Exabeam unterstützt Jupiter Telecommunications bei der Bekämpfung von internem Betrug in einer verteilten Umgebung

Die 1995 gegründete Jupiter Telecommunications Co., Ltd. betreibt Telekommunikationsunternehmen in ganz Japan. Das Unternehmen bietet Kabelfernsehen, Kabelinternet, Kabeltelefonie und Beratungsdienste an. Im Gespräch mit Seio Ohara von Exabeam APJ Partner, Macnica Networks, erläutert Hideki Tsutsui, Cybersecurity Manager bei Jupiter Telecommunications, warum man sich Exabeam und nicht für die Konkurrenz entschieden hat.

Erhöhte Komplexität und Größe durch eine Reihe von Unternehmensübernahmen

Welche Sicherheitsprobleme hatte J:COM?
„Wir expandierten durch die Übernahme verschiedener Unternehmen, beispielsweise von Kabelfernsehsendern, doch das Sicherheitsniveau variierte je nach Unternehmen. Daher legten wir als Unternehmen ein Sicherheitsniveau fest und beschlossen nach den Maßnahmen zur Abwehr externer Bedrohungen, interne Betrugsbekämpfungsmaßnahmen einzuleiten. Wir hatten zwar keine konkreten Vorfälle im Zusammenhang mit internem Betrug, hörten aber von Vorfällen bei anderen Unternehmen. Da wir Millionen personenbezogener Daten unserer Kunden besitzen, hielten wir die Einführung starker interner Betrugsbekämpfungsmaßnahmen für unerlässlich“, so Tsutsui.

Warum haben Sie sich Sicherheitsmanagement Platform von Exabeam als interne Betrugsbekämpfungsmaßnahme entschieden?
„Als ich das Projekt startete, wusste ich zunächst nicht, wie man internen Betrug überwacht. Als ersten Ansatz führten wir eine Bedrohungsmodellierung mit Außendienstmitarbeitern aus verschiedenen Abteilungen wie dem Innendienst und den Kundenzentren durch, um die vom Unternehmen ins Visier genommenen Fälle zu bearbeiten, wie z. B. den Verlust von Vertragsinformationen aus dem Vertrieb. Infolgedessen kam ich zu dem Schluss, dass es besser wäre, die bereits in großen Mengen vorhandenen Protokolle zu nutzen, um abnormales Verhalten zu erkennen. Nach Rücksprache mit Macnica Networks entschieden wir uns für Exabeam, das die Vorteile von Protokollanalyse und maschinellem Lernen nutzt, um betrügerisches Benutzerverhalten zu erkennen.“

Es gibt auch andere Unternehmen, die UEBA verwenden, aber wie war Ihre besondere Bewertung von „Exabeam Advanced Analytics“?
„Zunächst einmal wurden die Produkte von Exabeam von Gartner als führend ausgezeichnet. Eines der in Japan erhältlichen Produkte war „Exabeam Advanced Analytics“, daher habe ich mich dafür entschieden. Der wichtigste Bewertungspunkt ist, wie viel wir von unseren Protokollen erfassen können. Unabhängig von der Qualität der Erkennungsfunktion und der Reaktion auf unbekannte Bedrohungen ist eine Analyse ohne die erforderlichen Daten nicht möglich. Ein genauerer Blick auf die Protokollerfassung zeigte, dass die flexiblen Vorteile Exabeam Advanced Analytics überwältigend waren.“

Effizienter Rollout und erstklassiger Support

Um Logs mit UEBA zu erfassen, benötigt man einen „Parser“, der die Logs von Asset-Management-Tools versteht und analysiert. Wie verlief diese Entwicklung?
„Es war sowohl hinsichtlich der Funktionalität als auch des Supports ermutigend, da der von Exabeam entwickelte Parser implementiert wurde, anstatt ihn in unserem Unternehmen zu entwickeln.“ Das ist der Unterschied zu den Produkten anderer Unternehmen. Wer einen Parser intern entwickelt, muss das Lernmodell und die Regeln zur Betrugserkennung neu erstellen, was den Umfang des Supports tendenziell einschränkt. In dieser Hinsicht weist Exabeam diese Nachteile nicht auf.

Gab es noch einen weiteren ausschlaggebenden Faktor für die Einführung?
Ich schätze auch die ernsthaften Bemühungen von Macnica Networks und Exabeam sehr. Natürlich kannten wir die Produktspezifikationen nicht, konnten uns aber auf die sorgfältige Unterstützung verlassen. Das Projekt selbst begann im Herbst 2018, und wir sprachen darüber, ab Ende März in den POC einzusteigen. Ab April begannen wir mit dem Import mithilfe der von uns gesammelten realen Protokolle. Wir baten Exabeam, während der Golden Week einen Parser zu entwickeln, und setzten den POC bis August fort, während wir Feineinstellungen vornahmen.

Dadurch konnten wir das Protokoll des gewünschten Ereignisses, beispielsweise den PC-Betriebsverlauf, ordnungsgemäß abrufen und beschlossen, es einzuführen. Danach haben wir im September eine Bestellung aufgegeben und im Oktober die Umstellung durchgeführt. Ich denke, es lief reibungslos.“

„Der wichtigste Bewertungspunkt ist, wie viel wir von unseren Protokollen erfassen können. Unabhängig davon, wie gut die Erkennungsfunktion ist und wie gut sie auf unbekannte Bedrohungen reagieren kann, ist eine Analyse ohne die erforderlichen Daten nicht möglich. Ein genauerer Blick auf die Protokollerfassung zeigte, dass die flexiblen Exabeam Advanced Analytics überaus vorteilhaft sind.“

Zukünftige Ziele und Auswirkungen

„Der Betrieb ist erst vor Kurzem gestartet, aber natürlich ist die Einführung noch nicht abgeschlossen. Auch in Zukunft müssen wir durch interne Betrugsbekämpfungsmaßnahmen Ergebnisse erzielen. Derzeit ist es nicht möglich, das Eindringen von Bedrohungen von außen vollständig zu verhindern, und die Erkennung dieser Bedrohungen, nachdem sie sich bereits in unserer Umgebung befinden, ist ein allgemeines Sicherheitsproblem. Durch die Ansammlung von Know-how im Bereich interner Betrugsbekämpfungsmaßnahmen erwarten wir jedoch, dass „Exabeam Advanced Analytics“ als Gegenmaßnahme zur Erkennung nach einem Eindringen eingesetzt werden kann.“

Website: https://www.jcom.co.jp/