Das Sicherheitsteam im Gesundheitswesen weist mit LogRhythm SIEM einen starken ROI auf

Einem US-amerikanischen Gesundheitsunternehmen mit einem kleinen IT-Sicherheitsteam fehlte eine zentrale Lösung zur Protokollerfassung und -analyse sowie zur effektiven Erkennung und Reaktion auf Vorfälle. Das Unternehmen suchte nach der passenden Lösung, um seine Sicherheitslage zu verbessern und dem Team die nötigen Tools für den Aufbau und die Erweiterung des Sicherheitsprogramms im Zuge des Wachstums des Gesundheitssystems bereitzustellen. Das Unternehmen entschied sich für die LogRhythm SIEM um die Transparenz zu verbessern und seine Sicherheitsabläufe in einer einzigen Lösung zu optimieren. So kann das Team Bedrohungen in Echtzeit erkennen und darauf reagieren.

Die Herausforderung

Kosten sparen und das zentralisierte Sicherheitssystem vereinfachen

Die Organisation entschied sich für LogRhythm SIEM aufgrund der Benutzerfreundlichkeit und der benutzerfreundlichen Oberfläche, die den Betrieb vereinfachen würde, sowie wegen
Die sofort einsatzbereiten Inhalte zur Bedrohungserkennung waren von entscheidender Bedeutung. Wie bei jeder Investition musste das Unternehmen jedoch nachweisen, dass das Sicherheitsprogramm die finanziellen und zeitlichen Kosten wert war. Da Cybersicherheit typischerweise als Kostenfaktor für das Unternehmen angesehen wird, konzentrierten sich die Treuhänder des Unternehmens auf die Auswirkungen des Sicherheitsprogramms auf das Geschäftsergebnis sowie auf die Effektivität des Tools und die Weiterentwicklung des Programms.

Für Sicherheitsteams kann es eine Herausforderung sein, den hohen und messbaren Return on Investment (ROI) eines Sicherheitsprogramms nachzuweisen. Dieses Team suchte nach einer Möglichkeit, zu zeigen, dass die LogRhythm-Plattform eine lohnende Investition ist.

„SmartResponse™ ist die leistungsstärkste Funktion von LogRhythm. Dank SmartResponse konnten wir unsere Leistung deutlich steigern und Bedrohungen immer einen Schritt voraus sein.“

• Leitender Informationssicherheitsingenieur | US-Gesundheitsorganisation

Die Lösung

Nachweis von Nutzen und ROI

Um die Effektivität der LogRhythm SIEM-Plattform zu demonstrieren, erstellte das Unternehmen individuelle Dashboards mit Programmdaten, darunter die Anzahl der erfassten Protokolle, Warnmeldungen und Ereignisse sowie die Anzahl der Fälle, die zu Vorfällen wurden. Durch die Zusammenarbeit mit LogRhythm SIEM konnte das Unternehmen seine Daten kontextualisieren und nachverfolgbare Kennzahlen entwickeln, um Zeit- und Kosteneinsparungen aufzuzeigen.

Das Team überwachte außerdem die Effizienz der Automatisierungsfunktion LogRhythm SIEM SmartResponse, die vertrauenswürdige IP-Adressen automatisch aus dem Netzwerk sperrt, sobald Angriffsmuster oder andere bösartige Aktivitäten auftreten. Mit LogRhythm SIEM spart das Unternehmen schätzungsweise zwischen 30.000 und 70.000 US-Dollar pro Jahr – etwa den Großteil des Gehalts eines Firewall-Ingenieurs –, indem es automatisch mehr als 1.000 IP-Adressen pro Monat sperrt. Anstatt dass ein Ingenieur nun Zeit mit dem manuellen Sperren dieser IPs verbringen muss, haben die Funktionen LogRhythm SIEM dem Unternehmen geholfen, den ROI nachzuweisen. Die IT-Sicherheitsleitung konnte so den Bedarf an zusätzlichem Personal und besseren Tools zur effektiveren Erkennung und Reaktion auf Bedrohungen aufzeigen.

Zeitersparnis durch Automatisierung

Um die Effizienz der Tier-1-Analysten zu steigern, standardisierte das Unternehmen seinen Ansatz zur Vorfallreaktion mithilfe von LogRhythm SIEM-Playbooks. Mithilfe der SmartResponse-Funktionen konnte das Unternehmen automatisch vordefinierte Playbooks an bestimmte Alarme anhängen. So konnten Tier-1-Analysten potenzielle Probleme schnell und wiederholbar beheben.

Wenn beispielsweise der Anti-Malware-/Advanced-Threat-Protection-Anbieter des Unternehmens eine mögliche Bedrohung erkennt, führen die Analysten mithilfe der Playbooks dieselbe konsistente Analyse durch. Das Team nutzte SmartResponse, um diesen Prozess weiter zu verbessern. Durch Abfragen der anderen Tools wurden Informationen zu Host, Datei-Hash und Benutzer in das Fallmanagementsystem übertragen. Dies reduzierte den Aufwand für die Voruntersuchung und lieferte den Analysten so viele Informationen wie möglich, um eine fundierte Entscheidung über das weitere Vorgehen zu treffen.

Diese einfache, sich wiederholende Aufgabe, die durch Automatisierung verbessert wird, ermöglicht es Analysten, mehr Zeit für wertvollere Aufgaben aufzuwenden – einschließlich der Bedrohungssuche –, auf echte Vorfälle zu reagieren und Automatisierung zu erstellen und zu verbessern.

Abschluss

Das Unternehmen erkannte den Wert einer Investition in ein Sicherheitsprogramm, um seine Sicherheitslage zu verbessern und die Arbeitsabläufe seines Sicherheitsteams zu vereinfachen. Seit der Zusammenarbeit mit LogRhythm SIEM konnte das Unternehmen seine Erkennungs- und Reaktionszeiten deutlich verbessern und der Geschäftsleitung den Nutzen des Tools und des Sicherheitsprogramms zuverlässig demonstrieren.

„Ohne die Funktionen von LogRhythm könnten sich einige dieser Malware-Bedrohungen möglicherweise schneller verbreiten“, so der Sicherheitsanalyst des Unternehmens. „Dank LogRhythm können wir uns schneller einen Gesamtüberblick verschaffen und die Vorgänge in einen Kontext setzen. Unser Phishing-Team kann so Anmeldedatensammler in Echtzeit finden, ohne erst auf etwas warten zu müssen.“

Die Organisation plant, ihr Sicherheitsprogramm zu erweitern und zusätzliche Funktionen der LogRhythm SIEM Plattform zu nutzen.