Capgemini Security Operation Center Services

2 Capgemini SOC Services

Inha

lt

3

Einleitung 4

Capgemini Managed SOC 5

Standorte der Capgemini Managed SOCs 9

Individuelle Lösungen 13

Cybersecurity-Services 14

Wer Sicherheit bieten möchte, der muss die Bedrohungen kennen und wissen, wie sie erkannt und bekämpft werden.Prozessorgesteuerte Systeme haben unsere alltägliche Welt erobert. Sowohl das berufliche als auch das private Umfeld sind in Zukunft ohne Informations-technologie, Operations Technology und dem Internet of Things nicht mehr denkbar. Längst werden einfache und komplexe Prozesse von der Steuerung von Industrieanlagen bis zur Bestellung einer Pizza über Computersysteme abgewickelt. Dabei entstehen große Datenmengen. Daten, die Auskunft über Dinge und Personen geben, mit denen Zustände und Verhalten beschrieben werden und die aus historischen Informationen eine Ableitung für die Zukunft ermöglichen.

Das Potenzial ist grenzenlos – ebenso wie die Gefahr des Missbrauchs.Daten können gestohlen und verändert werden. Angreifer können Computer übernehmen, um deren Rechenkapazität zu missbrauchen. Sie können Unter- nehmen, Regionen oder Volkswirtschaften manipulieren, bestehlen oder erpressen. Die Mittel, mit denen sich Angreifer Zugriff verschaffen, sind perfide und ihre Aktivitäten immer schwerer zu erkennen. Längst ist es nicht mehr der einsame Hacker, der in einem abgedunkelten Zimmer sein Unwesen treibt. Inzwischen hacken kriminelle wie staatliche Organisationen Netzwerke mit hoher Professionalität.

Anders als bei einem herkömmlichen Einbruch hinterlassen der Diebstahl und die Veränderung von Daten ebenso wie der Missbrauch von Computersystemen so gut wie keine Spuren. Die Bestätigung eines Verdachts ist oft extrem schwierig und meistens kann der Zugriff nur im Moment der Tat entdeckt und nachgewiesen werden.

Wer nicht Opfer einer Cyber-Attacke werden möchte, muss sich möglichst effektiv schützen.Sobald eine neue Bedrohung bekannt wird, muss ein neuer Erkennungs-Logarithmus entwickelt werden. Die Zyklen in diesem ewigen Kreislauf werden zunehmend kürzer und permanente Überwachung ist das einzige Mittel, um Schutz zu gewährleisten. Das Capgemini Security Operation Center (SOC) tut genau das und korreliert anormale System-Zustände mit Angriffsmustern. Es verfolgt das Ziel, Unternehmen bei der möglichst frühen Erkennung von Cyber- Angriffen und ihrer Abwehr zu unterstützen.

Der richtige Partner bietet individuell zugeschnittene Leistungen.Obwohl Cybersecurity stets das gleiche Ziel verfolgt, nämlich Cyber-Attacken zu erkennen, abzuwehren und ihre Anzahl zu reduzieren oder sie gar unmöglich zu machen, sind die Anforderungen jedes Unternehmens anders. Die Leistungen des Capgemini Managed SOC passen sich stets der individuellen Situation des Kunden an und fügen sich in Prozesse ein. Capgemini bündelt die Erfahrung von mehr als 3.000 Mitarbeitern weltweit mit Expertenwissen zur Cyber-Sicherheit. Das globale SOC betreut mit mehr als 400 Spezialisten mehr als 100 Kunden.

Einleitung


Die Services der Capgemini Managed SOCs sind modular aufgebaut. Ihre Zusammenstellung richtet sich nach den individuellen Anforderungen der Kunden.

Generell werden die Services in die Bereiche Incident-Prevention, Incident- Detection und Response & Reporting unterteilt.

Incident-Prevention: Threat-IntelligenceDer Service Threat-Intelligence beinhaltet Maßnahmen, um Bedrohungen möglichst früh zu erkennen. Sie haben zwar noch nicht zu einer Attacke geführt, bergen aber ein Risiko.

Für diese Aufgabe ermittelt Capgemini Informationen zu Bedrohungen, die zur Konfiguration der IT-Systeme eines Unternehmens passen, und arbeitet sowohl lokal als auch international mit verschiedenen IT-Sicherheitsorganisationen und Dienstleistern zusammen. Darüber hinaus nutzen die Experten gern individuelle Informationen und Certs als Informationsquelle.

Die Analysten im Capgemini SOC durchsuchen die diversen Quellen nach Hinweisen auf potenzielle Schwachstellen der Kundensysteme und prüfen, mit welchen Tools, Taktiken und Prozeduren diese für Attacken genutzt werden können. Basierend auf diesen Informationen werden detaillierte Analysen der möglichen Attacken erstellt und Verteidigungsstrategien erarbeitet.

Capgemini Managed SOC

Abbildung 1: Managed SOC-Module

Threat-Intelligence Security-Monitoring Incident-Response

Vulnerability- Management Security-Analytics

GRC

Reporting

Incident-Prevention

Incident-Detection

Response &Reporting

© Capgemini 2018

Abbildung 2: Prozess Flow Threat-Intelligence

Strategisch

Operativ

Taktisch

Wer?Warum?

Wo?Wie?

Was?Wann?

Informationssammlung

Empfehlung

Informations-aufbereitung

© Capgemini 2018

5

Incident-Prevention: Vulnerability-ManagementVulnerability-Management ist das Management bekannter Schwachstellen der Systeme des Kunden, die derzeit nicht beseitigt werden können. In der Regel gibt es dafür bereits Angriffsmuster, so dass eine Attacke wahrscheinlich ist.

Capgemini entwickelt Strategien, um diese Systeme trotzdem abzusichern und die Schwachstelle wenn möglich später zu beseitigen.

Für das Vulnerability-Management werden üblicherweise Vulnerability-Scanner eingesetzt. Diese Applikationen untersuchen die Systeme der Kunden auf bekannte Schwachstellen. Capgemini kann einen Vulnerability-Scanner als Teil des Service bereitstellen oder den des Kunden nutzen. Es reicht aber nie, sich ausschließlich auf die Ergebnisse der Scans zu verlassen, weshalb Capgemini diesen Service immer mit aktiver Recherche zu neuen Schwachstellen begleitet.

Abbildung 3: Vulnerability-Scanner-Phasen

© Capgemini 2018

Entdeckung

Priorisierung

Analyse Reporting

Beseitigung

Überprüfung


Incident-Detection: Security-MonitoringMit der permanenten Überwachung aller Systeme ist das Security-Monitoring der eigentliche Kern-Service eines SOC. Zur permanenten Überwachung und Untersuchung auf unnormales oder unerwartetes Verhalten der IT nutzt Capgemini Sicherheits-Informations- und Ereignis-Management(SIEM)-Systeme. Kunden können die Lösung von Capgemini entweder im Rechenzentrum von Capgemini oder ihrem eigenen nutzen oder ihr eigenes SIEM-System einsetzen.

Für die zielgerichtete Überwachung werden Use-Cases definiert. Sie beschreiben die Vorfälle, die man erkennen möchte. Anschließend werden die Zustände einzelner oder mehrerer Systeme regelbasiert abgefragt und ermittelt, ob ein Use-Case eingetreten ist. Capgemini hat eine große Bibliothek von Use-Cases, woraus die am besten auf die jeweiligen Anforderungen passenden ausgewählt werden können.

Über die Alarmierung bei Eintritt eines Use-Case kann das SOC-Team Attacken mit moderner Schadsoftware und Zero-Day-Exploits schnell erkennen, analysieren und darauf reagieren. Es prüft die Systeme rund um die Uhr in Bezug auf sicherheitsrelevante Ereignisse, analysiert die Sicherheitsalarme und schützt die Systeme bei Sicherheitsverstößen.

Darüber hinaus koordiniert das SOC-Team die Analyse und die Nachverfolgung eingeleiteter Sicherheitsalarme mit verschiedenen Parteien und Technologieverantwortlichen. Es identifiziert falsch positive Alarme und nutzt sie zur Feineinstellung der SIEM-Regeln.

Incident-Detection: Security-AnalyticsModerne Malware- und Zero-Day-Attacken infizieren Computersysteme innerhalb von Sekunden oder Minuten. Es kann aber Wochen oder Monate dauern, sie aufzuspüren und den Code zu beseitigen. Im Rahmen des Service Security- Analytics werden Alarme analysiert und klassifiziert, ob sie echt oder falsch positiv sind.

Der Service liefert umfassende Informationen über Bedrohungen, so dass Angriffe und unautorisierte Zugriffe schnell erkannt und der Umfang eines möglichen Datenmissbrauchs und das daraus resultierende Geschäftsrisiko eingeschätzt werden können.

Incident-Detection: Governance, Risk & ComplianceUnter Governance, Risk & Compliance (GRC) fällt die koordinierte Sammlung und Aufbereitung aller notwendigen Informationen für die GRC-Prozesse des Kunden. Sie sind vor allem für Rechts- und Revisionsabteilungen relevant, die in bestimmten Ländern die Erfüllung gesetzlicher Vorschriften und allgemein die Einhaltung der internen Richtlinien nachweisen müssen.

7

Response & Reporting: Incident-ResponseWenn ein Alarm ausgelöst wird und sich als echt erweist, greifen bestimmte Prozesse, um eine Attacke schnell zu bekämpfen und den Schaden zu begrenzen. Diese sogenannten Golden-Hour-Prozesse passt das Capgemini-Team zusammen mit dem Kunden und seinen Dienstleistern individuell an. Gemeinsam definieren sie Maßnahmen zur Bekämpfung der Attacke und Begrenzung des Schadens.

Response & Reporting: ReportingNeben dem Event-basierten Reporting erstellt das Capgemini-SOC für jeden Kunden regelmäßig einen individuellen Sicherheitsbericht und einen Überblick über aktuelle Gefährdungen und deren Abwehr.

Zukünftige Entwicklung (Roadmap)Die Capgemini Managed SOC Services werden kontinuierlich weiterentwickelt. Dabei achtet Capgemini darauf, die Sicherheitsfunktionen ohne Kompromisse bei der Zuverlässigkeit so schnell wie möglich an neue Bedrohungen anzupassen.

Die Experten von Capgemini sind davon überzeugt, dass sich die Aufgaben des SOC verlagern, von der Überwachung und Analyse zu kontextabhängigen Zusammenhängen und der Vorhersage von Bedrohungen. Deshalb planen wir Services wie:

• die automatisierte Aufklärung und Abwehr: Capgemini arbeitet an einer im eigenen Haus entwickelten, automatischen Bedrohungsaufklärungsplattform. Diese Plattform nutzt sowohl öffentliche als auch kommerzielle externe Datenquellen sowie eine Früherkennungsarchitektur, die sogenannte Honigtöpfe im Netzwerk des Kunden platziert. Informationen über Angriffe auf die Honigtöpfe werden anhand des kundenspezifischen Risikoprofils in den Kontext gesetzt und priorisiert. Das Risikoprofil ergibt sich beispielsweise aus der Branche, dem Standort oder den eingesetzten IT-Systemen des Kunden. Die Plattform erlaubt den Analyseexperten des SOC außerdem, die Angriffe nachzuvollziehen und Informationen aus verschiedenen Quellen für die Suche nach zukünftigen Bedrohungen zu nutzen. Mit diesem Wissen entwickeln wir eine automatisierte Angriffserkennung, die erlaubt, in Zukunft wesentlich schneller zu reagieren.

• eine Bedrohungserkennung der nächsten Generation: Die SIEM-Technologie entwickelt sich schnell weiter von einer auf Use-Cases basierenden Überwachung zu einer vorhersagenden Analyse. Diese neuen Möglichkeiten werden großen Einfluss auf die Arbeit eines SOC haben. Denn sie verlagern seine Aufgaben von der Konfiguration der Use-Cases zu einer kontextabhängigen, vorhersagenden Analyse von Bedrohungen, basierend auf der Erkennung von menschlichen und maschinellen Verhaltensmustern. Anstatt dem System sagen zu müssen, was es tun soll, werden die SOC-Mitarbeiter in Zukunft dem intelligenten System dabei helfen, Ereignisse zu interpretieren und zu verstehen.

• lernende Systeme: Die logische Erweiterung von vorhersagenden Analysen sind lernende Systeme. Lernende Systeme haben in den letzten Jahren massive Fortschritte gemacht und machen es möglich, Informationen in Form von natürlicher Sprache in großem Umfang zu sammeln und zu organisieren. Für die Cyber-Sicherheit ist diese Entwicklung relevant, da sie manuelle Arbeitsschritte bei der Vorbeugung und Erkennung deutlich verringern wird und darüber hinaus die Zeit für die Interpretation großer Mengen unstrukturierter Daten erheblich reduziert.


Gegenwärtig unterhält Capgemini verschiedene Dedicated und Multi-Tenant Managed SOCs.

Dedicated Managed SOCs werden nach den Anforderungen des Kunden geplant und exklusiv für ihn betrieben.

Multi-Tenant Managed SOCs werden so geplant, dass sie die Anforderungen möglichst vieler Kunden abdecken, schnell und einfach eingesetzt werden können und Systeme und Personal wirtschaftlich für mehrere Kunden eingesetzt werden können.

GSOC Bangalore &Mumbai

ToulouseAsturias

Kunde

KundeKunde

Kunde

Luxemburg Deutschland

Germany SOC

Utrecht SOC

HSOC Inverness

Kunde

Standorte der Capgemini Managed SOCs

9

Global Security Operation CenterDas Global Security Operation Center (GSOC) wird in Mumbai und Bangalore in Indien betrieben.

Mit mehr als 180 Cybersecurity-Experten ist das GSOC das größte SOC im Capgemini-Verbund.

Das GSOC erbringt alle beschriebenen SOC-Services in englischer Sprache und steht 7 × 24 zur Verfügung.

Kunden können das mandantenfähige SIEM von Capgemini im Rechenzentrum von Capgemini oder im eigenen Rechenzentrum nutzen. Alternativ können sie auch ihr eigenes SIEM einsetzen. Derzeit ist IBM QRadar unsere Standard-Anwendung, Kunden können aber auch andere Produkte nutzen.

Häufig nehmen global operierende Unternehmen die Leistungen des GSOC in Anspruch, bei denen Englisch gesprochen wird und die über viele Länder verteilte Infrastrukturen und Applikationen schützen möchten.

Highlands Security Operation CenterDas Highlands Security Operation Center (HSOC) ist in Inverness in Schottland, Großbritannien, angesiedelt.

Mit mehr als 90 Cybersecurity-Experten ist das HSOC das größte europäische SOC.

Das HSOC erbringt sämtliche beschriebenen SOC-Services in englischer und teilweise in deutscher Sprache und arbeitet rund um die Uhr an sieben Tagen in der Woche.


Häufig nehmen global operierende Unternehmen die Leistungen des HSOC in Anspruch, bei denen Englisch oder Deutsch gesprochen wird und die ihre IT-Security-Systeme in Europa betreiben möchten.

Asturias Security Operation CenterDas Asturias Security Operation Center steht in Langreo in der Region Asturien in Spanien.

Es ist vergleichsweise klein und konzentriert sich auf Speziallösungen für einzelne Kunden.

Darüber hinaus erbringt das Asturias SOC sämtliche beschriebenen SOC-Services in englischer und spanischer Sprache und arbeitet rund um die Uhr an sieben Tagen in der Woche.


Häufig nutzen Unternehmen das Asturias SOC, die ihre IT-Security-Systeme in der EU betreiben möchten und sehr individuelle Lösungen benötigen.


Utrecht Security Operation CenterDas SOC in Utrecht befindet sich derzeit im Aufbau. Es erbringt sämtliche beschriebenen SOC-Services in englischer und niederländischer Sprache und arbeitet rund um die Uhr an sieben Tagen in der Woche.

Das SOC in Utrecht arbeitet mit dem ebenfalls im Aufbau befindlichen SOC in Deutschland im Verbund, um bei Störungen uneingeschränkte Einsatzbereitschaft gewährleisten zu können.


Die Leistungen des SOC in Utrecht werden von Unternehmen in Anspruch genommen, die ihre IT-Security-Systeme in der EU betreiben möchten.

Deutsches Security Operation CenterDas SOC in Deutschland befindet sich derzeit im Aufbau. Es erbringt sämtliche beschriebenen SOC-Services in englischer und deutscher Sprache und arbeitet rund um die Uhr an sieben Tagen in der Woche.

Es arbeitet mit dem ebenfalls im Aufbau befindlichen SOC in den Niederlanden im Verbund, um bei Störungen uneingeschränkte Einsatzbereitschaft gewähr- leisten zu können.


Die Leistungen des SOC in Deutschland werden von Unternehmen in Anspruch genommen, die ihre IT-Security-Systeme in der EU betreiben möchten.

Luxemburg Security Operation CenterDas SOC in Luxemburg ist eher klein und konzentriert sich auf Speziallösungen für Finanzdienstleister.

Darüber hinaus erbringt es sämtliche beschriebenen SOC-Services in englischer und französischer Sprache und arbeitet rund um die Uhr an sieben Tagen in der Woche.


Die Leistungen des SOC in Luxemburg werden von Finanzdienstleistern in Anspruch genommen, die ihre IT-Security-Systeme in der EU betreiben möchten oder müssen.

11

Toulouse Security Operation CenterDas SOC in Toulouse in Frankreich erbringt sämtliche beschriebenen SOC-Services in englischer und französischer Sprache und arbeitet rund um die Uhr an sieben Tagen in der Woche.


Häufig nehmen global operierende Unternehmen die Leistungen des SOC in Toulouse in Anspruch, bei denen Englisch oder Französisch gesprochen wird und die ihre IT-Security-Systeme in der EU betreiben möchten.

Dedizierte Security Operation CenterNeben den oben genannten Sicherheitszentren betreibt Capgemini dedizierte SOCs für Kunden auf der ganzen Welt. 2016 haben wir beispielsweise für den Automobilhersteller Renault einen Teil des SOC in Toulouse ausgegliedert und ein separates Sicherheitszentrum aufgebaut, das heute für die Cybersecurity des Renault-Konzerns sorgt.


Managed Multi-Tenant SOC

Managed Dedicated SOC

Capgemini legt großen Wert auf seine Fähigkeit, alle Leistungen exakt auf den Bedarf seiner Kunden zuschneiden zu können.

In unseren mandantenfähigen SOCs können unsere Kunden unsere SIEM-Infrastruktur und unsere Betriebsprozesse für die Absicherung ihrer IT-Landschaft nutzen. Dabei sorgen unsere Cybersecurity-Experten dafür, dass mögliche Angriffe schnell erkannt und abgewehrt werden können.

Sollte die Nutzung eines Managed Multi-Tenant SOC keine Option sein, kann Capgemini ein Managed Dedicated SOC aufbauen. Dafür implementieren und betreuen wir ein eigenes SIEM-System für den Kunden. Die Analysten, die das System betreuen, stehen in engem Austausch mit unseren anderen IT-Experten in Bezug auf Hintergrundinformationen zu aktuellen Bedrohungen und deren Bekämpfung.

Individuelle Lösungen

13

Capgemini bietet umfangreiche Cybersecurity-Services an. Mit mehr als 3.000 Cybersecurity-Spezialisten weltweit unterstützen wir Unternehmen und Behörden bei allen Anforderungen mit Beratung, bei der Implementierung und mit Managed Cybersecurity-Services.

Wir bieten allgemeines Security-Consulting zum Reifegrad einer Sicherheits- Organisation, zu den Prozessen und Systemen und zu den Anforderungen der Fach- bereiche des Unternehmens. Unsere technische Beratung konzentriert sich auf IT-Sicherungssysteme wie IDS oder Firewalls und auf Schwachstellen und Bedrohungen.

Im Rahmen des GRC-Consultings werden alle Aspekte, Prozesse und Dokumente zur Security-Governance, zum Risiko-Management und zur Compliance mit Richtlinien und Regelwerken beleuchtet.

Die Sicherheit von Identitäten und Berechtigungen stellen wir im Rahmen des Identity- und Access-Management-Consultings, der Konzeption und der Implementierung von Berechtigungssystemen sicher.

Als Managed Services bieten wir Security-Operation-Center, Security-Incident- und Event-Management sowie Identity- und Access-Management an.

Cybersecurity-ServicesAbbildung 4: Cybersecurity Portfolio DACH Details

AllgemeinesSecurity-Consulting

Governance,Risk &Compliance

Identity- &Access-Management

ManagedSecurity-Services

TechnischesSecurity-Consulting

Security-Architektur

Security-Projekt-Management

Security-Business-Analyse

Security-Anforderungs-Management

Intrusion, Detection andPrevention

Endpunkt-Security

Schwachstellen-Management

Threat-Modeling

Firewall-Management

Technisches Security-Assessment

O-Auth-Implementation-Audit

Schutzbedarfsanalyse

ISMS nach ISO 27001und BSI

Compliance-Check

Risk-Assessment

Sicherheitskonzeption

GDPR-Consulting

Business-Continuity-Management

Social-Engineering-Awareness

Cloud-Governance

Identity- & Access-Management-Consulting

Identity- & Access-ManagementFAST TRACK

Berechtigungs-konzeption

Security-Operation-Center-as-a-Service

Security-Information- andEvent-Management

Identity- and Access-Management-as-a-Service

© Capgemini 2018


Über Capgemini

Capgemini ist einer der weltweit führenden Anbieter von Management- und IT-Beratung, Technologie-Services und Digitaler Transformation. Als ein Wegbereiter für Innovation unterstützt das Unternehmen seine Kunden bei deren komplexen Herausforderungen rund um Cloud, Digital und Plattformen. Auf dem Fundament von 50 Jahren Erfahrung und umfangreichem branchenspezifischen Know-how hilft Capgemini seinen Kunden, ihre Geschäftsziele zu erreichen. Hierfür steht ein komplettes Leistungsspektrum von der Strategieentwicklung bis zum Geschäftsbetrieb zur Verfügung. Capgemini ist überzeugt davon, dass der geschäftliche Wert von Technologie von und durch Menschen entsteht. Die Gruppe ist ein multikulturelles Unternehmen mit 200.000 Mitarbeitern in über 40 Ländern, das 2017 einen Umsatz von 12,8 Milliarden Euro erwirtschaftet hat.

Mehr unter

www.capgemini.com/de-de

MA

CS_

03.1

1.20

18_D

AC

H O

ffsh

ore

tea

m

The information contained in this document is proprietary. ©2018 Capgemini. All rights reserved.

For more details contact:

Norbert OlbrichManaging Cyber Security [email protected]

Holger HartwigSenior Sales Representative Cyber [email protected]

Capgemini Security Operation Center Services · Das Capgemini Security Operation Center (SOC) tut...

Documents

Transcript of Capgemini Security Operation Center Services · Das Capgemini Security Operation Center (SOC) tut...