Im Zuge der Weiterentwicklung des pakistanischen Bankensektors haben die staatlichen Aufsichtsbehörden ihren Teil dazu beigetragen, den Trend in der Branche aufrechtzuerhalten, indem sie als Reaktion auf die steigenden Risiken und Bedrohungen neue Richtlinien erlassen haben. Die jüngste dieser Richtlinien, die so genannte Cyber Security Policy 2021, verlangt von den Banken, ihre Systeme und Verfahren zu modernisieren, um Cyberangriffe in all ihren Erscheinungsformen – von Malware, Phishing und Spoofing bis hin zum „Skimming“ von Daten von Geldautomatenkarten – zu erkennen, darauf zu reagieren und sie letztendlich zu verhindern.
Die Regierung Pakistans verfolgte mit diesen neuen Vorschriften zur Cybersicherheit das Ziel, die Banken des Landes, die sich bis dahin vor allem auf Wachstum und Rentabilität konzentriert hatten, in einem weitgehend vernachlässigten Bereich auf den neuesten Stand zu bringen. Neben anderen Maßnahmen verlangte die neue Richtlinie von den Banken, dass sie grundlegende Sicherheitsmaßnahmen treffen, einschließlich Security Operations Centers (SOCs) und automatisierte Reaktionstools, die rund um die Uhr, 24x7, im Einsatz sind.
Anfang 2019, als die Richtlinie noch im Entwurfsstadium war, verfügte die Askari Bank – wie die große Mehrheit der Banken in Pakistan – nur über rudimentäre Sicherheitsmechanismen, eine begrenzte Governance für die Sicherheit und kein spezielles Sicherheitspersonal. Das Schließen dieser Lücke war die Hauptaufgabe von Jawad Khalid Mirza, der im März als Chief Information Security Officer (CISO) zur Bank kam. Von Anfang an, so erklärt er, sorgte die starke Unterstützung des Vorstands für ein günstiges Klima für die von ihm angestrebte Transformation. „Unser Vorstand war sich darüber im Klaren, wie Banken auf der ganzen Welt in die Sicherheit investieren“, sagt er. „Sie erkannten, dass wir ohne die richtigen Cybersicherheitskapazitäten und die richtigen Fachleute nicht vorankommen können.“
<20 Sicherheitsvorfälle
Senkung der Zahl der Sicherheitsvorfälle von etwa 700 pro Tag auf weniger als 20 durch eine deutliche Verringerung der Anzahl von Fehlalarmen
5 Minuten
Reduzierung der Zeit für die Behebung von Problemen von durchschnittlich 30 Minuten auf durchschnittlich 5 Minuten dank der Implementierung automatischer Reaktionen
Die vielleicht größte Herausforderung für Jawad Khalid Mirza war die Notwendigkeit, ein SOC von Grund auf aufzubauen und mit Personal zu besetzen. Dazu musste er die Sicherheitssoftwarelösung auswählen, die die technischen Anforderungen am effizientesten und kostengünstigsten erfüllen würde, einschließlich der Integration der Lösung in die Kernbankensysteme der Askari Bank. Darüber hinaus musste er ein Team zusammenstellen, das für die Einrichtung und Verwaltung der täglichen technischen Abläufe des SOC zuständig war, einschließlich der äußerst wichtigen Erkennung und Behandlung von Sicherheitsvorfällen. Für diese Aufgabe brauchte er jemanden mit langjähriger Erfahrung bei der Arbeit mit einem SOC, und er fand es bei Umair Shakil.
Nur wenige Tage, nachdem er als Leiter des SOC-Teams zur Askari Bank gekommen war, beriet sich Umair Shakil mit Jawad Khalid Mirza eingehend über die alles entscheidende Auswahl der Plattform. In seiner vorherigen Position – er leitete die Sicherheitsabteilung bei einem der größten Telekommunikationsanbieter Pakistans – hatte Umair Shakil die IBM® Security QRadar-Lösung mit großem Erfolg implementiert. Aufgrund seiner positiven Erfahrungen kam IBM Security zusammen mit den Sicherheitslösungen von Microsoft und Splunk in die engere Wahl.
Auf der Grundlage der von den einzelnen Anbietern vorgelegten Machbarkeitsnachweise führten Umair Shakil und Jawad Khalid Mirza ein gründliches Benchmarking durch, das sich auf drei zentrale Aspekte stützte: Systemleistung, Interoperabilität und Benutzerfreundlichkeit. Zusätzlich zu diesen Faktoren, so Jawad Khalid Mirza, spiegelt die Wahl der QRadar-Plattform ihr Vertrauen in die von IBM aufgestellte Roadmap wider. „Wir sehen uns mit der Richtung, die IBM mit der QRadar-Plattform einschlägt, auf einer Linie“, sagt er. „Für uns spiegelt es das Engagement von IBM wider, eine großartige Sicherheitslösung noch besser zu machen.“
Bei der Betrachtung der Eigenschaften, die den Ausschlag dafür gaben, dass die QRadar-Lösung den Lösungen von Microsoft und Splunk vorgezogen wurde, hebt Umair Shakil die einfache Integration als eine der besonderen Stärken hervor. „Eines der besten Dinge an QRadar ist, dass es mehrere Möglichkeiten zur Integration mit unseren Kernbankensystemen bietet und nicht nur eine einzige Methode“, sagt er. „Wie gehofft, erwies sich das während der Implementierung als enormer Vorteil.“
Zur Bereitstellung der Lösung beauftragte die Askari Bank den IBM Business Partner Software Productivity Strategists, Inc. (SPS), der eng mit Umair Shakil und seinem wachsenden SOC-Team zusammenarbeitete. Die Kernkomponente der Lösung für die Erkennung von Bedrohungen ist IBM Security QRadar SIEM, das Produkt für das Management von Sicherheitsinformationen und Ereignissen. Damit kann die Bank Protokolle aus verschiedenen Quellen in einem einzigen Repository zusammenfassen. Dies wiederum ermöglicht es den SOC-Mitarbeitern, Korrelationen und Eskalationen zwischen verschiedenen Protokollen zu erstellen, um Sicherheitsvorfälle schnell zu identifizieren und zu priorisieren.
Wenn es um die Reaktion auf Sicherheitsvorfälle geht, war die Faustregel der Bank, zu automatisieren, wo immer dies möglich war. Ihr grundlegender Ansatz bestand darin, die Playbook-Funktionen von IBM Security QRadar SOAR, ihrer Lösung für die Orchestrierung, Automatisierung und Reaktion auf Sicherheitsvorfälle, zu nutzen. In der ersten Implementierungsphase schlug SPS eine Reihe von Anwendungsfällen vor, die auf den Erfahrungen mit der Implementierung automatisierter Reaktionsszenarien für andere Kunden beruhten. Diese Anwendungsfälle wurden dann in Form von spezifischen Playbooks umgesetzt, die die Abfolge definierten, wie jeder Vorfall an höhere Reaktionsstufen eskaliert oder, falls erforderlich, ein Eingreifen eines Mitglieds des SOC-Reaktionsteams auslöst.
Nachdem das Team der Askari Bank gemeinsam mit SPS bereits 10 Playbooks eingeführt hat, entwickelt es – mit Unterstützung von SPS – kontinuierlich weitere, mit dem Ziel, schließlich etwa 35 automatisierte Playbooks zu implementieren. Für Nayab Akbar, Assistant Vice President bei SPS für Enterprise Security und einer der wichtigsten Beteiligten an diesem Projekt, sind die Fortschritte der Bank ein klares Zeichen dafür, dass das SOC-Team auf dem richtigen Weg ist. „Heute diskutiert das Team von Askari selbst über die Sicherheitsanwendungen und weiß, wie man sie in Playbooks umsetzt“, sagt Akbar. „Das ist genau der Punkt, den man sich für seine Kunden wünscht, nämlich dass sie ihre Zeit und Mühe darauf verwenden, Anwendungsfälle zu finden und zu automatisieren.“
Während die Abwehr von Bedrohungen, die zu Sicherheitsverstößen werden, der ultimative Maßstab für den Erfolg eines SOC ist, ist die Effizienz, mit der es dies tut, auch auf operativer Ebene entscheidend. Und hier haben die Automatisierungsbemühungen der Askari Bank wirklich etwas gebracht. Dank der Fähigkeit von QRadar SIEM, Fehlalarme auszusortieren, konnte das SOC der Bank die Zahl der Sicherheitsvorfälle von etwa 700 pro Tag auf weniger als 20 reduzieren. Darüber hinaus ermöglichen die im SOC implementierten QRadar SOAR-Playbooks den Mitarbeitern, diese Vorfälle in durchschnittlich fünf Minuten zu lösen, während es vor der Sicherheitsumstellung der Bank bis zu 30 Minuten dauerte.
Wie Umair Shakil betont, bedeuten all diese automatisierungsbedingten Effizienzsteigerungen, dass das SOC-Personal die Vorfälle mit geringer Priorität und die Falschmeldungen herausfiltern kann, die ein SOC überfluten können, sodass die Mitarbeiter sich stattdessen auf die Bekämpfung echter Risiken und die Suche nach Schwachstellen konzentrieren können. „Für die Effektivität eines SOC ist die Fähigkeit, Prioritäten bei der Reaktion auf die dringendsten Sicherheitsrisiken zu setzen, fast genauso wichtig wie die Erkennung“, sagt Umair Shakil. „In dieser Hinsicht hat die QRadar-Lösung, die wir eingesetzt haben, unser Team bei der Bekämpfung der Bedrohungslandschaft sehr viel effektiver gemacht.“
Das bedeutet, dass die Bedrohungen sowohl von außerhalb als auch von innerhalb der Bank kommen. Und damit sind wir bei einem der größten Sicherheitsprobleme, mit dem nicht nur Banken, sondern jedes Unternehmen konfrontiert ist: der Umgang mit Sicherheitsbedrohungen, die von „Insidern“ ausgehen. In vielen Fällen sind die verräterischen Anzeichen für Insider-Bedrohungen sowohl missglückte Anmeldeversuche als auch atypisches oder ungewöhnliches Verhalten innerhalb des Netzwerks, z. B. wenn ein Mitarbeiter versucht, auf eine Anwendung oder Datenbank zuzugreifen. Um diese Risiken zu erkennen, verwendet die Askari Bank die UBA-App (User Behavior Analytics). Durch die Kombination von Verhaltensregeln und Analysen mit Protokoll- und Aktivitätsdaten, die bereits in QRadar gespeichert sind, hat die UBA-App den SOC-Mitarbeitern der Bank ermöglicht, die Überwachung, Erkennung und Untersuchung zu rationalisieren und so die Effizienz des Managements von Insider-Bedrohungen zu verbessern. Da UBA analytische Algorithmen verwendet, um Abweichungen in den Benutzeraktivitäten zu erkennen – und keine strikten Regeln –, konnte die Askari Bank damit die Häufigkeit falsch-positiver Vorfälle reduzieren.
Es gibt zwar keinen einzelnen Indikator dafür, wie weit die Askari Bank bei der Verbesserung ihrer Sicherheitslage gekommen ist, seit sie mit SPS zusammenarbeitet, um ihre neue QRadar-Lösung zu implementieren, aber es gibt viele Anhaltspunkte. Ein SOC, das vor drei Jahren noch gar nicht existierte, ist heute mit einem Team von mehr als 20 Spezialisten besetzt. Und noch etwas hat die Bank, was sie vorher nicht hatte: Sichtbarkeit von Bedrohungen. Dank der Korrelationsfunktionen von QRadar SIEM und seiner Fähigkeit, zuverlässige Alerts auszugeben, kann die Askari Bank jetzt rund um die Uhr genau sehen, wie vielen Angriffen sie ausgesetzt ist.
Jawad Khalid Mirza weist darauf hin, dass zusätzlich zu dieser erheblich verbesserten Sichtbarkeit von Bedrohungen die von QRadar SOAR ermöglichten automatischen Reaktionen bedeuten, dass das SOC-Personal effizienter und proaktiver arbeitet, um die Cyberbedrohungen von heute – und die neuen von morgen – in Schach zu halten. „Die Tatsache, dass wir jetzt in der Lage sind, die pakistanischen Cybersicherheitsvorschriften einzuhalten, ist entscheidend, aber das ist nur der Anfang“, erklärt er. „Mit QRadar haben wir jetzt die Effizienz und Flexibilität, um uns an eine sich ständig verändernde Cyberbedrohungslandschaft anzupassen, egal wie schnell wir wachsen.“
Die Askari Bank (Link befindet sich außerhalb von ibm.com) mit Sitz in Rawalpindi, Pakistan, ist eine Geschäfts- und Privatkundenbank mit 560 Filialen in ganz Pakistan und einer Großhandelsbankfiliale in Bahrain. Die 1991 gegründete Askari Bank gehört zur Fauji Group, erwirtschaftete im Jahr 2021 einen Umsatz von 4,2 Milliarden US-Dollar und beschäftigt rund 7.500 Mitarbeiter.
Mit Sitz in Rockville, MD, und Büros in Islamabad, Pakistan, entwickelt IBM Business Partner SPS (Link befindet sich außerhalb von ibm.com) Branchenlösungen, die auf KI und der Cloud basieren. Als Innovator und Lösungsentwickler für Unternehmen mit Fachwissen in allen Phasen des Produktdesigns, der Entwicklung, der Bereitstellung, der Sicherheit, des Betriebs, der Überwachung und des Supports unterstützt SPS seine Kunden bei der Erstellung, Bereitstellung und Sicherung von Anwendungen. Die Teams für Entwicklung, Qualität, Cybersicherheit, Schulung, Betrieb, Überwachung und Support arbeiten Hand in Hand, um leistungsstarke, sichere, zuverlässige, skalierbare und einfach zu verwaltende Systeme zu schaffen.
Rechtshinweise
© Copyright IBM Corporation 2023. IBM Corporation, New Orchard Road, Armonk, NY 10504
Hergestellt in den Vereinigten Staaten von Amerika. März 2023.
IBM, das IBM Logo, IBM Security und QRadar sind Marken oder eingetragene Marken der International Business Machines Corporation in den Vereinigten Staaten und/oder anderen Ländern. Weitere Produkt- und Servicenamen sind möglicherweise Marken von IBM oder anderen Unternehmen. Eine aktuelle Liste der Marken von IBM finden Sie unter ibm.com/trademark.
Microsoft, Windows, Windows NT und das Windows-Logo sind Marken der Microsoft Corporation in den Vereinigten Staaten bzw. anderen Ländern.
Das vorliegende Dokument ist ab dem Datum der Erstveröffentlichung aktuell und kann jederzeit von IBM geändert werden. Nicht alle Angebote sind in allen Ländern verfügbar, in denen IBM tätig ist.
Alle angeführten oder beschriebenen Beispiele illustrieren lediglich, wie einige Kunden IBM Produkte verwendet haben und welche Ergebnisse sie dabei erzielt haben. Die tatsächlichen Umgebungskosten und Leistungsmerkmale variieren in Abhängigkeit von den Konfigurationen und Bedingungen des jeweiligen Kunden. Es können keine generell zu erwartenden Ergebnisse bereitgestellt werden, da die Ergebnisse jedes Kunden allein von seinen Systemen und bestellten Services abhängt. DIE INFORMATIONEN IN DIESEM DOKUMENT WERDEN OHNE JEGLICHE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GARANTIE ZUR VERFÜGUNG GESTELLT, EINSCHLIESSLICH DER GARANTIE DER MARKTGÄNGIGKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK UND DER GARANTIE ODER BEDINGUNG DER NICHTVERLETZUNG VON RECHTEN. Die Garantie für Produkte von IBM richtet sich nach den Geschäftsbedingungen der Vereinbarungen, unter denen sie bereitgestellt werden.
Erklärung zu bewährten Sicherheitsverfahren: Kein IT-System oder -Produkt sollte als vollkommen sicher angesehen werden, und kein einzelnes Produkt, kein Service und keine Sicherheitsmaßnahme kann eine missbräuchliche Nutzung oder einen missbräuchlichen Zugriff vollständig verhindern. IBM übernimmt keine Gewähr dafür, dass Systeme, Produkte oder Services vor böswilligem oder rechtswidrigem Verhalten von Dritten geschützt sind oder Ihr Unternehmen davor schützen.
Die Einhaltung sämtlicher geltender Gesetze und Vorschriften liegt in der Verantwortung des Kunden. IBM bietet keine Rechtsberatung an und gewährleistet nicht, dass die Services oder Produkte von IBM die Konformität von Gesetzen oder Verordnungen durch den Kunden sicherstellen.