Cyberangriffe automatisch behandeln

Mit Splunk Phantom automatisch auf Security-Vorfälle reagieren. Die Sicherheitsarchitekten von Controlware stellen die Lösung vor.

Grafische Übersicht zur Funktionsweise von Spunk Phantom

Splunk Phantom

Cyberangriffe automatisch behandeln

Grafische Übersicht zur Funktionsweise von Spunk Phantom
© Splunk Inc. 2019 / splunk.com

Die Infografik zeigt die komplexe, aber effektive Funktionsweise von Splunk Phantom.

Wie können IT-Sicherheitsvorfälle automatisiert erkannt und behoben werden? Die Antwort darauf liefern die Sicherheitsarchitekten von Controlware mithilfe der Softwarelösung „Phantom“ des Partners Splunk.

IT-Verantwortliche müssen heutzutage viele mögliche Einfallstore im Blick behalten: von der Firewall, über Clients und Server im Netzwerk bis hin zu Schwachstellen in der Software, z. B. durch Malware in einem E-Mail-Anhang. Als Radar für diese und andere Angriffe kommt meistens eine ganzheitliche SIEM-Lösung (Security Information and Event Management) zum Einsatz. Bei größeren Unternehmen geht die Anzahl der regelmäßigen Alarme, auch Events genannt, aber häufig in die Tausende. Deren Überprüfung kostet jede Menge wertvolle Arbeitszeit und kann sogar zu sogenannter Alarmmüdigkeit führen – und damit zu erheblichen Konsequenzen.

Definierte Regeln zur Gefahrenabwehr

An dieser Stelle kommt die Lösung „Phantom“ des Controlware-Partners Splunk ins Spiel. Nach dem Security-Fabric-Prinzip kommuniziert Phantom über API-Schnittstellen mit den Systemen unterschiedlicher Hersteller. Alle Cyberangriffe werden in einer Art virtuellem Spinnennetz gesammelt, gebündelt und nach definierten Regeln behandelt. In einem sogenanntem Playbook wird vorher festgehalten, wie mit welchen Gefahren umzugehen ist. Beispielsweise können schädliche Dateien in eine Sandbox verschoben oder unbekannte IP-Adressen automatisch blockiert werden.

Somit reduziert sich der manuelle Aufwand für Analyse und Behandlung von Vorfällen für die IT-Experten von mehreren Tagen oder Stunden auf ein paar Minuten. Die automatisierte oder teil-automatisierte Bearbeitung von Angriffen erhöht daher nicht nur das Sicherheitsniveau, sondern schafft zudem Freiräume für die wirklich wichtigen Aufgaben im Incident-Response-Prozess.

Der steigenden Nachfrage von Unternehmen begegnet Controlware aktuell mit einer Reihe von Veranstaltungen, in denen Beispiele aus IT-Security, Internet-of-Things (IoT) und IT-Ops gemeinsam mit dem Partner Splunk in Live-Demos vorgestellt werden.

Das könnte Sie auch interessieren:

Wir machen IT-Systeme sicher: mit dem Controlware Vulnerability Management Service

In den vergangenen Monaten wechselten viele Mitarbeiter von ihrem Platz im Büro an den Schreibtisch daheim. Geschäftsprozesse wurden unter erheblichem Zeitdruck digitalisiert, Mitarbeiter mit PCs, Software für Videokonferenzen oder Fernzugängen versorgt.


Logfiles klären Sicherheitsvorfälle auf

Ein Blick in die Logfiles lohnt sich laut Andreas Bunten, Senior Security Consultant bei Controlware, immer. 

Webcast „Cloud & Internet Secure Access 2020+“

Controlware bietet ab sofort einen Webcast zum Thema „Cloud & Internet Secure Access 2020+“ an. Im Fokus steht die Modernisierung der DMZ-Umgebung durch moderne Cloud Web Gateway Services. Im Webcast stellen die Experten wichtige Auswahlkriterien und Lösungsansätze vor, die ganz im Zeichen der Digitalisierung stehen und bestehende Sicherheitsstrategien auf das nächste Level heben.