Managed Cyber Defense Center (CDC)

Cyber-Angreifern einen Schritt voraus sein –
Managed Cyber Defense für Unternehmen und Organisationen
 

Sie haben keine Lust, sich von Ransomware oder EMOTET aufs Kreuz legen zu lassen?

Wir haben auch Wichtigeres zu tun.

Im Cyber Defense Center erkennen wir Sicherheitsereignisse in der Netzwerk-Infrastruktur unserer Kunden – zügig und 24/7.

Dies geschieht durch das organisierte Miteinander von modernster Technologie und IT-Security-Fachkräften, die zusammen ein wirksames Schutzschild für IT-Infrastrukturen gegen Cyber-Angriffe bilden.          

Unternehmen und Organisationen buchen das Schutzschild für ihre IT-Infrastruktur als Managed Service inklusive Fachpersonal und modernster technologischer Unterstützung.

Managed Cyber Defense mit dem Security Operations Center (SOC) der ConSecur GmbH
 

Die ConSecur GmbH betreibt das Cyber Defense Center West in Bochum und das Cyber Defense Center Nord in Meppen.

Unternehmen und Organisationen profitieren im ConSecur Security Operations Center / Cyber Defense Center von

  • 24/ 7 Monitoring, Bedrohungserkennung rund um die Uhr
  • ISO/ IEC 27001 zertifizierte Cyber Defense Center
  • Cyber Defense Erfahrung seit 1999
  • Menschen mit Securiosity

Mit den flexiblen und modularen CDC Services von ConSecur den Anfreigern einen Schirtt voraus sein.

Permanent wachsam und bereit zu handeln - wie arbeitet das Cyber Defense Center?

 

Ohne eigene personelle Ressourcen - Netzwerk-Infrastrukturen wirksam vor Cyber-Angriffen schützen
 

Im Cyber Defense Center beschäftigen wir uns mit dem Denken der anderen. Tagtäglich erleben wir, dass Internet-Kriminelle immer raffiniertere Angriffstechniken anwenden, um Menschen hinters Licht zu führen, um in den IT-Systemen von Unternehmen, Behörden und Organisationen maximalen Schaden zu verursachen.

Diesen Herrschaften schauen wir auf die Finger.

Mit dem Managed CDC der ConSecur GmbH halten Unternehmen und Organisationen dagegen und halten selbst nur minimale personelle, technische und räumliche Ressourcen bereit.

 

 

IT-Security-Monitoring 24/7 zur Früherkennung von Cyber-Angriffen und kontinuierliche Verbesserung

 

Das permanente IT-Security-Monitoring rund um die Uhr ist die Basis einer erfolgreichen Cyber Defense.

Vereinfacht gesagt haben wir im Cyber Defense Center alles auf dem Schirm, was eine IP-Adresse besitzt. Server, Clients, Netzwerkgeräte, Multifunktionsgeräte, Router und weitere IT-Assets sind an das kontinuierliche Sicherheitsmonitoring angebunden, das wir im Cyber Defense Center rund um die Uhr betreiben.

Deshalb können wir Gefahren für das IT-Netzwerk frühzeitig erkennen und Gegenmaßnahmen einleiten, bevor Schaden entstehen kann.

Parallel wird das Cyber Defense Center einen kontinuierlichen Prozess der Verbesserung erfahren und weiterwachsen: Wir werden neue Regeln implementieren, um mit Unterstützung modernster Detektionsmechanismen bekannte Angriffsmuster zu identifizieren. Dieses Regelwerk hält unseren IT-Security-Analysten den Rücken frei, die Ihre Zeit für die Detektion bisher unbekannte Bedrohungsszenarien einsetzen können.

 

 

Bedrohungen visualisieren – Detektionsmechanismen melden potentielle Bedrohungen über das Ticketsystem

 

Das Dashboard des Ticketsystems visualisiert potentielle Bedrohungen.
Diese IT-Security-Alerts deuten auf Zugriffe oder Aktivitäten im IT-Netzwerk hin, die verdächtig sind und deshalb IT-Sicherheitsvorfälle sein können.

IT-Security-Alerts stammen aus dem eingesetzten Tool, das die Logdateien der angebundenen Quellen erfasst und auf bestimmte Muster hin analysiert hat.

Handelt es sich um einen Sicherheitsvorfall oder um falschen Alarm (false positive)? Diese Entscheidung treffen die IT-Security-Analysten.

 

 

Detektionsmechanismen melden unerwünschte Aktivitäten in IT-Netzwerken von Unternehmen und Organisationen
 

Detektionsmechanismen sind technische Assistenten, die erwünschte und unerwünschte Aktivitäten in IT-Netzwerken von Unternehmen und Organisationen automatisch und in kürzester Zeit unterscheiden.

Diese Fähigkeit haben Detektionsmechanismen durch Regeln erhalten, die IT-Security-Engineers entwickelt, geschrieben und in den Tools abgelegt haben. Regeln gibt es für erlaubte Zugriffe, andere Regeln beinhalten den Abdruck bekannter Cyber-Attacken.

Jeder auf diese Weise generierter Alarm weist eine Anomalie auf und kann deshalb ein Sicherheitsvorfall sein, den unsere IT-Security-Analysten untersuchen.

 

 

Security Operations Center (SOC)
Sicherheitsvorfälle und erlaubte Zugriffe unterscheiden

 

Beim IT-Security-Monitoring überwachen die IT-Security-Analysten im Cyber Defense Center (Security Operations Center) Im Einklang mit modernster Technologie die Aktivitäten innerhalb von IT-Netzwerken.


Hier unterscheiden IT-Security-Analysten Sicherheitsvorfälle und erlaubte Zugriffe voneinander. Im Falle einer potentiellen Bedrohung ergreifen sie in Abstimmung mit der IT-Abteilung unserer Kunden geeignete Maßnahmen, um Angriffe zu unterbinden bzw. Gegenmaßnahmen einzuleiten.

Dafür beschäftigen wir Fachkräfte wie IT-Security-Analysten rund um die Uhr, die Anomalien auf den Grund gehen, und setzen im Verbund mit menschlichem Know-how auf modernste Technologie, die dabei assistiert.

Detektion

Sicherheitsvorfall oder falscher Alarm?
IT-Security-Analysten erkennen Bedrohungen

 

Die Aufgabe der IT-Security-Analysten ist, misstrauisch zu sein.

 

Handelt es sich um einen Sicherheitsvorfall oder um falschen Alarm? Innerhalb einer zuvor definierten Reaktionszeit werden IT-Security-Analysten jeden gemeldetem Alarm bearbeiten. Ihre Aufgabe ist, diese IT-Security-Alert zu analysiert, zu klassifizieren und im Falle eines Sicherheitsvorfalls zu eskalieren.

IT-Security-Analysten erkennen Bedrohungen und sind bereit, entsprechende Gegenmaßnahmen ad hoc einzuleiten. Das schnelle, abgestimmte Handeln besitzt beim Erkennen und Abwehren von Bedrohungen die entscheidende Bedeutung.

Alarme werden im SIEM-Tool dann ausgelöst, wenn der gemeldete IT-Security-Alert verdächtige Muster oder Verhaltensweisen aufweist, die vermeintlich die Handschrift eines Sicherheitsvorfalles tragen.

„Ich beschütze meine Kunden.“
Hasan, IT-Security-Analyst der ConSecur GmbH

IT-Security-Analysten schauen sich an, welche im SIEM-Tool hinterlegte Regel den Alarm ausgelöst hat und gehen dann ins Detail.

Es kommt vor, dass sich diese Alarme als „False Positive“ entpuppen, also als falscher Alarm.

Im anderen Fall wissen unsere IT-Security-Analysten, welche Maßnahmen bei einem Angriff zu ergreifen sind und leiten diese ein.

Jeder IT-Security-Alert wird von IT-Security-Analysten sauber dokumentiert.

 

Nach Detektion kommt Reaktion
Security Incident Response – bei Sicherheitsvorfällen gezielt und schlagkräftig handeln
 

Was machen wir, wenn es passiert ist?
Jeder Security Incident ist ein Notfall, den wir zügig, strukturiert und zielführend angehen.
Im Falle eines Sicherheitsvorfalls (Security-Incident) alarmieren IT-Security-Analysten der ConSecur GmbH die hauseigene IT über vorab definierte Meldewege und leiten die Security-Incident-Response ein.

Die Security-Incident-Response ist das gemeinsame, schlagkräftige Handeln von hauseigener IT-Abteilung und Cyber Defense Center, um Sicherheitsvorfälle abzuwehren und Schaden von Netzwerk-Infrastrukturen abzuwenden.

„Welche Artefakte enthält der Quellcode? Worauf deuten diese Spuren hin? Gibt es Erfahrungswerte mit vergleichbaren IT-Security-Alerts? In der Incident-Response geht es um gezieltes, zügiges Handeln.“

Karolina Czerkowski, Security Operations Lead

Konkret ergreifen wir im CDC Erstmaßnahmen wie ein Notarzt, der an der Unfallstelle angekommen ist und Betroffene versorgt: Wir isolieren die Systeme, die das Ziel des Angriffs geworden sind, sodass sich Schäden nicht oder nicht weiter ausbreiten. Im zweiten Schritt bereinigen wir die Systeme, sodass im dritten Schritt der Übergang zum gewohnten Regelbetrieb erfolgt.

Dieses geschlossene, eingespielte Handeln ist das Ergebnis einer nahtlosen Zusammenarbeit, die wir bei ConSecur für die größtmögliche Schutzwirkung anstreben.

 

IT-Security-Engineers entwickeln Regeln zur automatischen Angriffserkennung
 

Wäre es nicht gut, wiederkehrende Angriffe ohne menschliches Analysieren automatisch identifizieren zu können?
Wir teilen diese Auffassung und haben deshalb das intelligente Regelwerk etabliert.

Das intelligente Regelwerk ist eine valide Grundlage, wiederkehrende Ereignisse anhand charakteristischer Muster automatisiert zu erkennen.

Das gilt sowohl für False Positives als auch für Cyber-Angriffe.

Diese Automatisierung beginnt mit der Arbeit des IT-Security-Engineers, der im Cyber Defense Center unter anderem dafür zuständig ist, bekannte Ereignisse in eine Regel zu überführen und diese in die Detektionsmechanismen zu integrieren.

Die Entwicklung und Implementierung neuer Regeln in das SIEM-Tool ist ein durchlaufender Prozess, der maßgeblich ist für den reibungslosen Betrieb des Cyber Defense Centers. 

Sauber aufgesetzte Regeln

  • identifizieren bekannte Angriffsmuster als „bekannte“ Bedrohungen automatisch,
  • reduzieren das Grundrauschen der False Positives, die in jeder Schicht Aufmerksamkeit binden, und
  • vereinfachen die analytische Arbeit im Cyber Defense Center, Bedrohungen rechtzeitig den Stecker zu ziehen.

„Ich habe zehntausend Fälle gesehen, die alle das gleiche Muster aufweisen. Und dennoch werde ich den 10001 mit der gleichen Demut angehen wie meinen ersten.“

Linus Köhn, IT-Security-Analyst der ConSecur GmbH, über die Securiosity im Cyber Defense Center, die alle Mitarbeiterinnen und Mitarbeiter verbindet.

 

SECURIOSITY – was die Menschen im Cyber Defense Center der ConSecur GmbH auszeichnet
 

Es gibt Menschen, die leidenschaftlich gerne kochen, Karten spielen oder heimwerken.

Im Cyber Defense Center teilen wir die Leidenschaft, neugierig zu sein.

Wir sind Fachleute für Informationssicherheit, die mit Hingabe Angreifern auf die Schliche kommen wollen, die in IT-Systeme eindringen möchten.
 

Diese Verbindung aus IT-Security-Wissen, Verantwortungsbewusstsein und detektivischem Ansporn nennen wir Securiosity.

„Securiosity ist etwas, das du nicht lernen kannst. Securiosity hast du, oder du hast sie nicht.“

Stephan Ilic, Manager Cyber Defense Center der ConSecur GmbH

Securiosity ist der Antrieb, der uns alle im Cyber Defense Center verbindet.

Es ist diese Denkweise, so viele Informationen zu sammeln und so viele Assoziationsketten zu bilden, bis wir diesen Clou gefunden haben, der uns auf die Spur des vermeintlichen Sicherheitsvorfalls bringt

Securiosity ist auch die Verantwortung, zu getroffenen Entscheidungen zu stehen; wenn Handeln bei unbekannten Vorfällen ein zweites Augenpaar erfordert, um eine Entscheidung abzusichern oder einen alternativen Weg zu gehen.

 

 

Einstellungssache – wie erkennen wir Securiosity?
Auf Stellen im Cyber Defense Center bewerben
 

Securiosity ist Einstellungssache.
Bei den meisten Bewerbern erkennen wir schon während des Einstellungsgesprächs an der Nasenspitze, ob sie Securiosity besitzen oder nicht.

An der Nasenspitze erkennen meint, etwas an jemandem zu erkennen, etwas an jemandem zu spüren, etwas zu fühlen. In diesem Fall ist es die Erfahrung, ein Vorstellungsgespräch zu führen, und sich vorstellende Bewerber innerhalb einer kurzen Zeit einzuordnen.

In der Regel bieten wir denjenigen, bei denen wir uns sicher sind, noch im selben Gespräch die Perspektive, bei uns im Cyber Defense Center als Werkstudent, IT-Security-Analyst, IT-Security Engineer oder in einer anderen Position zu arbeiten.

Werkstudenten oder Absolventen, die in der Regel ihr Masterstudium der IT-Sicherheit oder der Informatik abschließen oder abgeschlossen haben, erlernen bei uns in einer halbjährigen Ausbildung die Tätigkeit des IT-Security-Analysten.

Diese Ausbildung, die Werkstudenten parallel zu ihrem Studium absolvieren, ist Teil des Kataloges der ConSecur Academy, die IT-Fachkräfte zu Spezialisten in der Informationssicherheit fortbildet.
 

 

Von einer Schicht im Cyber Defense Center zur anderen - Informationen müssen fließen
 

Im Cyber Defense Center löst alle acht Stunden die eine Schicht die andere ab. In Übergaben teilen wir die wichtigsten Ereignisse und bringen die Folgeschicht auf Stand.

„Was unser Cyber Defense Center verlässt, muss höchsten Ansprüchen genügen.“

Stephan Ilic, Manager Cyber Defense Center

Wir wissen, dass erfolgreiche Cyber Defense Teamarbeit ist. Selbst die fortschrittlichste Technologie ist nur dann eine wirksame Unterstützung, wenn die handelnden Köpfe das Wesentliche im Blick haben und abgestimmt zusammenarbeiten.

Deshalb achten wir darauf, Informationen nach Relevanz zu selektieren.

Diese Kultur des Miteinanders pflegen wir im Cyber Defense Center jeden Tag.

 

Managed Cyber Defense für Unternehmen und Organisationen aufbauen - wie ConSecur dabei vorgeht
 

Die Daseinsberechtigung einer Cyber Defense ist, Sicherheitsvorfälle zu erkennen, bevor Schlimmeres passiert ist. Dieses systematische System der Früherkennung funktioniert, wenn Cyber Defense sauber aufgesetzt und ihre Bedeutung in den Köpfen aller Beteiligter angekommen ist.

Wir gehen von Anfang an sehr gründlich vor. Das tun wir aus Erfahrung und im beidseitigen Interesse.

„Wir wissen, dass Kunden uns einen Vertrauensvorschuss geben. Was auf keinen Fall passieren darf, ist, dass wir einen Security-Incident nicht erkennen.“

Stephan Ilic

Die Vorbereitung, an der im Idealfall alle Ansprechpartner beteiligt sind, beginnt mit der Bestandsaufnahme von Netzwerkinfrastrukturen, Prozessen und Tools.

In der Bestandsaufnahme werden wir auch danach fragen, welche Erwartungshaltung die Beteiligten mit dem Aufbau sowie mit dem laufenden Betrieb eines Managed Cyber Defense Centers verbinden? Welche „dos and don’ts“ gibt es?

Nach der Vorbereitung, die in verschiedenen Workshops stattgefunden haben wird, werden wir IT-Landschaft und Infrastruktur-Details aus dem Effeff kennen.

Bevor die Managed Cyber Defense ihren Betrieb aufnehmen kann, sind Runbooks entwickelt, interne Prozesse mit der Cyber Defense verzahnt und Aufgabe definiert worden.

Auch in der Folgezeit werden wir dem Operationalisieren viel Aufmerksamkeit widmen, sodass Abläufe eingespielter werden und der Fokus auf dem reibungslosen Betrieb der Cyber Defense liegt.

 

 

Cyber Threat Intelligence
Wissen, welche Bedrohungen weltweit auf dem Vormarsch sind
 

Was brüten Internet-Kriminelle aus? Was wird auf IT-Netzwerke von Unternehmen und Organisationen zukommen?

Die Cyber Threat Intelligence im Cyber Defense Center beschäftigt sich mit den Cyber-Angriffen von morgen.

Aufgabe der Abteilung ist, aus verschiedenen Quellen Hinweise auf Bedrohungen zusammenzutragen und in Dossiers zusammenzustellen.

Diese Ausführungen geben Hinweise auf beobachtete Angriffstechniken, die die Ausgangsposition von IT-Security-Analysten und IT-Security-Engineers im Cyber Defense Centers entscheidend verändern können.

Mit den Dossiers aus der Cyber Threat Intelligence sind wir vorbereitet auf das, was wächst und gedeiht: Wir können entsprechende Maßnahmen einleiten, um Angreifern einen Schritt voraus zu sein.