Boyne Resorts erzielt mit Cortex XSIAM und Unit 42 MDR bahnbrechende SOC-Verbesserungen

Das SecOps-Team der Boyne Resorts ist an einem zentralen Standort angesiedelt, von wo aus es den Überblick über potenzielle Bedrohungen für die verteilten Netzwerke und Geräte des gesamten Konzerns behalten muss.

Das Team hatte mit einem veralteten SIEM-System zu kämpfen, das eine ganze Reihe an Herausforderungen mit sich brachte. Zum einen konnte nur eine geringe Menge an Daten in das System eingespeist werden, zum anderen produzierte es ein Übermaß an False Positives und nur sehr wenige qualitativ verwertbare Erkenntnisse. Die mit der Einbindung weiterer Datenquellen verbundenen Kosten waren unerschwinglich.

Mike Dembek, Network Architect der Boyne Resorts, sagt dazu: „Die Protokollerfassung war für uns ein großer Schwachpunkt. Unser SIEM-System war teuer, die Integration von Quellen schwierig und wir mussten irrelevanten, undurchschaubaren Alarmen nachgehen. Insgesamt waren wir mit einem Durcheinander aus Informationen konfrontiert, die sich nicht zueinander in Bezug setzen ließen.“

Zwar wurde das SIEM-System von einem Drittanbieter verwaltet, doch selbst mit dessen Unterstützung ließ sich die Unmenge der Alarme nicht bewältigen. Das Unternehmen benötigte praxisrelevante Erkenntnisse aus zusätzlichen Datenquellen, aber Dembek war klar, dass es nicht damit getan sein würde, einfach mehr Quellen ins SIEM einzubinden. Dies würde nur Kosten und noch mehr Alarmmeldungen verursachen.

Das vorhandene SIEM-System war einfach nicht in der Lage, die wertvollen Geschäftsdaten und Tausende von Unternehmensgeräten besser abzusichern, weshalb sich Boyne Resorts für den Wechsel zu Cortex XSIAM von Palo Alto Networks entschied. Zusätzlich beauftragte das Unternehmen die Unit 42®-Experten von Palo Alto Networks mit der Bereitstellung von MDR-Services und schloss eine Vereinbarung mit Unit 42 ab.

Das kleine, aber sachkundige Sicherheitsteam des Unternehmens plante, das vorhandene Security Operations Center durch ein SOC zu ersetzen, das die Qualität und Effizienz bringen würde, die in der Geschäftswelt von heute gefordert werden. An kleinen Verbesserungen war das Team dabei nicht interessiert, man suchte nach einem branchenführenden Ansatz.

Zu diesem Zweck benötigte Boyne Resorts eine Lösung, die folgende Vorteile sicherstellen würde:

• Berücksichtigung einer wesentlich größeren Anzahl von Datenquellen (ohne exorbitante Kosten)
• Minimierung der False Positives, um Alarmmüdigkeit und Zeitverschwendung zu vermeiden
• Höhere Wertschöpfung, detailliertere Einblicke und mehr Daten für das gesamte Unternehmen
• Effektive Eindämmung von Risiken und Stärkung des Sicherheitsniveaus
• Ausweitung des internen Sicherheitsteams durch jederzeitigen Zugang zu externen Experten

Kurz gesagt wollte Boyne Resorts die Transparenz und seine Analysen verbessern, ohne mehr Personal einstellen zu müssen. Ein ehrgeiziges Vorhaben? Definitiv. Machbar? Mit Cortex XSIAM und Unit 42 MDR auf jeden Fall.

Das Sicherheitsteam profitierte auf zweierlei Weise: mehr Transparenz und weniger False Positives. Über den Korrelationsalgorithmus von Cortex XSIAM werden mehrere Alarme zu einem einzigen Vorfall zusammengefasst, wodurch Duplikate und Mehrarbeit reduziert werden. Die Anzahl der offenen Supporttickets fiel von 80–100 pro Tag auf 35, da weniger False Positives generiert und duplizierte Vorfälle herausgefiltert werden.

Darüber hinaus erlangte das Unternehmen ein höheres Maß an Kontrolle und Anpassungsfähigkeit. „Unser vorheriges SIEM-System bot keine Funktionen für die Alarmanpassung oder die Erstellung maßgeschneiderter Alarme“, erklärt Lead Security Engineer Kenny Hicks. „Zwei große Vorteile von XSIAM sind die vorkonfigurierten Korrelationsalarme und die Tatsache, dass wir bei Bedarf eigene Alarme einrichten können.“

Mit Cortex XSIAM konnte das Team Verbesserungen in mehreren Bereichen erzielen:

• Das Volumen eingespeister Daten stieg von 5 GB pro Tag mit dem vorherigen SIEM-System auf 350 GB pro Tag in Cortex XSIAM, wodurch sowohl die Transparenz als auch das Schutzniveau verbessert wurden.
• Die Anzahl der Datenquellen stieg von 1 auf 21. Nun können Ereignisse aus verschiedenen Datenquellen zueinander in Bezug gesetzt werden.
• Es gibt 65 % weniger offene Supporttickets (35 statt 80–100 pro Tag), da weniger False Positives generiert und Duplikate herausgefiltert werden.
• Die MTTR wurde um 98 % reduziert und beträgt nun 1,7 Stunden anstelle von zwei bis drei Tagen.
• Die Anzahl der Anbieter und Tools wurde um 95 % reduziert, da statt über 20 Tools und Dashboards nur noch XSIAM für Untersuchungen benötigt wird.
• Der Co-Management-Ansatz für das SIEM-System konnte abgeschafft werden, da das Unternehmen die neue Lösung intern verwalten kann.

Die mit der Sicherheit beauftragten Führungskräfte von Boyne Resorts wollten nicht nur das Sicherheitsniveau des Unternehmens stärken, sondern wünschten sich auch ein SOC, das rund um die Uhr verfügbar ist – allerdings ohne weitere Personaleinstellungen.

Nach der Einführung von Cortex XSIAM abonnierte das Unternehmen die MDR-Services der Unit 42 von Palo Alto Networks, um das interne Sicherheitsteam zu unterstützen und dafür zu sorgen, dass rund um die Uhr Sicherheitsexperten zur Verfügung stehen. Mit den MDR-Services der Unit 42 sichert sich Boyne Resorts branchenführende Threat Intelligence und umfassendes Know-how zu allen Aspekten der Sicherheit und insbesondere in Bezug auf Cortex-Produkte. So profitiert das Unternehmen letztlich von umfassender Transparenz und kürzeren Reaktionszeiten für seine verteilten Netzwerke und Systeme

„Wir sind von der Hilfsbereitschaft des MDR-Teams extrem beeindruckt“, so Hicks. „Die Zusammenarbeit klappt reibungslos, wir haben schon frühzeitig Zugang zu neuen Funktionen in XSIAM und unsere Abläufe sind nun sehr viel effizienter.“

Da der MDR-Service von Unit 42 in Cortex XSIAM integriert ist, werden die Untersuchungen den Mitarbeitenden von Boyne über eine zentrale Benutzeroberfläche angezeigt. An dieser Stelle können sie auch direkt über die nächsten Schritte entscheiden, anstatt mühsam Informationen aus isolierten Systemen zusammenzutragen. Diese neu gewonnene Zeit kann das kleine Sicherheitsteam nun strategisch wichtigeren Projekten widmen.

„Die MDR-Experten der Unit 42 übernehmen die Untersuchungen und leiten Alarme an uns weiter. Außerdem erstellen sie detaillierte Berichte, die es uns ermöglichen, schneller fundierte Entscheidungen hinsichtlich der relevanten Vorfälle zu treffen“, erläutert Hicks. „So sparen wir enorm viel Zeit.“

MDR-spezifische Komponenten wie die kontinuierliche Überwachung und die proaktive Bedrohungssuche geben den Sicherheitsanalysten von Boyne die Gewissheit, dass sich ein vertrauenswürdiger Partner um die Sicherheit des Unternehmens kümmert, wenn sie die Umgebung einmal nicht selbst im Blick haben.

Dieser neue Ansatz bietet dem Sicherheitsteam von Boyne Resorts eine Fülle neuer Funktionen und stellt eine enorme Entlastung dar. Cortex XSIAM ist eine moderne Automatisierungslösung, mit der das Team mit weniger Aufwand sehr viel mehr erreichen kann.

„XSIAM bietet uns Netzwerk- und Endpunktsicherheit in einem Produkt und lässt uns die gesamte Kausalitätskette erkennen“, so Dembek. Hicks fügt hinzu: „Mit XSIAM ist die Automatisierung ganz einfach. Da Daten mühelos importiert und Playbooks mit minimalem Programmieraufwand erstellt werden können, reduziert sich der Aufwand für das Einrichten des Automatisierungsprozesses drastisch.“

Die Transformation des SOC mithilfe von Cortex XSIAM und den MDR-Services der Unit 42 bietet Boyne Resorts klare Vorteile:

• Bessere Einblicke in potenzielle Bedrohungen und Probleme: Da Cortex XSIAM die Einbindung zusätzlicher Datenquellen unterstützt, können wesentlich mehr Daten eingespeist werden. In Kombination mit der proaktiven Bedrohungssuche durch das MDR-Team der Unit 42 bietet dieser Ansatz dem Unternehmen einen besseren Überblick als je zuvor.
• Qualitativ hochwertige Alarme und eine optimierte Bedrohungserkennung: Dank der anpassbaren und individuell konfigurierbaren Alarme von Cortex XSIAM erhält das Team von Boyne Resorts relevantere Informationen.
• Zuverlässigere AI- und Analysefunktionen: Die Analysefunktionen von Cortex XSIAM sind auf Boyne zugeschnitten und ohne weitere Anpassung einsetzbar. So kann das Unternehmen seine Netzwerk- und Endpunktdaten jetzt wesentlich effektiver nutzen.
• Mehr Produktivität und Effizienz im Sicherheitsteam: Ausgereifte Automatisierungsfunktionen, zahlreiche Playbooks, zuverlässige Untersuchungsergebnisse sowie die kontinuierliche Überwachung durch die erfahrenen MDR-Experten der Unit 42 helfen dem Team von Boyne Resorts, schneller mehr zu erreichen.
• Branchenführende Threat Intelligence: Cortex XSIAM nutzt eine Vielzahl von Feeds zur Anreicherung der Alarme und Analysen, um dem Team von Boyne umfassende Einblicke in Angreiferprofile und mögliche Gefahren zu geben.

Boyne Resorts ist nun besser auf die Zukunft vorbereitet. Dank der Vereinbarung mit Unit 42 geht das Unternehmen das Thema Sicherheit auch weiterhin proaktiv an und hat nun direkten Zugang zu Experten, die sich mit seiner Umgebung bestens auskennen und die im Handumdrehen reagieren können, falls es nötig werden sollte. Als Nächstes hat das Team von Boyne vor, einen Teil der Retainer-Credits für eine Planübung mit Unit 42 zu nutzen, um seine Incident-Response-Prozesse zu optimieren und effektiver auf Sicherheitsvorfälle und aktuelle Bedrohungen reagieren zu können.

Das Sicherheitsteam von Boyne Resorts ist extrem zufrieden damit, wie die Produkte und Dienstleistungen von Palo Alto Networks das Sicherheitsniveau unternehmensweit stärken.

Mit Palo Alto Networks an seiner Seite kann das Unternehmen zukünftigen Herausforderungen zuversichtlich begegnen, während es seine Innovationskraft und sein Wachstum gut gesichert ausweitet.