KI Security

ED&F Man setzt auf KI-gestützte Bedrohungserkennung von Vectra

, München, Vectra | Autor: Herbert Wieler

ED&F Man setzt auf KI-gestützte Bedrohungserkennung von Vectra

Konsequente Sicherheitsintegration und -automatisierung

Vectra, Anbieter einer Plattform für Cyber Security auf Basis künstlicher Intelligenz, berichtet von einem europäischen Neukunden. Die ED&F Man Holdings handelt seit Ende des 17. Jahrhunderts mit Zucker, Kaffee, Melasse und Tierfutter. Das Unternehmen bezieht, lagert, versendet und vertreibt landwirtschaftliche Produkte auf der ganzen Welt. Darüber hinaus unterstützt es Kunden und Lieferanten beim Management von Preisrisiken durch Hedging und fungiert als Broker für Hedgefonds und professionelle Händler.

Vor einigen Jahren war ein Sicherheitsvorfall im Unternehmen der Weckruf für die zunehmende Gefahr durch Cyberangriffe. Eine unabhängige Bewertung ergab, dass das Unternehmen seine Cybersicherheitsanstrengungen, einschließlich Prozessen, Tools und personellen Ressourcen, deutlich intensivieren musste. ED&F hat in Folge eine komplette Sicherheitstransformation durchgeführt.

Konsequente Sicherheitsintegration und -automatisierung ermöglichen es dem Handelsunternehmen für landwirtschaftliche Rohstoffe, Cyberangriffe schneller zu erkennen und zu stoppen

Carmelo Gallo übernahm die Leitung der Cybersicherheit und Milos Pesic kam als Spezialist für Cybersicherheit an Bord. Gemeinsam schützen sie seitdem die Aktivitäten des auf rund 10 Milliarden Euro notierten Unternehmens, das in 60 Ländern präsent ist. Die Fokussierung auf die Sicherheitstechnologie, Integration und Automatisierung der nächsten Generation hat den Sicherheitsreifegrad des Unternehmens rasant beschleunigt.

Einblicke in versteckte Bedrohungen

Cognito, die KI-gestützte Threat-Detection-and-Response-Plattform von Vectra, war eine Grundlage für die Transformation der Cybersicherheit im Unternehmen.

„Cognito war der Schlüssel zu unserer Transformation“, so Gallo. „Wir haben mit dem Netzwerk angefangen, weil Cognito einfach zu installieren ist und wir sofortigen Einblick in das Verhalten von Angreifern erhalten, die sich im Datenverkehr verstecken.“ Die Cognito-Plattform sammelt und speichert die richtigen Netzwerk-Metadaten und reichert sie mit einzigartigen Sicherheitsinformationen an. Cognito Detect verwendet sicherheitsangereicherte Metadaten und ausgefeilte maschinelle Lerntechniken, um Angriffe in Echtzeit zu erkennen und zu priorisieren. Die hohe Zuverlässigkeit von Cognito bedeutet, dass das ED&F-Sicherheitsteam mehr Vertrauen in Warnmeldungen hat und eine geringere Anzahl von Vorfällen mit hoher Priorität untersucht werden muss.

„Früher bekamen wir 200 Alarme pro Woche“, sagt Pesic. „Mit Cognito haben wir vier oder fünf im Monat.“ ED&F fügte bald Cognito Recall für die KI-unterstützte Bedrohungssuche hinzu. „Wenn wir von Cognito Detect einen Alarm erhalten, gehen wir direkt zu Cognito Recall und schauen uns die Metadaten an, um zu sehen, wie sich der Host verhält“, erklärt Pesic.

Integration rationalisiert den Betrieb

Die Automatisierung und Integration von Sicherheitsfunktionen sorgte für betriebliche Effizienz und verbesserte die Benutzerfreundlichkeit. ED&F führte auch die neueste Generation der Endpunkterkennung und -reaktion ein und integrierte seine Erkenntnisse einfach über die Cognito REST-API. „Die Integration verlief reibungslos“, sagt Pesic. „Vorher dauerte es mehr als eine Stunde, die IP-Adresse mit einem Hostnamen und einem Benutzernamen zu korrelieren. Jetzt ist dies in wenigen Minuten erledigt.“

Kritische Warnmeldungen von Cognito Detect werden direkt an den Managed-SOC-Provider weitergeleitet, wodurch sichergestellt wird, dass Sicherheitsteams auf drei Kontinenten mit einer einzigen „Quelle der Wahrheit“ arbeiten. Durch den Einsatz der SOC-Sichtbarkeitstriade aus Netzwerkerkennung und -reaktion, Endpunkterkennung und -reaktion sowie SIEM wird ein umfassender Einblick in die Bedrohungshistorie ermöglicht. Die Wahrscheinlichkeit, dass Angreifer das Netzwerk lange genug nutzen können, um ihre Ziele zu erreichen, wird auf diese Weise deutlich reduziert.

Automatisierung und Integration ermöglichen es dem Sicherheitsteam, ohne zusätzlichen Personalaufwand zu skalieren. „Automatisierung ist der Weg nach vorne“, sagt Gallo. „Die Automatisierung sich wiederholender, einfacher Aufgaben hilft auch bei der Mitarbeiterbindung, da wir diese Menschen dann für interessantere Aufgaben einsetzen können.“

Identifizierung bekannter und unbekannter Bedrohungen

Mit Cognito kann ED&F Bedrohungen in seiner globalen Umgebung, darunter 140 Büros und mehrere Rechenzentren, schnell erkennen. Cognito hat bereits mehrere Man-in-the-Middle-Angriffe, die auf Rechnungsbetrug abzielten, erkannt und gestoppt, ebenso wie ein hinterhältiges Cryptomining-Programm in Asien. Es fand Command-and-Control-Malware, die sich seit mehreren Jahren im Netzwerk versteckt hielt.

„Mit Cognito haben wir die Command-and-Control-Malware gefunden“, so Pesic. „Die signaturbasierte Sicherheitslösung hätte sie nicht erkannt.“ Cognito war auch der Schlüssel zur Identifizierung riskanter Mitarbeiteraktionen, wie z.B. die Verwendung nicht zugelassener Fernsteuerungssoftware oder die Speicherung von Dateien in Public-Cloud-Services.

„Cognito liefert uns aussagekräftige Informationen über das Angreiferverhalten bei Datenexfiltration“, erläutert Pesic. „Es würde einen Tag dauern, dies mit Hilfe von Firewall-Protokollen zu finden, und das ist ein nicht akzeptabler Zeitrahmen.“ Daten aus der Praxis machen Cybersicherheitstrainings praxisrelevanter. „Wenn wir in einem bestimmten Monat mehr Ransomware- oder Man-in-the-Middle-Angriffe beobachten, können wir mehr Schulungen zu diesem Thema durchführen“, sagt Gallo.

Das ED&F-Sicherheitsteam ist so zum vertrauenswürdigen Partner für die Geschäftsabteilungen geworden. Mit einem frischen Ansatz haben Gallo und Pesic die Wahrnehmung der IT-Sicherheit als Hindernis umgekehrt. „Ich kann mich nicht erinnern, wann wir das letzte Mal Nein zu einem Geschäftsprozess gesagt haben“, sagt Gallo. „Wir sagen nur, hier ist das Risiko, und hier ist die Lösung, mit der Sie das Risiko mindern können. Wir wollen bösartige Aktivitäten stoppen, aber nicht das Geschäft.“ Diese Philosophie hat sich ausgezahlt.

Kontrolle über privilegierte Konten

Transformation ist eine Reise, und ED&F entwickelt seine Sicherheitsmaßnahmen weiter. Privilegierte Nutzerkonten sind ebenfalls ein gängiger Einstiegspunkt für Cyberangreifer. Das Sicherheitsteam beschäftigt sich daher gerade mit der neuen Suite von Privileged Access Analytics (PAA)-Erkennungsmodellen in Cognito, die die Interaktionen zwischen Benutzerkonten, Diensten und Hosts überwacht. „Privileged Access Analytics gibt uns einen kontinuierlichen Überblick über die Konten, Dienste und Hosts, die für mich am wertvollsten sind“, sagt Pesic. „Wir können das Verhalten jedes Einzelnen leicht überprüfen, um zu sehen, ob er ein signifikantes Risiko für unser Unternehmen darstellt.“

Gallo ist erfreut über die Art der Zusammenarbeit mit Vectra. „Meine Erfahrung in der Zusammenarbeit mit IT-Anbietern war bislang, dass sie vom Verkaufszyklus bestimmt wird“, sagt Gallo. „Vectra führt vierteljährlich eine Analyse durch und gibt uns Zugang zu den richtigen Ansprechpartnern, um sicherzustellen, dass unsere Transformation ein Erfolg wird“, fährt er fort und fügt hinzu: „Vectra legt großen Wert darauf, den Kunden in den Mittelpunkt zu stellen.“