Capgemini Security Operation Center Services

Publish date:

Wer Sicherheit bieten möchte, der muss die Bedrohungen kennen und wissen, wie sie erkannt und bekämpft werden. Prozessorgesteuerte Systeme haben unsere alltägliche Welt erobert. Sowohl das berufliche als auch das private Umfeld sind in Zukunft ohne Informationstechnologie, Operations Technology und dem Internet of Things nicht mehr denkbar. Längst werden einfache und komplexe Prozesse von der […]

Wer Sicherheit bieten möchte, der muss die Bedrohungen kennen und wissen, wie sie erkannt und bekämpft werden.

Prozessorgesteuerte Systeme haben unsere alltägliche Welt erobert. Sowohl das berufliche als auch das private Umfeld sind in Zukunft ohne Informationstechnologie, Operations Technology und dem Internet of Things nicht mehr denkbar. Längst werden einfache und komplexe Prozesse von der Steuerung von Industrieanlagen bis zur Bestellung einer Pizza über Computersysteme abgewickelt. Dabei entstehen große Datenmengen. Daten, die Auskunft über Dinge und Personen geben, mit denen Zustände und Verhalten beschrieben werden und die aus historischen Informationen eine Ableitung für die Zukunft ermöglichen.

Das Potenzial ist grenzenlos – ebenso wie die Gefahr des Missbrauchs.

Daten können gestohlen und verändert werden. Angreifer können Computer übernehmen, um deren Rechenkapazität zu missbrauchen. Sie können Unternehmen, Regionen oder Volkswirtschaften manipulieren, bestehlen oder erpressen. Die Mittel, mit denen sich Angreifer Zugriff verschaffen, sind perfide und ihre Aktivitäten immer schwerer zu erkennen. Längst ist es nicht mehr der einsame Hacker, der in einem abgedunkelten Zimmer sein Unwesen treibt. Inzwischen hacken kriminelle wie staatliche Organisationen Netzwerke mit hoher Professionalität. Anders als bei einem herkömmlichen Einbruch hinterlassen der Diebstahl und die Veränderung von Daten ebenso wie der Missbrauch von Computersystemen so gut wie keine Spuren. Die Bestätigung eines Verdachts ist oft extrem schwierig und meistens kann der Zugriff nur im Moment der Tat entdeckt und nachgewiesen werden.

Wer nicht Opfer einer Cyber-Attacke werden möchte, muss sich möglichst effektiv schützen.

Sobald eine neue Bedrohung bekannt wird, muss ein neuer Erkennungs- Logarithmus entwickelt werden. Die Zyklen in diesem ewigen Kreislauf werden zunehmend kürzer und permanente Überwachung ist das einzige Mittel, um Schutz zu gewährleisten. Das Capgemini Security Operation Center (SOC) tut genau das und korreliert anormale System-Zustände mit Angriffsmustern. Es verfolgt das Ziel, Unternehmen bei der möglichst frühen Erkennung von Cyber- Angriffen und ihrer Abwehr zu unterstützen.

Der richtige Partner bietet individuell zugeschnittene Leistungen.

Obwohl Cybersecurity stets das gleiche Ziel verfolgt, nämlich Cyber-Attacken zu erkennen, abzuwehren und ihre Anzahl zu reduzieren oder sie gar unmöglich zu machen, sind die Anforderungen jedes Unternehmens anders. Die Leistungen des Capgemini Managed SOC passen sich stets der individuellen Situation des Kunden an und fügen sich in Prozesse ein. Capgemini bündelt die Erfahrung von mehr als 3.000 Mitarbeitern weltweit mit Expertenwissen zur Cyber-Sicherheit. Das globale SOC betreut mit mehr als 400 Spezialisten mehr als 100 Kunden.

Capgemini Managed SOC

Die Services der Capgemini Managed SOCs sind modular aufgebaut. Ihre Zusammenstellung richtet sich nach den individuellen Anforderungen der Kunden.

Generell werden die Services in die Bereiche Incident-Prevention, Incident- Detection und Response & Reporting unterteilt.

Incident-Prevention: Threat-Intelligence

Der Service Threat-Intelligence beinhaltet Maßnahmen, um Bedrohungen möglichst früh zu erkennen. Sie haben zwar noch nicht zu einer Attacke geführt, bergen aber ein Risiko.

Für diese Aufgabe ermittelt Capgemini Informationen zu Bedrohungen, die zur Konfiguration der IT-Systeme eines Unternehmens passen, und arbeitet sowohl lokal als auch international mit verschiedenen IT-Sicherheitsorganisationen und Dienstleistern zusammen. Darüber hinaus nutzen die Experten gern individuelle Informationen und Certs als Informationsquelle.

Die Analysten im Capgemini SOC durchsuchen die diversen Quellen nach Hinweisen auf potenzielle Schwachstellen der Kundensysteme und prüfen, mit welchen Tools, Taktiken und Prozeduren diese für Attacken genutzt werden können. Basierend auf diesen Informationen werden detaillierte Analysen der möglichen Attacken erstellt und Verteidigungsstrategien erarbeitet.

Incident-Prevention: Vulnerability-Management

Vulnerability-Management ist das Management bekannter Schwachstellen der Systeme des Kunden, die derzeit nicht beseitigt werden können. In der Regel gibt es dafür bereits Angriffsmuster, so dass eine Attacke wahrscheinlich ist.

Capgemini entwickelt Strategien, um diese Systeme trotzdem abzusichern und die Schwachstelle wenn möglich später zu beseitigen.

Für das Vulnerability-Management werden üblicherweise Vulnerability-Scanner eingesetzt. Diese Applikationen untersuchen die Systeme der Kunden auf bekannte Schwachstellen. Capgemini kann einen Vulnerability-Scanner als Teil des Service bereitstellen oder den des Kunden nutzen. Es reicht aber nie, sich ausschließlich auf die Ergebnisse der Scans zu verlassen, weshalb Capgemini diesen Service immer mit aktiver Recherche zu neuen Schwachstellen begleitet.

Incident-Detection: Security-Monitoring

Mit der permanenten Überwachung aller Systeme ist das Security-Monitoring der eigentliche Kern-Service eines SOC. Zur permanenten Überwachung und Untersuchung auf unnormales oder unerwartetes Verhalten der IT nutzt Capgemini Sicherheits-Informations- und Ereignis-Management(SIEM)-Systeme. Kunden können die Lösung von Capgemini entweder im Rechenzentrum von Capgemini oder ihrem eigenen nutzen oder ihr eigenes SIEM-System einsetzen.

Für die zielgerichtete Überwachung werden Use-Cases definiert. Sie beschreiben die Vorfälle, die man erkennen möchte. Anschließend werden die Zustände einzelner oder mehrerer Systeme regelbasiert abgefragt und ermittelt, ob ein Use-Case eingetreten ist. Capgemini hat eine große Bibliothek von Use-Cases, woraus die am besten auf die jeweiligen Anforderungen passenden ausgewählt werden können.

Über die Alarmierung bei Eintritt eines Use-Case kann das SOC-Team Attacken mit
moderner Schadsoftware und Zero-Day-Exploits schnell erkennen, analysieren und darauf reagieren. Es prüft die Systeme rund um die Uhr in Bezug auf sicherheitsrelevante Ereignisse, analysiert die Sicherheitsalarme und schützt die Systeme bei Sicherheitsverstößen.

Darüber hinaus koordiniert das SOC-Team die Analyse und die Nachverfolgung eingeleiteter Sicherheitsalarme mit verschiedenen Parteien und Technologieverantwortlichen. Es identifiziert falsch positive Alarme und nutzt sie zur Feineinstellung der SIEM-Regeln.

Incident-Detection: Security-Analytics

Moderne Malware- und Zero-Day-Attacken infizieren Computersysteme innerhalb von Sekunden oder Minuten. Es kann aber Wochen oder Monate dauern, sie aufzuspüren und den Code zu beseitigen. Im Rahmen des Service Security-Analytics werden Alarme analysiert und klassifiziert, ob sie echt oder falsch positiv sind.

Der Service liefert umfassende Informationen über Bedrohungen, so dass Angriffe und unautorisierte Zugriffe schnell erkannt und der Umfang eines möglichen Datenmissbrauchs und das daraus resultierende Geschäftsrisiko eingeschätzt werden können.

Incident-Detection: Governance, Risk & Compliance

Unter Governance, Risk & Compliance (GRC) fällt die koordinierte Sammlung und Aufbereitung aller notwendigen Informationen für die GRC-Prozesse des Kunden. Sie sind vor allem für Rechts- und Revisionsabteilungen relevant, die in bestimmten Ländern die Erfüllung gesetzlicher Vorschriften und allgemein die Einhaltung der internen Richtlinien nachweisen müssen.

Response & Reporting: Incident-Response

Wenn ein Alarm ausgelöst wird und sich als echt erweist, greifen bestimmte Prozesse, um eine Attacke schnell zu bekämpfen und den Schaden zu begrenzen. Diese sogenannten Golden-Hour-Prozesse passt das Capgemini-Team zusammen mit dem Kunden und seinen Dienstleistern individuell an. Gemeinsam definieren sie Maßnahmen zur Bekämpfung der Attacke und Begrenzung des Schadens.

Response & Reporting: Reporting

Neben dem Event-basierten Reporting erstellt das Capgemini-SOC für jeden Kunden regelmäßig einen individuellen Sicherheitsbericht und einen Überblick über aktuelle Gefährdungen und deren Abwehr.

Zukünftige Entwicklung (Roadmap)

Die Capgemini Managed SOC Services werden kontinuierlich weiterentwickelt. Dabei achtet Capgemini darauf, die Sicherheitsfunktionen ohne Kompromisse bei der Zuverlässigkeit so schnell wie möglich an neue Bedrohungen anzupassen. Die Experten von Capgemini sind davon überzeugt, dass sich die Aufgaben des SOC verlagern, von der Überwachung und Analyse zu kontextabhängigen Zusammenhängen und der Vorhersage von Bedrohungen. Deshalb planen wir Services wie:

  • die automatisierte Aufklärung und Abwehr: Capgemini arbeitet an einer im eigenen Haus entwickelten, automatischen Bedrohungsaufklärungsplattform. Diese Plattform nutzt sowohl öffentliche als auch kommerzielle externe Datenquellen sowie eine Früherkennungsarchitektur, die sogenannte Honigtöpfe im Netzwerk des Kunden platziert. Informationen über Angriffe auf die
    Honigtöpfe werden anhand des kundenspezifischen Risikoprofils in den Kontext gesetzt und priorisiert. Das Risikoprofil ergibt sich beispielsweise aus der Branche, dem Standort oder den eingesetzten IT-Systemen des Kunden. Die Plattform erlaubt den Analyseexperten des SOC außerdem, die Angriffe nachzuvollziehen und Informationen aus verschiedenen Quellen für die Suche nach zukünftigen Bedrohungen zu nutzen. Mit diesem Wissen entwickeln wir eine automatisierte Angriffserkennung, die erlaubt, in Zukunft wesentlich schneller zu reagieren.
  • eine Bedrohungserkennung der nächsten Generation: Die SIEM-Technologie entwickelt sich schnell weiter von einer auf Use-Cases basierenden Überwachung zu einer vorhersagenden Analyse. Diese neuen Möglichkeiten werden großen Einfluss auf die Arbeit eines SOC haben. Denn sie verlagern seine Aufgaben von der Konfiguration der Use-Cases zu einer kontextabhängigen, vorhersagenden Analyse von Bedrohungen, basierend auf der Erkennung von menschlichen und maschinellen Verhaltensmustern. Anstatt dem System sagen zu müssen, was es tun soll, werden die SOC-Mitarbeiter in Zukunft dem intelligenten System dabei helfen, Ereignisse zu interpretieren und zu verstehen.
  • lernende Systeme: Die logische Erweiterung von vorhersagenden Analysen sind lernende Systeme. Lernende Systeme haben in den letzten Jahren massive Fortschritte gemacht und machen es möglich, Informationen in Form von natürlicher Sprache in großem Umfang zu sammeln und zu organisieren. Für die Cyber-Sicherheit ist diese Entwicklung relevant, da sie manuelle Arbeitsschritte bei der Vorbeugung und Erkennung deutlich verringern wird und darüber hinaus die Zeit für die Interpretation großer Mengen unstrukturierter Daten erheblich reduziert.

Standorte der Capgemini Managed SOCs

Gegenwärtig unterhält Capgemini verschiedene Dedicated und Multi-Tenant Managed SOCs.

Dedicated Managed SOCs werden nach den Anforderungen des Kunden geplant und exklusiv für ihn betrieben.

Multi-Tenant Managed SOCs werden so geplant, dass sie die Anforderungen möglichst vieler Kunden abdecken, schnell und einfach eingesetzt werden können und Systeme und Personal wirtschaftlich für mehrere Kunden eingesetzt werden können.

Global Security Operation Center

Das Global Security Operation Center (GSOC) wird in Mumbai und Bangalore in Indien betrieben.

Mit mehr als 180 Cybersecurity-Experten ist das GSOC das größte SOC im Capgemini-Verbund.

Das GSOC erbringt alle beschriebenen SOC-Services in englischer Sprache und steht 7 × 24 zur Verfügung.

Kunden können das mandantenfähige SIEM von Capgemini im Rechenzentrum von Capgemini oder im eigenen Rechenzentrum nutzen. Alternativ können sie auch ihr eigenes SIEM einsetzen. Derzeit ist IBM QRadar unsere Standard-Anwendung, Kunden können aber auch andere Produkte nutzen.

Häufig nehmen global operierende Unternehmen die Leistungen des GSOC in Anspruch, bei denen Englisch gesprochen wird und die über viele Länder verteilte Infrastrukturen und Applikationen schützen möchten.

Highlands Security Operation Center

Das Highlands Security Operation Center (HSOC) ist in Inverness in Schottland, Großbritannien, angesiedelt.

Mit mehr als 90 Cybersecurity-Experten ist das HSOC das größte europäische SOC.

Das HSOC erbringt sämtliche beschriebenen SOC-Services in englischer und teilweise in deutscher Sprache und arbeitet rund um die Uhr an sieben Tagen in der Woche.

Kunden können das mandantenfähige SIEM von Capgemini im Rechenzentrum von Capgemini oder im eigenen Rechenzentrum nutzen. Alternativ können sie auch ihr eigenes SIEM einsetzen. Derzeit ist IBM QRadar unsere Standard-Anwendung, Kunden können aber auch andere Produkte nutzen.

Häufig nehmen global operierende Unternehmen die Leistungen des HSOC in Anspruch, bei denen Englisch oder Deutsch gesprochen wird und die ihre IT-Security-Systeme in Europa betreiben möchten.

Asturias Security Operation Center

Das Asturias Security Operation Center steht in Langreo in der Region Asturien in Spanien.

Es ist vergleichsweise klein und konzentriert sich auf Speziallösungen für einzelne Kunden.

Darüber hinaus erbringt das Asturias SOC sämtliche beschriebenen SOC-Services in englischer und spanischer Sprache und arbeitet rund um die Uhr an sieben Tagen in der Woche.

Kunden können das mandantenfähige SIEM von Capgemini im Rechenzentrum von Capgemini oder im eigenen Rechenzentrum nutzen. Alternativ können sie auch ihr eigenes SIEM einsetzen. Derzeit ist IBM QRadar unsere Standard-Anwendung, Kunden können aber auch andere Produkte nutzen.

Häufig nutzen Unternehmen das Asturias SOC, die ihre IT-Security-Systeme in der EU betreiben möchten und sehr individuelle Lösungen benötigen.

Utrecht Security Operation Center

Das SOC in Utrecht befindet sich derzeit im Aufbau. Es erbringt sämtliche beschriebenen SOC-Services in englischer und niederländischer Sprache und arbeitet rund um die Uhr an sieben Tagen in der Woche.

Das SOC in Utrecht arbeitet mit dem ebenfalls im Aufbau befindlichen SOC in Deutschland im Verbund, um bei Störungen uneingeschränkte Einsatzbereitschaft gewährleisten zu können.

Kunden können das mandantenfähige SIEM von Capgemini im Rechenzentrum von Capgemini oder im eigenen Rechenzentrum nutzen. Alternativ können sie auch ihr eigenes SIEM einsetzen. Derzeit ist IBM QRadar unsere Standard-Anwendung, Kunden können aber auch andere Produkte nutzen.

Die Leistungen des SOC in Utrecht werden von Unternehmen in Anspruch genommen, die ihre IT-Security-Systeme in der EU betreiben möchten.

Deutsches Security Operation Center

Das SOC in Deutschland befindet sich derzeit im Aufbau. Es erbringt sämtliche beschriebenen SOC-Services in englischer und deutscher Sprache und arbeitet rund um die Uhr an sieben Tagen in der Woche.

Es arbeitet mit dem ebenfalls im Aufbau befindlichen SOC in den Niederlanden im Verbund, um bei Störungen uneingeschränkte Einsatzbereitschaft gewährleisten zu können.

Kunden können das mandantenfähige SIEM von Capgemini im Rechenzentrum von Capgemini oder im eigenen Rechenzentrum nutzen. Alternativ können sie auch ihr eigenes SIEM einsetzen. Derzeit ist IBM QRadar unsere Standard-Anwendung, Kunden können aber auch andere Produkte nutzen.

Die Leistungen des SOC in Deutschland werden von Unternehmen in Anspruch genommen, die ihre IT-Security-Systeme in der EU betreiben möchten.

Luxemburg Security Operation Center

Das SOC in Luxemburg ist eher klein und konzentriert sich auf Speziallösungen für Finanzdienstleister. Darüber hinaus erbringt es sämtliche beschriebenen SOC-Services in englischer und
französischer Sprache und arbeitet rund um die Uhr an sieben Tagen in der Woche.

Kunden können das mandantenfähige SIEM von Capgemini im Rechenzentrum von Capgemini oder im eigenen Rechenzentrum nutzen. Alternativ können sie auch ihr eigenes SIEM einsetzen. Derzeit ist IBM QRadar unsere Standard-Anwendung, Kunden können aber auch andere Produkte nutzen.

Die Leistungen des SOC in Luxemburg werden von Finanzdienstleistern in Anspruch genommen, die ihre IT-Security-Systeme in der EU betreiben möchten oder müssen.

Toulouse Security Operation Center

Das SOC in Toulouse in Frankreich erbringt sämtliche beschriebenen SOC-Services in englischer und französischer Sprache und arbeitet rund um die Uhr an sieben Tagen in der Woche.

Kunden können das mandantenfähige SIEM von Capgemini im Rechenzentrum von Capgemini oder im eigenen Rechenzentrum nutzen. Alternativ können sie auch ihr eigenes SIEM einsetzen. Derzeit ist IBM QRadar unsere Standard-Anwendung, Kunden können aber auch andere Produkte nutzen.

Häufig nehmen global operierende Unternehmen die Leistungen des SOC in Toulouse in Anspruch, bei denen Englisch oder Französisch gesprochen wird und die ihre IT-Security-Systeme in der EU betreiben möchten.

Dedizierte Security Operation Center

Neben den oben genannten Sicherheitszentren betreibt Capgemini dedizierte SOCs für Kunden auf der ganzen Welt. 2016 haben wir beispielsweise für den Automobilhersteller Renault einen Teil des SOC in Toulouse ausgegliedert und ein separates Sicherheitszentrum aufgebaut, das heute für die Cybersecurity des Renault-Konzerns sorgt.

Individuelle Lösungen

Capgemini legt großen Wert auf seine Fähigkeit, alle Leistungen exakt auf den Bedarf seiner Kunden zuschneiden zu können.

Managed Multi-Tenant SOC

In unseren mandantenfähigen SOCs können unsere Kunden unsere SIEMInfrastruktur und unsere Betriebsprozesse für die Absicherung ihrer IT-Landschaft nutzen. Dabei sorgen unsere Cybersecurity-Experten dafür, dass mögliche Angriffe schnell erkannt und abgewehrt werden können.

Managed Dedicated SOC

Sollte die Nutzung eines Managed Multi-Tenant SOC keine Option sein, kann Capgemini ein Managed Dedicated SOC aufbauen. Dafür implementieren und betreuen wir ein eigenes SIEM-System für den Kunden. Die Analysten, die das System betreuen, stehen in engem Austausch mit unseren anderen IT-Experten in Bezug auf Hintergrundinformationen zu aktuellen Bedrohungen und deren Bekämpfung.

18_0228_Infra_Capgemini...

Dateigröße: 1,53 MB File type: PDF

Related Resources

Künstliche Intelligenz für den Public Sector

An der Schnittstelle von Bürgern, Politik und Technologie birgt künstliche Intelligenz...

M&A Review: Change Management @PMI

Change Management ist ein Erfolgsfaktor für das Gelingen von Post-Merger Integrationen

Entwicklung der Ladeinfrastruktur für Elektrofahrzeuge

Wird es genügend Ladestationen geben, um den Rollout von Elektrofahrzeugen in den nächsten...

cookies.

Mit dem Fortsetzen des Besuchs dieser Website akzeptieren Sie die Verwendung von Cookies.

Für mehr Informationen und zur Änderungen der Cookie-Einstellungen auf Ihrem Computer, lesen Sie bitte Privacy Policy.

Schließen

Cookie Information schließen