzeit nicht in der Cloud betreibt, kann die Hochschule die Vorteile der QRadar Cloud Visibility-App nutzen. „Wir wollten sicherstellen, dass wir uns für eine zukunftssichere Lösung entscheiden, die Informationen aus den Public Clouds aufnehmen kann, falls diese Situation irgendwann mal auftreten sollte“, sagt Frank. „Wenn wir uns entscheiden, unsere Instanz in die Cloud zu verlagern, anstatt sie lokal auszuführen, erfüllt QRadar genau diese Anforderungen und hebt sich dadurch deutlich von anderen Lösungen ab.“
Mit QRadar Data Store kann Mohawk außerdem problemlos einen Data Lake für Sicherheitsdaten innerhalb von QRadar einrichten, und zwar sowohl für das Protokollmanagement als auch für SIEM-Anwendungsfälle. Außerdem kann Mohawk mit QRadar Data Store kostenwirksam große Mengen an Sicherheits- und IT-Betriebsdaten sammeln, analysieren und speichern. Da sich alle Sicherheitsdaten an einem zentralen Ort befinden, kann Mohawk die Erstellung von Compliance-Berichten vereinfachen, aufschlussreichere Ergebnisse erzielen und den Teams ein solideres Dataset für Abfragen zur Verfügung stellen. Dadurch konnte Mohawk sowohl die Implementierung vereinfachen als auch die Kosten senken. Dies war ein weiteres Differenzierungsmerkmal, das zur Entscheidung der Hochschule für die QRadar-Lösung beitrug.
GlassHouse arbeitete mit dem Sicherheitsteam zusammen, um das System so zu konfigurieren, dass es die Alerts herausfiltert, bei denen keine sofortige Reaktion erforderlich ist. Jeff Wilson, Director of Cloud and Managed Services Sales bei GlassHouse, erklärt: „Wir wollen an die handlungsrelevanten Daten herankommen, d. h. die 10 %, auf die man sich konzentrieren will, um die Ursache herauszufinden und schnell Korrekturmaßnahmen vorzunehmen.“
Frank ist mit der praktischen Unterstützung von GlassHouse zufrieden. „Wir brauchten professionelle Services, um an diesen Punkt zu gelangen“, sagt er. „Wir haben wirklich mit GlassHouse zusammengearbeitet, um sicherzustellen, dass das System richtig für unsere Umgebung konfiguriert ist. Jetzt wissen wir, dass wir bei einer möglichen Kompromittierung in Zukunft nicht mehr so viele Daten durchgehen müssen und dass wir eine ziemlich übersichtliche Benutzeroberfläche haben.“
Es gibt Bedrohungen, die es schaffen, selbst in die besten Cybersicherheitssysteme einzudringen. Und wenn das Sicherheitsteam die Bedrohung nicht sehen kann, kann es auch nicht darauf reagieren. Nach der Implementierung von QRadar kann das Mohawk College nun Cybersicherheitsverstöße schnell erkennen und entsprechend reagieren.
„Es geht vor allem um Transparenz“, sagt Frank. „Es geht darum, zu sehen, was im Netzwerk vor sich geht und wie die verschiedenen Rechner miteinander verbunden sind und miteinander kommunizieren. Es geht darum, Alerts auszugeben, um zu sehen, ob es eine potenzielle Gefährdung im Netzwerk gibt, die untersucht werden muss. Mit QRadar erhalten wir ein Maß an Transparenz, das wir vorher nicht hatten.“
Frank vergleicht die frühere Komplexität der Überwachung des Sicherheitssystems von Mohawk mit der heutigen Einfachheit der Darstellung im QRadar-Dashboard. „Stellen Sie sich vor, dass Sie in einer großen Organisation viele verschiedene Sicherheitstools und -anwendungen haben“, sagt er. „Von Malwareschutz an den Endpunkten über das Rechenzentrum und Firewalls – außerhalb des Unternehmens und auch intern an verschiedenen Orten – bis hin zu Sensoren zur Abwehr von Angriffen von außen und so weiter.“ Früher hatten alle diese Systeme ihre eigenen Oberflächen, in die sich die Mitarbeiter des Sicherheitsteams einzeln einloggen mussten, um mögliche Bedrohungen zu untersuchen. Und jedes Element gab es mehrmals, verteilt über die gesamte Hochschule, in unterschiedlichen Fachbereichen, Campusgebäuden und an verschiedenen Standorten.
„Jetzt nimmt QRadar all diese Daten auf und stellt sie uns in einer einzigen Ansicht zur Verfügung“, sagt Frank. „Und dann werden alle Alerts, Warnungen und potenziellen Bedrohungen, die diese Lösungen ausgeben, nach Risiken priorisiert, damit wir sie untersuchen können. Es hilft uns also wirklich dabei, die Informationen zu sichten. Es geht schnell und sorgt dafür, dass wir uns auf die größten Risiken oder Bedrohungen konzentrieren.“
Das Mohawk College nutzt QRadar Data Store für das zentrale Protokollmanagement, wodurch die Einhaltung des Payment Card Industry Data Security Standard (PCI DSS) der Hochschule verbessert wird. Laut Frank hilft die zentralisierte Protokollierung auch dem operativen Team. „Wenn wir Probleme im Rechenzentrum beheben, die nicht sicherheitsrelevant sind, hat das operative Team jetzt Zugriff auf die Details“, sagt er. „Sie können Suchanfragen durchführen, um die benötigten Informationen schnell zu finden, ohne dass sie in jeden einzelnen Rechner gehen und versuchen müssen, die Protokolle manuell zu überprüfen. Ich denke, das beschleunigt eine Reihe von Herausforderungen, mit denen Infrastrukturteams in der Regel zu kämpfen haben.“
Frank ist froh, dass sich die Hochschule für die Zusammenarbeit mit einem IBM Business Partner wie GlassHouse entschieden hat und lobt das GlassHouse-Team: „Sie hatten nicht nur hochqualifizierte, technisch versierte und sachkundige Mitarbeiter für QRadar, sondern auch für die Cybersicherheit im Allgemeinen. Wir waren absolut beeindruckt.“
Jeff Wilson von GlassHouse erklärt seinerseits, warum die enge Beziehung zu Mohawk so erfolgreich war. „In der Umgebung von Mohawk gibt es nichts, was bei der Integration in QRadar schwierig war“, sagt er. „Im Sicherheitsbereich ist eine enge und effektive Zusammenarbeit mit dem Kunden – das Verstehen seiner Prozesse, seiner Infrastruktur und seiner Softwareumgebung sowie der Orte, an denen sich seine wichtigsten Daten befinden – wirklich wichtig, um Sicherheit zu bieten und Wege für die Beseitigung von Schwachstellen zu finden. Und ich denke, dass diese gute Kooperation zwischen einem mittelständischen Unternehmen wie GlassHouse und einem mittelgroßen Kunden wie Mohawk zu einer erfolgreichen Zusammenarbeit beiträgt.“
Die Zusammenarbeit war auch dank der Unterstützung der Hochschulleitung und der Akzeptanz durch andere Abteilungen wie die Betriebs- und Infrastrukturteams erfolgreich, die bereits von der QRadar-Lösung profitiert haben. „Sie kennen das Tool und dessen Funktionsweise. Und sie wissen, wie sie in ihren jeweiligen Abteilungen von dem Tool profitieren können“, sagt Frank. „Ich denke, das war ein entscheidender Erfolgsfaktor, ebenso wie die Tatsache, dass alle beteiligt waren und gemeinsam nach der richtigen Lösung für die Hochschule gesucht haben.“
Die Hochschule schafft Synergieeffekte zwischen ihrer im Hintergrund agierenden Sicherheitsabteilung und ihren akademischen Programmen, indem Kurse in Cybersicherheit angeboten werden, die auch SIEM einschließen. Letztendlich könnte sich der Einsatz der QRadar-Plattform zu einem Recruiting-Tool entwickeln, da Studierende, die sich in einem stark nachgefragten Bereich wie der Cybersicherheit weiterbilden wollen, sehen werden, dass die Hochschule durch die Implementierung einer technologisch ausgereiften SIEM-Lösung genau das praktiziert, was sie lehrt.
Das 1966 gegründete Mohawk College (Link befindet sich außerhalb von ibm.com) liegt in Hamilton, Ontario, Kanada, und positioniert sich als Hochschulstandort, der für seine Innovationskultur bekannt ist. Die Hochschule hat es sich zum Ziel gesetzt, hochqualifizierte Absolventen auszubilden und diese auf ihren Erfolg und ihren Beitrag zur Gemeinschaft vorzubereiten. Das Mohawk College unterrichtet mehr als 32.500 Vollzeit-, Teilzeit- und internationale Studierende und beschäftigt etwa 1.000 Lehrkräfte. Es betreibt drei große Campusstandorte: Fennell, Stoney Creek und das Mohawk-McMaster Institute for Applied Health Sciences der McMaster University.
Der 1993 in Toronto, Kanada, gegründete IBM Business Partner GlassHouse (Link befindet sich außerhalb von ibm.com) hilft seinen Kunden im privaten und öffentlichen Sektor, die Komplexität und Betriebskosten ihrer IT-Umgebungen zu reduzieren. Das Unternehmen verfügt über Fachwissen in den Bereichen Cloud, Managed Services, Unternehmenssicherheit, Infrastruktur und mehr und bietet entsprechende Lösungen an. GlassHouse hat seinen kanadischen Hauptsitz in Toronto und seinen US-Hauptsitz in Lisle, Illinois, und beschäftigt etwa 80 Mitarbeiter.
Rechtswesen
© Copyright IBM Corporation 2021. IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504
Hergestellt in den USA, April 2021.
IBM, das IBM Logo, ibm.com, IBM Security und Trusteer sind Marken der IBM Corporation in den USA und/oder anderen Ländern. Weitere Produkt‐ und Servicenamen können Marken von IBM oder anderen Unternehmen sein. Eine aktuelle Liste der IBM Marken finden Sie auf der Webseite „Copyright- und Markeninformationen“ unter www.ibm.com/de-de/legal/copytrade.shtml.
Das vorliegende Dokument ist ab dem Datum der Erstveröffentlichung aktuell und kann jederzeit von IBM geändert werden. Business Partner legen ihre eigenen Preise fest. Diese können variieren. Nicht alle Angebote sind in allen Ländern verfügbar, in denen IBM tätig ist.
Die genannten Leistungsdaten und Kundenbeispiele dienen ausschließlich zur Veranschaulichung. Tatsächliche Leistungsergebnisse hängen von den jeweiligen Konfigurationen und Betriebsbedingungen ab. Es liegt in der Verantwortung der Anwender, die Nutzbarkeit anderer Produkte oder Programme neben den Produkten und Programmen von IBM zu evaluieren und verifizieren. DIE INFORMATIONEN IN DIESEM DOKUMENT WERDEN OHNE JEGLICHE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GARANTIE ZUR VERFÜGUNG GESTELLT, EINSCHLIESSLICH DER GARANTIE DER MARKTGÄNGIGKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK UND DER GARANTIE ODER BEDINGUNG DER NICHTVERLETZUNG VON RECHTEN. Die Garantie für Produkte von IBM richtet sich nach den Geschäftsbedingungen der Vereinbarungen, unter denen sie bereitgestellt werden.
Die Einhaltung der Datenschutzgesetze und -richtlinien liegt in der Verantwortung des Kunden. IBM bietet keine Rechtsberatung an und gewährleistet nicht, dass die Dienstleistungen oder Produkte von IBM die Einhaltung von Gesetzen oder Vorschriften durch den Kunden sicherstellen.
Erklärung zu guten Sicherheitsverfahren: IT-Systemsicherheit umfasst den Schutz von Systemen und Informationen durch Prävention, Erkennung und Reaktion auf unzulässigen Zugriff innerhalb und außerhalb Ihres Unternehmens. Unbefugter Zugriff kann dazu führen, dass Informationen verändert, vernichtet, veruntreut oder unsachgemäß gebraucht werden. Er kann auch zu Schäden an Ihrem System oder zum Missbrauch davon, u. a. im Rahmen von Angriffen gegen Dritte, führen. Kein IT-System oder -Produkt darf als vollkommen sicher betrachtet werden und es gibt kein Produkt, keine Dienstleistung und keine Sicherheitsmaßnahme, das bzw. die alleine vollständig vor einer unsachgemäßen Verwendung oder unbefugtem Zugriff schützen kann. Die Systeme, Produkte und Dienstleistungen von IBM werden als Teil eines rechtmäßigen, umfassenden Sicherheitsansatzes konzipiert. Daran sind notwendigerweise weitere Betriebsverfahren beteiligt und es können weitere Systeme, Produkte oder Dienstleistungen erforderlich sein, um eine möglichst hohe Effektivität zu erzielen. IBM GEWÄHRLEISTET NICHT, DASS SYSTEME, PRODUKTE ODER DIENSTLEISTUNGEN GEGEN SCHÄDLICHES ODER RECHTSWIDRIGES VERHALTEN JEGLICHER PARTEIEN IMMUN SIND ODER IHR UNTERNEHMEN DAGEGEN IMMUN MACHEN.