Stro vinden in een hooiberg
Cyber security is niet langer het vinden van een naald in een hooiberg, maar het vinden van een specifiek stukje stro in een hooiberg. Ieder SOC is bekend met de schaarste van tijd. SMT slaat samen met Mnemonic de handen ineen om deze uitdaging aan te gaan, om geen tijd verloren te laten gaan.
HOE DOEN WE DAT?
We leggen het uit aan de hand van een voorbeeld, waarbij we bedrijf XYZ nemen met gemiddeld 2.000 medewerkers. De volgende cijfers zijn afkomstig uit rapportages van onze bestaande klanten.
Bedrijf XYZ genereert een gemiddelde van 403.602 security alerts per dag. Om elk van deze events individueel te bekijken is nagenoeg onmogelijk, dus zetten we speciale software in om het kaf van het koren te scheiden. Het Security Information and Event Management (SIEM) systeem is hier een goed voorbeeld van. Een goed ingericht SIEM kan tussen de 99% tot 99,8% security alerts wegfilteren. Dat is een forse reductie, maar er blijven alsnog gemiddeld tussen de 700 en 4.000 notable events over. Wat nu?
Security Analysts onderzoeken op basis van steekproeven de notable events en proberen met tuning de getallen nog verder omlaag te krijgen. Een rekensom leert ons dat met 700 notable events per dag en een bezetting van 6 security analysts op een SOC elk onderzoek niet langer mag duren dan 4 minuten en bij 4000 notable events per dag praten we zelfs over een maximum van 43 seconden per onderzoek! Bij veel bedrijven stopt het verder reduceren hier.
GA EEN STAP VERDER
De kwalificatie van Security Alert naar Notable Event is een reductie in volume van 99% maar zelfs dan zijn de cijfers niet gunstig voor security analysts. Wat we nodig hebben is noog een reductie van 99% om het geheel behapbaar te maken.
Dit is waar Mnemonic te hulp schiet. Via het Argus Platform voegt Mnemonic machine learning en big data analytics toe aan het kwalificeren van de events. Dagelijks analyseert Argus wereldwijd ruim 4.5 miljard security alerts en met deze gewonnen intelligentie reduceren zij de 700 tot 4000 notable events nog eens naar 80 tot 82 notable events. Deze notable events worden manueel geƫvalueerd door security analysts van Mnemonic om uiteindelijk op 2 security incidents per dag uit te komen. De betrouwbaarheid van deze security incidents is een aantoonbare 98,4% en de beschikbare tijd voor de security analyst loopt op tot 4 uur per event. Laat de jacht beginnen!
Over Mnemonic
Mnemonic is een IT en Informatie Security organisatie, dat Managed Security Services levert, threat intelligence verzorgt en geavanceerde detectie op doelgerichte aanvallen verleent. Mnemonic behoort tot de grootste IT security service providers van Europa, de geprefereerde security partner van top bedrijven in de regio en een betrouwbare bron voor threat intelligence. Ondermeer bij Europol en diverse wetshandhavingsinstanties wereldwijd. Mnemonic is door Gartner als enige Europese organisatie tot Representative Vendor benoemd.
Jaarlijks brengt Mnemonic een Security Report uit waarin zij vertellen over de gebeurtenissen die dat jaar in de wereld van security zijn gebeurd. Download hier het exemplaar van 2017
Over SMT
SMT is een Enterprise Management Software specialist op het gebied van Big Data met een bewezen track record bij het dienen van de meest veeleisende nationale en internationale klanten. SMT bezit uitmuntende kennis en ervaring van diverse software waaronder Splunk en de toepasbaarheid van mnemonic daarop, en begeleidt haar klanten zowel bij de implementatie, training en verdere ontwikkeling. Ons doel is om continu onze klanten in controle te laten zijn over hun steeds groeiende complexe IT landschap en services. Hierbij wordt gebruik gemaakt van de reeds aanwezige waardevolle machine data.
Lex Crielaars, SMT