Um die Fristen für die Einhaltung der neuen Sicherheitsvorschriften des Bundesstaates New York einzuhalten und die Betriebsabläufe rasch zu optimieren, beauftragte dieser Schaden- und Unfallversicherer den IBM Geschäftspartner mit der Entwicklung, Installation und Fernverwaltung einer unternehmensweiten IBM® QRadar®-SIEM-Lösung.
Mit der Einführung einer umfassenden neuen Sicherheitsvorschrift benötigte der Versicherer einen schnellen Weg zur unternehmensweiten Implementierung von Security Information and Event Management (SIEM).
Mit Hilfe von Sirius konnte der Versicherer eine kritische Komponente der allgemeinen Sicherheitsvorschriften erfüllen, ohne dass erhebliche Investitionen in schwer zu findendes Sicherheitspersonal erforderlich waren.
Als das New York State Department of Financial Services (NYDFS) 23 New York Code Rules and Regulations 500 (23 NYCRR 500), eine Cybersicherheitsvorschrift für alle in New York tätigen Finanzinstitute, ankündigte, gab es den betroffenen Organisationen eine Reihe von gestaffelten Umsetzungsfristen vor.
Die Erfüllung der gesetzlichen Anforderungen passte in die Pläne dieses Schaden- und Unfallversicherers, der in New York und mehreren anderen Bundesstaaten tätig ist. Er hatte festgestellt, dass das Sicherheitsmanagement eine strategische Geschäftsfunktion für das Unternehmen war – aber nun hatte es einen festen Termin mit einer kurzen Zeitspanne, um seine Compliance in Ordnung zu bringen.
Ein wichtiger Bestandteil ihrer Compliance-Initiative war die Einrichtung eines unternehmensweiten Systems für das Security Information and Event Management (SIEM), das noch vor der Umsetzungsfrist von 23 NYCRR 500 im September 2018 voll funktionsfähig sein sollte. Das Unternehmen verfügte zwar über SIEM-Tools, die in verschiedenen Teilen seiner Infrastruktur eingesetzt wurden, aber bestimmte Geräte und Entitäten waren davon nicht abgedeckt. Darüber hinaus generierten die Tools trotz dieser Lücken mehr Ereignisse, als das Personal zu diesem Zeitpunkt effektiv bewältigen konnte. Die Unternehmensleitung erhielt nicht den detaillierten Überblick, den sie für das gesamte Unternehmen benötigte.
Anstatt die Auswahl und Implementierung einer unternehmensweiten SIEM-Lösung selbst in Angriff zu nehmen, wandte sich der Versicherer an den IBM Platinum-Geschäftspartner Sirius (Link befindet sich außerhalb von ibm.com). Das Unternehmen unterhielt bereits eine Geschäftsbeziehung zu Sirius, und Sirius war bereits für die Arbeit in der IT-Umgebung des Unternehmens zugelassen – beides Faktoren, die den IT-Lösungsanbieter in die Lage versetzten, die Anforderungen des Unternehmens möglichst schnell zu erfüllen.
„Schritt eins war die Auswahl des SIEM-Tools, das den aktuellen Anforderungen dieses Kunden gerecht würde und – was noch wichtiger ist – eine strategische Plattform für den Weg des Unternehmens in die Zukunft böte“, so Brian Reichart, Sirius Managed Services Solutions Sales Specialist, der die Zusammenarbeit leitete. Sirius empfahl IBM QRadar SIEM, eines der Tools, die bereits im Unternehmen verwendet wurden.
„Der neue CISO hat uns sehr intensiv ausgefragt, warum QRadar unserer Meinung nach das richtige Produkt sei. Wir hatten auch eine lange Diskussion über den Wert einer lokalen Bereitstellung im Vergleich zur Cloud. Nachdem wir die strategischen Anforderungen des Unternehmens in Bezug auf die Sicherheit durchgearbeitet und das erwartete jährliche Wachstum von 10 bis 15 % mit einbezogen hatten, waren wir der Meinung, dass eine dedizierte lokale QRadar-Lösung das Richtige für diesen Kunden sei.“
Zu den Unterscheidungsmerkmalen, die zur Auswahl von QRadar gegenüber anderen möglichen SIEM-Plattformen beigetragen haben, gehören die umfangreichen Standardberichtsfunktionen sowie die Flexibilität der Berichterstellung. Das bedeutet, dass für die Einrichtung der Sicherheitssoftware nur wenige Anpassungen erforderlich waren. Die Log-Manager-Plattform bietet schnellen Zugriff auf Daten zur betrieblichen Überprüfung und ermöglicht die Analyse von Aktivitäten in Teilbereichen der Umgebung.
Dem CISO des Versicherers gefiel auch, dass Funktionen über den IBM Security App Exchange hinzugefügt werden konnten, ein Ökosystem von Entwicklern, die Apps und Add-Ons für QRadar und andere Sicherheitslösungen anbieten.
Etwas mehr als sechs Monate vor dem angestrebten Einführungsdatum im Unternehmen machte sich Sirius an die Arbeit, um eine Architektur für die skalierbare QRadar-Lösung zu entwickeln und Kollektoren und Konsolen in den drei großen Rechenzentren des Versicherers sowie an mehreren entfernten Standorten zu installieren. Die Sirius-Lösung umfasst Korrelationsregeln, die falsch-positive Ergebnisse herausfiltern und für die Effizienz jeder SIEM-Lösung entscheidend sind, so Reichart: „Zusätzlich zu den von IBM empfohlenen Korrelationsregeln hat Sirius seine eigenen Korrelationsregeln entwickelt, die wir hinzufügen. Diese detaillierte Anpassung trägt dazu bei, die Anzahl der vom System generierten Warnmeldungen deutlich zu reduzieren.“
Heute deckt die QRadar-SIEM-Installation des Versicherungsunternehmens mehr als 5.100 Geräte ab, wobei mit dem Wachstum des Unternehmens kontinuierlich neue Protokollquellen hinzukommen. Die Lösung unterstützt den aktuellen Workload des Unternehmens mit 24.000 Ereignissen pro Sekunde (EPS) und kann auf bis zu 40.000 EPS skaliert werden.
Die Überwachung und das laufende Management werden von Sirius über das SOC des Geschäftspartners bereitgestellt, wodurch der Versicherer seine knappe Frist für die Erreichung der operativen Raffinesse einhalten konnte, ohne ein eigenes Betriebszentrum einrichten und besetzen zu müssen. Auf diese Weise konnte das Unternehmen potenzielle Bußgelder und Strafen gemäß 23 NYCRR 500 vermeiden und gleichzeitig dem Versicherer die Zeit geben, die er benötigt, um sein eigenes SOC in Zukunft personell und materiell auszustatten.
„Im Moment sind wir rund um die Uhr und das ganze Jahr an unseren Bildschirmen und Tastaturen, um QRadar zu unterstützen“, sagt Reichart. Der fortlaufende Support umfasst das Hinzufügen neuer Korrelationsregeln zur Feinabstimmung des Systems, wöchentliche Treffen mit dem Kunden und die weitere Implementierung neuer Protokollquellen, wenn das Unternehmen seine IT-Umgebung um neue Ressourcen erweitert.
„Dieses Unternehmen hat sein Wachstum nicht verlangsamt“, sagt Reichart. „Sie setzen weiterhin neue Tools, neue Hardware und neue Server in der Umgebung ein. Das sind alles neue Protokollquellen, die wir im Laufe der Zeit für sie abrufen.“
Dieser Schaden- und Unfallversicherer hat seinen Hauptsitz im Südosten der USA und ist in mehreren Bundesstaaten im ganzen Land zugelassen.
Sirius (Link befindet sich außerhalb von ibm.com), ein IBM Platinum Business Partner, ist ein nationaler Integrator von technologiebasierten Geschäftslösungen, die sich über das gesamte Unternehmen erstrecken, einschließlich des Rechenzentrums und der einzelnen Geschäftsbereiche. Seit seiner Gründung im Jahr 1980 hat sich Sirius zu einem der größten Integratoren von IT-Lösungen in Nordamerika entwickelt. Heute bietet Sirius integrierte, herstellerübergreifende Technologielösungen, die die Anforderungen aller Organisationen erfüllen – von kleinen Unternehmen mit weniger als 500 Mitarbeitern bis hin zu großen Unternehmen mit Tausenden von Mitarbeitern und Hunderten von Standorten. Um mehr über Sirius zu erfahren, besuchen Sie: https://www.cdw.com/content/cdw/en/solutions.html (Link befindet sich außerhalb von ibm.com).
Rechtshinweise
© Copyright IBM Corporation 2018, IBM Corporation, IBM Security, 75 Binney Street, Cambridge, MA 02142.
Hergestellt in den Vereinigten Staaten von Amerika, Dezember 2018.
IBM, das IBM Logo, ibm.com und QRadar sind Marken der IBM Corporation, die weltweit in vielen Ländern registriert sind. Weitere Produkt‐ und Servicenamen können Marken von IBM oder anderen Unternehmen sein. Eine aktuelle Liste der IBM Marken finden Sie auf der Webseite “Copyright- und Markeninformationen" unter ibm.com/trademark.
Das vorliegende Dokument ist ab dem Datum der Erstveröffentlichung aktuell und kann jederzeit von IBM geändert werden. Nicht alle Angebote sind in allen Ländern verfügbar, in denen IBM tätig ist.
Die genannten Leistungsdaten und Kundenbeispiele dienen ausschließlich zur Veranschaulichung. Tatsächliche Leistungsergebnisse hängen von den jeweiligen Konfigurationen und Betriebsbedingungen ab. DIE INFORMATIONEN IN DIESEM DOKUMENT WERDEN OHNE JEGLICHE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GARANTIE ZUR VERFÜGUNG GESTELLT, EINSCHLIESSLICH DER GARANTIE DER MARKTGÄNGIGKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK UND DER GARANTIE ODER BEDINGUNG DER NICHTVERLETZUNG VON RECHTEN. Die Garantie für Produkte von IBM richtet sich nach den Geschäftsbedingungen der Vereinbarungen, unter denen sie bereitgestellt werden.
Die Einhaltung der Datenschutzgesetze und -richtlinien liegt in der Verantwortung des Kunden. IBM bietet keine Rechtsberatung an und gewährleistet nicht, dass die Dienstleistungen oder Produkte von IBM die Einhaltung von Gesetzen oder Vorschriften durch den Kunden sicherstellen.
Erklärung zu guten Sicherheitsverfahren: IT-Systemsicherheit umfasst den Schutz von Systemen und Informationen durch Prävention, Erkennung und Reaktion auf unzulässigen Zugriff innerhalb und außerhalb Ihres Unternehmens. Unbefugter Zugriff kann dazu führen, dass Informationen verändert, vernichtet, veruntreut oder unsachgemäß gebraucht werden. Er kann auch zu Schäden an Ihrem System oder zum Missbrauch davon, u. a. im Rahmen von Angriffen gegen Dritte, führen. Kein IT-System oder -Produkt darf als vollkommen sicher betrachtet werden und es gibt kein Produkt, keine Dienstleistung und keine Sicherheitsmaßnahme, das bzw. die alleine vollständig vor einer unsachgemäßen Verwendung oder unbefugtem Zugriff schützen kann. Die Systeme, Produkte und Dienstleistungen von IBM werden als Teil eines rechtmäßigen, umfassenden Sicherheitsansatzes konzipiert. Daran sind notwendigerweise weitere Betriebsverfahren beteiligt und es können weitere Systeme, Produkte oder Dienstleistungen erforderlich sein, um eine möglichst hohe Effektivität zu erzielen. IBM GEWÄHRLEISTET NICHT, DASS SYSTEME, PRODUKTE ODER DIENSTLEISTUNGEN GEGEN SCHÄDLICHES ODER RECHTSWIDRIGES VERHALTEN JEGLICHER PARTEIEN IMMUN SIND ODER IHR UNTERNEHMEN DAGEGEN IMMUN MACHEN.