Assurity steigert die Sicherheitsreife und erreicht Compliance

Assurity ist eine zertifizierte B Corporation mit Hauptsitz in Lincoln, Nebraska. Der Versicherungsverein ist ein Lebens- und Krankenversicherer auf Gegenseitigkeit. Er befindet sich im Eigentum seiner Versicherungsnehmer und hat sich zum Ziel gesetzt, Menschen in schwierigen Zeiten zu helfen. Assurity ist aus der Fusion dreier verschiedener Versicherungsunternehmen hervorgegangen und bietet unabhängigen Maklern in den gesamten USA Lebensversicherungen, Berufsunfähigkeits- und Schwere-Krankheiten-Versicherungen sowie freiwillige Leistungen für Arbeitnehmer an. Assurity ist in der stark regulierten Versicherungsbranche tätig und entschied sich für die LogRhythm SIEM, um die Einhaltung der Vorschriften zu gewährleisten und die Daten seiner Kunden und Mitarbeiter zu schützen.

Die Herausforderung

Nutzung von LogRhythm SIEM mit eingebettetem SOAR für schnelle Erkennung und Reaktion

Versicherungsunternehmen unterliegen einer strengen staatlichen Aufsicht, die von der Regulierung der Lizenzmodelle bis hin zur Standardisierung von Policen und Produktangeboten reicht. Assurity verfolgt ein Maklermodell und bietet seine Dienstleistungen landesweit unabhängigen Maklern an.

Sie müssen die Versicherungsgesetze von 50 verschiedenen Bundesstaaten einhalten, was die Einhaltung der Vorschriften zu einer echten Herausforderung macht. In Bezug auf die Protokollverwaltung muss Assurity die Cybersicherheitsverordnung (23 NYCRR 500) des New York Department of Financial Services (NYDFS) einhalten. Die NYDFS-Verordnung verpflichtet Unternehmen wie Assurity zu einem strengen Cybersicherheitsprogramm und zur Einhaltung strenger Meldevorschriften für Verstöße. Es ist wahrscheinlich, dass die übrigen Bundesstaaten bald eine Form der NAIC-Modellverordnung übernehmen werden, eine Anforderung, die in gewisser Weise auf der NYDFS basiert.

Mit einem kleinen, dreiköpfigen Sicherheitsteam suchte Assurity nach einem SIEM, das sowohl die Sicherheit der robusten IT-Umgebung als auch die Einhaltung von Compliance-Vorgaben gewährleisten sollte. Gleichzeitig sollte es dem Team Routineaufgaben abnehmen und es ihm ermöglichen, mit weniger Ressourcen mehr zu leisten. Nach Prüfung der führenden Anbieter der Sicherheitsbranche entschied sich Assurity für LogRhythm.

„Wir haben Ausschreibungen an drei der führenden SIEM-Lösungen im Gartner Magic Quadrant gesendet. Zwei Lösungen lagen in unserer abschließenden Bewertung sehr nah beieinander, aber die Referenzanrufe für jede Lösung machten den Unterschied. Da wir nur über eine kleine Support-Mannschaft verfügen, war uns eine Lösung mit leistungsstarken Incident-Response-Prozessen und Automatisierung in Kombination mit hochwertigen Support-Services sehr wichtig.“

• Kelly Murphy

  IT-Sicherheits- und Compliance-Manager | Assurity

Die Lösung

Nutzung von LogRhythm SIEM mit eingebettetem SOAR für schnelle Erkennung und Reaktion

Nach der Implementierung LogRhythm SIEM und der Erfüllung der Compliance-Anforderungen erkannte Assurity Life einen zusätzlichen Mehrwert, insbesondere in den SOAR-Funktionen der Plattform. Dank der nativen SOAR-Funktionen der Plattform können Sicherheitsteams jeder Größe die Anzahl unterschiedlicher Technologien und die erforderlichen Schritte reduzieren, um effektiv auf Sicherheitsereignisse zu reagieren.

Integriertes Fallmanagement und Aufgabenautomatisierung bieten konsistente Untersuchungstools während des gesamten Vorfallreaktionsprozesses. Geführte Workflows, integrierte Eskalationsprozesse und Fall-Playbooks optimieren die Arbeitsbelastung der Analysten und ermöglichen eine effiziente Behebung von Bedrohungen.

Schnelles Incident Management mit LogRhythm SmartResponseTM Automation

SmartResponse bietet vorgefertigte, anpassbare Aufgabenautomatisierungen, um die Zeit für die Erkennung und Reaktion auf Bedrohungen zu verkürzen. Von der Quarantäne von Endpunkten über die Sperrung von Benutzern bis hin zur Erfassung zusätzlicher Kontextdaten automatisieren SmartResponse-Aktionen die Workflows zur Reaktion auf Vorfälle, sorgen für mehr Effizienz und reduzieren das Unternehmensrisiko.

Nach der Teilnahme an einer von LogRhythm gesponserten kostenlosen Schulung von Ultimate Windows Security zum Thema „Anatomie eines Hack-Ausbruchs: Wie Standardregeln einen Eindringling abwehrten“ erkannte Kelly Murphy, IT-Sicherheits- und Compliance-Managerin bei Assurity, die Möglichkeit, die Überwachung der Microsoft Active Directory-Domänenverwaltung mithilfe von Analyse und Automatisierung zu verbessern. Kelly und sein Team arbeiteten mit unserem Professional-Services-Team zusammen, um einen Anwendungsfall mit SmartResponse und AI Engine zu implementieren, einer vollständig integrierten LogRhythm SIEM, die Unterstützung für verschiedene Bedrohungsszenarien bietet.

Ziel des Anwendungsfalls ist es, die Funktion nicht autorisierter Domänenkonten zu verhindern. Mit der Analyse der AI Engine und der Aufgabenautomatisierung von SmartResponse ist Assurity
in der Lage, unbefugte Kontonutzung zu erkennen und automatisch einzudämmen:

• Die AI Engine gleicht diese Konten automatisch mit einer Whitelist genehmigter Konten ab. In beiden Fällen deaktivieren automatisierte Aktionen von SmartResponse das unberechtigte Konto. Nachdem Assuritys SecOps von einem Netzwerkmanager über die Kontoerstellung benachrichtigt wurde, fügt es den Kontonamen der Whitelist des Domänenadministrators hinzu, damit das Konto aktiviert oder erneut aktiviert werden kann. Dieser Schritt kann auch mithilfe dynamischer LogRhythm SIEM automatisiert werden.
• AI Engine erkennt, wenn Benutzer zur Domänenadministratorgruppe hinzugefügt werden oder wenn ein Konto in der Domänenadministratorgruppe aktiviert wird

LogRhythm SOAR auf die Probe stellen

Im März 2018 unterzog sich Assurity einer Sicherheitsbewertung, die auch Penetrationstests umfasste. Nach zahlreichen fehlgeschlagenen Versuchen, das System von Assurity zu kompromittieren,
Der Tester nutzte eine bekannte Sicherheitslücke, um erfolgreich ein neues Domänenkonto zu erstellen. Kurzzeitig schien es, als hätten sie die von Kelly und seinem Team eingerichteten Domänenverwaltungskontrollen umgangen. Als die KI-Engine jedoch das nicht autorisierte Konto erkannte, wurde SmartResponse aktiviert und leitete automatisch Gegenmaßnahmen ein, um das unrechtmäßige Konto schnell zu deaktivieren.

„Ich weiß, dass der Penetrationstester beim Testen für andere Kunden Alarme und Warnungen ausgelöst hat, aber er hat noch nie erlebt, dass SmartResponse-Aktionen einen Angriff abwehren“, sagte Kelly. „Trotz der vielen Tools, die wir vor LogRhythm im Einsatz hatten, sind wir nun von unserer Entscheidung überzeugt, LogRhythm zum Kernstück unserer Sicherheitsüberwachungs- und -behebungsbemühungen zu machen.“

Abschluss

Verbesserte Sicherheitsreife und Compliance durch Orchestrierung und Automatisierung

Da es dem Penetrationstester nicht gelang, die automatische Erkennung durch die KI-Engine zu unterlaufen, und die sofortige SmartResponse-Aktion einsetzte, stärkte dies das Vertrauen von Kellys Team in die LogRhythm SIEM Plattform. Darüber hinaus ermöglichte die Sicherheitsbewertung dem gesamten Unternehmen, die Lösung in Aktion zu sehen.

Für Assurity war der Anwendungsfall der Domänenverwaltung ein Katalysator für die Verbesserung der Vorfallreaktion durch zusätzliche Orchestrierung und Automatisierung. Kelly und sein Team bauen ihre Whitelist weiter aus, planen die Entwicklung weiterer benutzerdefinierter KI-Engine-Regeln und möchten im Laufe der Zeit ähnliche SmartResponse-Anwendungsfälle entwickeln und implementieren.

Mit LogRhythm SIEM kann Assurity die Einhaltung von Compliance-Kontrollen in einer stark regulierten Branche nachweisen, gleichzeitig seine Sicherheitslage verbessern und die durchschnittliche Zeit zur Erkennung und Reaktion auf Bedrohungen verkürzen. Mit den integrierten Orchestrierungs- und Automatisierungsfunktionen LogRhythm SIEM stärkt Assurity seine qualifizierten, aber begrenzten Ressourcen, indem es alltägliche Aufgaben abnimmt und sein Team befähigt, mit weniger Ressourcen mehr zu erreichen.

website: www.assurity.com