SOC-Effizienz um 50 % verbessert
Mit Elastic Security konnte Proficio die Produktivität von Datenanalysten optimieren und die SOC-Effizienz um 50 % steigern.
75 % schnellere Erkennung von Bedrohungen
Früher hatte Proficio das Ziel, kritische Bedrohungen in weniger als einer Stunde zu erkennen. Mit Elastic liegt die mittlere Erkennungsdauer inzwischen bei unter 15 Minuten, und die mittlere Abwehrdauer bei unter vier Minuten.
60 % Geschäftswachstum erreicht
Proficio erfüllt die rasant anwachsenden Kundenanforderungen mühelos durch die Skalierung der Sicherheitsinfrastruktur mit Elastic.
Der Anbieter für verwaltete Sicherheitsdienste nutzt Machine Learning und Automatisierung für modernste Cybersicherheitsfunktionen, mehr Effizienz und weitere Vorteile für die Kunden.
Proficio wurde 2010 gegründet und ist ein preisgekrönter Anbieter für verwaltete Sicherheitsdienste (Managed Security Services Provider, MSSP). Das Unternehmen stellt 24/7-Überwachungsdienste sowie verwaltete Erkennungs- und Abwehrfunktionen (Managed Detection and Response, MDR) für Kunden in aller Welt bereit. Proficio ist bekannt für seine modernen Cybersicherheitsdienste, mit denen sich Hunderte von Unternehmen in vielfältigen Branchen schützen, wie etwa Gesundheitswesen, Finanzdienstleistungen und Einzelhandel.
Die Sicherheitsexperten von Proficio arbeiten in Security Operations Centers (SOCs) in San Diego, Singapur und Barcelona und halten Ausschau nach Sicherheitsereignissen und gezielten Angriffen. Mit diesem Rund-um-die-Uhr-Betrieb sind Proficio und die Kunden des Unternehmens den Cyberkriminellen, die es auf Sicherheitslücken in Cloud-Infrastrukturen und Fernarbeits-Netzwerken abgesehen haben, immer einen Schritt voraus.
Endloser Kampf gegen Cyberbedrohungen
Brad Taylor, CEO und Mitgründer von Proficio, fasst die Mission des Unternehmens zusammen: „Wir befinden uns in einem ständigen Kampf gegen das Cyberverbrechen und müssen jedes einzelne Mal gewinnen. Wir müssen alle Angriffe auf unsere Kunden erkennen, bevor deren Betrieb durch eine Kompromittierung oder einen anderen Vorfall gestört wird.“
Taylor und das Team von Proficio mussten ihre Erkennungs- und Reaktionszeiten möglichst stark verkürzen und die Automatisierung von Hintergrundprozessen optimieren. Außerdem brauchten sie einen effizienten Weg, um Hunderte von Sicherheitsanwendungsfällen und Datenvisualisierungs-Dashboards zu generieren, die sie benötigen, um mit den neuesten Methoden und Technologien der Angreifer mithalten zu können.
„Mit unserer bisherigen SIEM-Lösung war es schwierig, unterschiedliche Anwendungsfälle für mehrere Anbieter zu erstellen. Außerdem fehlten uns bestimmte Suchfunktionen, um Daten über alle Kunden und SOC-Umgebungen hinweg durchsuchen zu können“, erzählt Taylor.
Ein Teil des Proficio-Teams nutzte Elastic Security für Inhalts- und Analytics-Funktionen, die denen der vorhandenen SIEM-Umgebung weit überlegen waren. „Elastic wurde im Lauf der Zeit immer stärker eingesetzt. Das Feedback war so positiv, dass wir beschlossen, eine Partnerschaft mit Elastic einzugehen und die Lösung im gesamten Unternehmen bereitzustellen“, berichtet Taylor.
Proficio bietet jetzt zwei Modelle für die Bereitstellung der verwalteten Erkennungs- und Abwehrdienste an. Das erste Modell verwendet Elastic Security als cloudnative Plattform gehostet von Proficio in Kombination mit SOAR und den SOCs von Proficio. „Unsere Kunden verbinden sich einfach mit unserem System und wir stellen sämtliche Technologien, Personen und Prozesse als Services bereit“, sagt Taylor.
Proficio bezeichnet das zweite Modell als „Bring your own SIEM“. Wenn ein Kunde Elastic Security bereits einsetzt, hilft Proficio bei der Verwaltung der Umgebung und beim Hinzufügen von Inhalten sowie mit optionalem Support aus den SOCs von Proficio.
Bessere Bedrohungserkennung
Ein wichtiger Bereich, in dem Proficio seine Leistung mit Elastic Security stark verbessern konnte, ist die Bedrohungserkennung. „Mit Elastic können wir Daten von beliebigen Orten importieren“, berichtet Taylor. „Inklusive APIs, Beats, Agenten und Endpoints. Es ist irrelevant, wo sich die Sicherheitsgeräte befinden. Außerdem können wir Geschäftskontext, Daten zu Sicherheitslücken und Threat-Intelligence-Daten einbeziehen, um Transparenz und Erkennungsfunktionen für Chief Security Officers zu verbessern.“
Für die Transparenz ist es wichtig, Daten aus verschiedenen Quellen abfragen zu können. Mit Elastic kann Proficio Erkennungsfunktionen und Regeln mit vielen Variablen für zahlreiche verdächtige Indikatoren und über vielfältige Log-Quellen hinweg erstellen. Anschließend werden Anwendungsfälle für Arten von Log-Quellen erstellt und im Handumdrehen an sämtliche Anbieter verteilt.
Elastic Security ist anderen SIEMs weit überlegen, wenn es darum geht, Inhalte für die Geräte unterschiedlicher Anbieter in einer bestimmten Kategorie an Hunderte von Kunden zu verteilen.
Elastic Security vereinfacht auch den Zugriff auf große Mengen an historischen Daten, um die Auflösung von Bedrohungen zu erleichtern. Mit Elastic kann Proficio diese Daten in einem durchsuchbaren kalten Speicher oder einem Amazon S3-Speicher-Bucket, der innerhalb von einer Stunde online sein kann, vorhalten. „Es kann vorkommen, dass wir auf Logs aus neun Monaten zugreifen müssen“, sagt Taylor. „Elastic ist bahnbrechend für den schnellen Zugriff auf riesige Datenmengen.“
Die Suchfunktionen wurden ebenfalls verbessert. Proficio kann jetzt mit einem einzigen Suchfeld große und umfassende Datensätze analysieren und noch schneller Ergebnisse erhalten. Wenn Proficio beispielsweise eine Sicherheitslücke oder einen Angriff bei einem Kunden feststellt, kann das Unternehmen in anderen Unternehmen nach ähnlichen Indikatoren suchen und bei Bedarf Maßnahmen ergreifen.
Mit Elastic können Sie eine schnelle Suche erstellen und Hunderte von Kunden im Handumdrehen durchsuchen. Das ist wirklich fantastisch.
Außerdem erstellt Proficio Kibana-Dashboards, um Trendanalysen, KPIs und andere Metriken anzuzeigen. „Wir erfassen Daten von vielen verschiedenen Kunden. Daher können wir Chief Security Officers zeigen, wie sie im Vergleich zu ihren Peers abschneiden. Elastic bietet uns unglaubliche Einblicke in die gesamte Sicherheitsverwaltungsumgebung“, berichtet Taylor.
Abwehr von Cyberangriffen mit Machine Learning
Proficio setzt Machine-Learning-Funktionen von Elastic ein, um die Sichtbarkeit von Bedrohungen noch weiter zu verbessern. Dazu gehören mehr als 100 Machine-Learning-Modelle als Ergänzung vorhandener statischer Korrelationsregeln.
Elastic Machine Learning liefert uns eine neue Dynamik für die Erkennung komplexer und gezielter Angriffe. Mit der automatisierten Anomalieerkennung und der schnellen und umfassenden Suche haben wir völlig neue Einblicke gewonnen.
Elastic ist über das strukturierte ServiceNow-Antwortmodul auch mit anderen ITSM-Plattformen (IT Service Management) von Proficio integriert.
Elastic bietet bidirektionale Integrationsmöglichkeiten mit anderen ITSM-Plattformen. Wenn eine Bedrohung erkannt wird, können wir mit etwas Orchestrierung zusätzlich eine Abwehrmaßnahme beim Kunden auslösen.
Schnellere Bedrohungserkennung
Um modernen Cyberangriffen immer einen Schritt voraus zu sein, hat Proficio die eigene Bedrohungserkennungsplattform des Unternehmens, die etwa 40 Feeds umfasst, mit Elastic kombiniert. „Auf diese Weise können wir Bedrohungen und deren Schweregrad besser einordnen. Mit diesen Informationen können wir anschließend unsere Abwehrmaßnahmen festlegen und priorisieren“, erzählt Taylor.
Mit diesem System konnte das Unternehmen die Geschwindigkeit und Effizienz seiner Services dramatisch verbessern. Mit der vorherigen SIEM-Lösung hatte Proficio das Ziel, kritische Bedrohungen in weniger als einer Stunde zu erkennen. Mit Elastic ist dieser Zeitraum auf weniger als 15 Minuten geschrumpft, zusammen mit einer mittleren Reaktionszeit von weniger als vier Minuten.
Mit Elastic Security konnten wir unsere mittlere Erkennungsdauer um 75 % reduzieren. Mit Elastic können wir neben automatisierten Warnungen auch Betriebsmodelle erstellen, um schnell ermitteln zu können, ob eine Bedrohung aktiv ist.
Gleichzeitig konnte Proficio die Produktivität von Datenanalysten und die allgemeine SOC-Effizienz um 50 % steigern. Mit Elastic Security ist Proficio in der Lage, sämtliche Remoteverbindungen und Agenten an einem zentralen Ort zu verwalten, um die Effizienz noch weiter zu verbessern und Kosten zu senken.
Seit unserer Migration zu Elastic nutzen wir die Vorteile beider Welten. Die Effizienzsteigerung wirkt sich positiv auf unseren Cashflow aus, und unsere Mitarbeiter sind besonders motiviert, weil sie die bestmöglichen Tools zur Verfügung haben.
Das Elastic Consulting-Team ist entscheidend am Geschäftswachstum von Proficio beteiligt. „Wenn wir Hilfe brauchen, sind die richtigen Elastic-Experten immer für uns erreichbar. Sie antworten jederzeit schnell und proaktiv. Sie sind großartige Partner“, schwärmt Taylor.
Für die Zukunft freuen Taylor und sein Team sich darauf, die neuesten SOAR-Tools von Elastic bereitzustellen, um die Behebung von Incidents zusätzlich zum vorhandenen operationalen und Sicherheits-Workflow zu beschleunigen. Die Analysten des Unternehmens können die anpassbaren Orchestrierungsfunktionen in Elastic Security sowie die Ein-Klick-Integrationen mit anderen führenden SOAR-Anbietern nutzen.