Laxe Sicherheitsstandards machen Sie angreifbar. Überempfindliche Prozesse führen jedoch zu Fehlalarmen, die die Unterscheidung zwischen Freund und Feind erschweren können. Und leider skaliert dieses Problem leicht.
„Unser Campus ist groß“, bemerkt John McGuthry, Vice President und Chief Information Officer (CIO) der California State Polytechnic University, Pomona (Cal Poly Pomona). „Nicht nur von der Anzahl der Studierenden, sondern auch in physischer Fläche. Wir haben rund 1.400 Hektar und über 100 Gebäude. Wir haben Pferdeställe. Wir haben Bauernhöfe. Die Ausbreitung unserer Netzwerkinfrastruktur und des von uns verwalteten drahtlosen Raums ist enorm.“
Und die Verwaltung einer so großen Campus-Umgebung wurde zu einer Herausforderung für die IT-Sicherheitsressourcen der Uni. „Wir erhielten so viele Gerätewarnungen, dass es bald zu viel wurde“, erinnert sich McGuthry. „Die Menge an Informationen, die wir uns ansahen, nahm immer weiter zu. Wir brauchten einen besseren Weg.“
Neben der schieren Größe der Umgebung sah sich Cal Poly Pomona auch mit den verschiedenen Datensicherheitsstandards konfrontiert, die es erfüllen muss. McGuthry erklärt: „Wir haben Polizeikräfte, daher gibt es Compliance-Standards für Strafverfolgungsdaten. Wir haben ein Gesundheitszentrum, also kommt HIPAA ins Spiel. Es gibt ein Hotel, Restaurants, Einzelhandel – also PCI-Anforderungen. Außerdem haben wir Studentendaten, die wir sicher aufbewahren müssen.“
Um diese Herausforderungen zu bewältigen, wollte McGuthry eine zentralisierte Plattform für das Sicherheitsinformations- und Ereignis-Management (SIEM) einrichten, die komplexe Protokollierungsfunktionen bereitstellen kann. Und nach verschiedenen internen Gesprächen war er daran interessiert, die von IBM Security® QRadar® SIEM gebotenen Möglichkeiten zu erkunden, und leitete schnell ein erstes Gespräch mit einem IBM Security- Team ein.
„Nach einer ausführlichen Evaluierung von QRadar und einem Gespräch mit IBM rief ich unseren CISO an und sagte: ‚Lass uns das machen‘“, erinnert sich McGuthry. „Es fühlte sich einfach so an, als würde es am besten zu Cal Poly Pomona passen.“
Im Rahmen der anfänglichen QRadar-SIEM-Bereitstellung führte das IBM-Sicherheitsteam zusammen mit den Mitarbeitern der Cal Poly Pomona eine umfassende Bestandsaufnahme der gesamten Architektur durch und erstellte eine detaillierte Aufzeichnung der Netzwerktopologie, wobei auch alle Benutzerrollen mit Datenzugriff identifiziert wurden. Derzeit nutzen rund 27.000 aktive Studierende und 3.000 Lehrende und Mitarbeiter das System regelmäßig.
„Außerdem haben wir jedes Semester eine große, wechselnde Benutzergruppe von Bewerbern", erklärt Carol Gonzales, Associate Vice President for IT Security and Compliance und Chief Information Security Officer an der Universität. „Damit wächst unsere Nutzerbasis auf insgesamt etwa 100.000, die sich aber genauso schnell wieder verringert.“ Wir veranstalten auch viele Veranstaltungen für die Community. Und jedes Jahr veranstalten wir eine Abschlussfeier, bei der alle Freunde und Familienangehörigen der Studenten auf den Campus kommen. Der WLAN-Zugang muss entsprechend umfangreich sein.“
Mit den identifizierten Benutzerrollen und dem Bestand ermöglicht QRadar SIEM der Cal Poly Pomona die Zentralisierung, Normalisierung und Analyse eingehender Daten von über 84.000 Geräten, um potenzielle Bedrohungen mithilfe von maschinellem Lernen und Verhaltensanalysen zu identifizieren. Im Durchschnitt werden so täglich etwa 44 GB an Protokollen und Berichten erzeugt, was aus forensischer Sicht die Einhaltung von Vorschriften und Audit-Anforderungen vereinfacht.
Mit den Warnfunktionen der IBM Lösung lassen sich Eindringungspunkte schnell und effizient identifizieren und zur Untersuchung markieren. Darüber hinaus liefert QRadar SIEM Analysen des Benutzerverhaltens, die dem Sicherheitspersonal helfen, zuvor nicht erkennbare Anomalien zu identifizieren, die auf gezielte Angriffe, Insider-Bedrohungen oder andere schädliche Aktivitäten hinweisen könnten.
Über die reine Sicherheit hinaus unterstützt QRadar SIEM auch die Bildungsaktivitäten der Universität. Vor allem im Mitchell Hill Data Center der Uni nutzen Studenten des College of Business Administration die IBM-Technologie, um im Rahmen ihres Studiums der Cybersicherheit praktische Erfahrungen zu sammeln.
„Es handelt sich um eine isolierte, abgeschottete Architektur, die unsere Produktionsumgebung nachahmt“, erklärt Dr. Ronald E. Pike, Associate Professor of Computer Information Systems an der Universität. „Die Studenten der Cal Poly Pomona nutzen es, um ihr eigenes, von Studenten verwaltetes Security Operation Center [SOC] zu betreiben, in dem sie mit QRadar den Datenverkehr in und aus der Umgebung beobachten können. Und sie können künstlich zusätzliche Benutzeraktivitäten erzeugen, die eine konsistente Basis für Sicherheitsprobleme liefern, die während des gesamten Semesters behoben werden müssen.
Darüber hinaus unterstützt die IBM-Technologie mit spezialisierten Kursen, die sich auf IT-Audits sowie ganzheitliches Sicherheitsmanagement konzentrieren, insbesondere darauf, wie die verschiedenen Bereiche der Cybersicherheit miteinander zusammenhängen.
„Sie veranstalten im Studenten-Rechenzentrum auch eine Reihe von Wettbewerben“, fügt Pike hinzu. „Und QRadar ist entscheidend für die Überwachung dieser Aktivitäten, da es klare Bewertungsdaten zur Leistung der Wettbewerber liefert.“
QRadar SIEM bietet umfassende Einblicke in das gesamte Campus-Netzwerk. Und die IBM-Technologie erleichtert die Erkennung von Angriffen, die auf zuvor unbekannte Sicherheitslücken sowie auf fortgeschrittene, persistente Bedrohungen abzielen. All dies ermöglicht es Cal Poly Pomona, Sicherheitslücken und ein Eindringen viel schneller zu erkennen. Darüber hinaus grenzt die Lösung routinemäßig jeden Tag potenzielle Warnmeldungen auf 20 bis 40 untersuchungswürdige Punkte ein.
„Wir können nicht alles überprüfen, deshalb fasst QRadar die Details zusammen, die wir wirklich brauchen“, erklärt Gonzales. „Zum Beispiel hatten wir vor ein paar Monaten einen Vorfall, bei dem wir unbefugte Änderungen auf mehreren Desktops in derselben Abteilung feststellten. Mit QRadar haben wir diese Systeme in derselben Woche schnell identifiziert und neu konfiguriert. Wir haben unserem Dashboard auch ziemlich einfach ein Widget hinzugefügt, mit dem wir diese Abteilung im Auge behalten können, falls das Problem erneut auftritt.“
Neben dem Nutzen der Technologie war Gonzales auch mit der Unterstützung durch das IBM-Security-Team zufrieden. Wie sie bemerkt: „Wir schätzen die gemeinsamen Bewertungsanalysen, bei denen IBM uns hilft herauszufinden, wie wir intelligenter arbeiten können. Diese Bewertungen helfen uns zu erkennen, welche Straftaten priorisiert werden müssen. Sie zeigen uns, wie wir QRadar die Arbeit für uns erledigen lassen können, anstatt zu versuchen, das Tool zu verwalten.“
McGuthry fährt fort und fügt hinzu: „Über die Leistung eines Produkts hinaus ist der Service wirklich wichtig.“ Und die Experten, die uns IBM zur Verfügung gestellt hat, waren für unsere Universität von unschätzbarem Wert.“
Cal Poly Pomona (Link befindet sich außerhalb von ibm.com) wurde 1938 gegründet und ist eine führende polytechnische Universität, die sich auf erfahrungsorientiertes Lernen und praktisches Entdecken konzentriert. Die Schule befindet sich in Pomona, Kalifornien, und besteht aus neun verschiedenen akademischen Colleges, die insgesamt Bachelor-Abschlüsse in 94 Majors und 39 Master-Studiengängen anbieten.
Rechtshinweise
© Copyright IBM Corporation 2023. IBM Corporation, New Orchard Road, Armonk, NY 10504
Hergestellt in den Vereinigten Staaten von Amerika, November 2023.
IBM, das IBM Logo, ibm.com, IBM Security und QRadar sind Marken oder eingetragene Marken der International Business Machines Corporation in den USA und/oder anderen Ländern. Weitere Produkt‐ und Servicenamen können Marken von IBM oder anderen Unternehmen sein. Eine aktuelle Liste der IBM-Marken finden Sie unter ibm.com/legal/copyright-trademark.
Das vorliegende Dokument ist ab dem Datum der Erstveröffentlichung aktuell und kann jederzeit von IBM geändert werden. Nicht alle Angebote sind in allen Ländern verfügbar, in denen IBM tätig ist.
Alle angeführten oder beschriebenen Beispiele illustrieren lediglich, wie einige Kunden IBM Produkte verwendet haben und welche Ergebnisse sie dabei erzielt haben. Die tatsächlichen Umgebungskosten und Leistungsmerkmale variieren in Abhängigkeit von den Konfigurationen und Bedingungen des jeweiligen Kunden. Es können keine generell zu erwartenden Ergebnisse bereitgestellt werden, da die Ergebnisse jedes Kunden allein von seinen Systemen und bestellten Services abhängt. DIE INFORMATIONEN IN DIESEM DOKUMENT WERDEN OHNE JEGLICHE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GEWÄHRLEISTUNG ZUR VERFÜGUNG GESTELLT, EINSCHLIESSLICH DER GEWÄHRLEISTUNG DER HANDELSÜBLICHKEIT, DER TAUGLICHKEIT FÜR EINEN BESTIMMTEN ZWECK UND DER GEWÄHRLEISTUNG ODER BEDINGUNG DER NICHTVERLETZUNG VON RECHTEN. Die Gewährleistung für Produkte von IBM richtet sich nach den Vertragsbedingungen der Vereinbarungen, unter denen sie bereitgestellt werden.
Erklärung zu bewährten Sicherheitsverfahren: Kein IT-System oder -Produkt sollte als vollkommen sicher angesehen werden, und kein einzelnes Produkt, kein Service oder keine Sicherheitsmaßnahme kann eine missbräuchliche Nutzung oder einen missbräuchlichen Zugriff vollständig verhindern. IBM übernimmt keine Gewähr dafür, dass Systeme, Produkte oder Services vor böswilligem oder rechtswidrigem Verhalten von Dritten geschützt sind oder Ihr Unternehmen davor schützen.
Die Einhaltung sämtlicher geltender Gesetze und Vorschriften liegt in der Verantwortung des Kunden. IBM bietet keine Rechtsberatung an und gewährleistet nicht, dass die Services oder Produkte von IBM die Konformität von Gesetzen oder Verordnungen durch den Kunden sicherstellen.