Großes Österreichisches Unternehmen

Automatische Bearbeitung von IT-Security Vorfällen

Herausforderung

  • IT-Security Vorfälle werden von hochbezahlten Spezialisten manuell bearbeitet.
  • Experten verbringen viel Zeit mit copy-paste Arbeit.

Lösung

  • Automatisierung von 80% der Prozessschritte für zwei häufige IT Security Vorfälle: data breach und phishing E-Mails.

Ergebnis

  • Bis zu 4 Stunden Zeitersparnis pro Woche für hochbezahlte IT-Security Experten.
  • Schnellere und fehlerfreie Bearbeitung von data breach und phishing E-Mail Vorfällen.

Was wurde automatisiert?

Phising

Anbindung von Cloudomation an eine Office365 E-Mail-Inbox, an welche Phishing- und andere Schadens-E-Mails von den über 1000 Mitarbeiter*innen des Kunden gemeldet werden. Cloudomation überwacht die Inbox kontinuierlich. Durch Einlangen eines E-Mails wird der automatische Prozess angestoßen. Cloudomation extrahiert alle Links und Anhänge aus dem E-Mail, überträgt Links und Anhänge an zwei Analyse-Tools: JoeSandbox sowie VirusTotal. Unternehmensweit werden die Office365 E-Mail Eingänge aller Mitarbeiter*innen nach E-Mails mit dem gleichen Betreff oder Inhalt durchsucht. Ein Ticket im Redmine Ticketing-System wird automatisch angelegt und einem IT-Security-Spezialisten zugewiesen.

Data Breach

Kunde abonniert zwei Services, die internationale Data Breaches überwachen und Informationen über Data Breaches an Ihre Kunden liefern: Have I Been Pawned (HIBP) und Spycloud. Have I Been Pawned und Spycloud senden Benachrichtungen über Data Breaches per E-Mail an Kunden. Dadurch wird der automatische Prozess in Cloudomation ausgelöst. Betroffene Mails werden identifiziert, ein Ticket angelegt und einem IT-Security-Spezialisten zugewiesen.

Alle Details zur Automatisierung

  1. Phishing-E-Mail Vorfälle:

    1. Anbindung von Cloudomation an eine Office365 E-Mail-Inbox, an welche Phishing- und andere Schadens-E-Mails von den über 1000 Mitarbeiter*innen des Kunden gemeldet werden. Cloudomation überwacht die Inbox kontinuierlich. Durch Einlangen eines E-Mails wird der automatische Prozess angestoßen.
    2. Cloudomation extrahiert alle Links und Anhänge aus dem E-Mail.
    3. Cloudomation überträgt Links und Anhänge an zwei Analyse-Tools: JoeSandbox sowie VirusTotal. 
    4. Cloudomation durchsucht unternehmensweit die Office365 E-Mail Eingänge aller Mitarbeiter*innen nach E-Mails mit dem gleichen Betreff oder Inhalt und identifiziert so weitere Emfänger der Schadens-E-Mail.
    5. Cloudomation legt ein Ticket im Redmine Ticketing-System an. Im Ticket dokumentiert Cloudomation:
      1. Das E-Mail selbst und die Person, die das E-Mail gemeldet hat.
      2. Die Analyse-Ergebnisse von JoeSandbox und VirusTotal.
      3. Alle weiteren Emfänger der E-Mails, die identifiziert wurden.
    6. Cloudomation weist das Ticket zur weiteren Bearbeitung einem IT-Security-Spezialisten zu. Dieser entscheidet mit seinem Expertenwissen, wie weiter vorzugehen ist. Damit konzentrieren sich die IT-Security-Spezialisten auf Tätigkeit, die Ihre Expertise und Ihr Fachwissen erfordert. Alle notwendigen Informationen werden automatisiert zur Verfügung gestellt. 

    Data Breach Vorfälle:

    1. Kunde abonniert zwei Services, die internationale Data Breaches überwachen und Informationen über Data Breaches an Ihre Kunden liefern: Have I Been Pawned (HIBP) und Spycloud.
    2. Have I Been Pawned und Spycloud senden Benachrichtungen über Data Breaches per E-Mail an Kunden. Dadurch wird der automatische Prozess in Cloudomation ausgelöst.
    3. Cloudomation liest die Informationen über Data Breaches aus:
      1. Have I Been Pawned: csv mit Daten werden heruntergeladen und von Cloudomation verarbeitet.
      2. Spycloud: Daten werden über API ausgelesen.
    4. Die Daten beider Services werden nach Domain Namen des Kunden durchsucht, um betroffene E-Mail Adressen zu identifizieren.
    5. Daten werden mit  Active Directory Datenbank des Kunden verglichen, um Benutzernamen von Mitarbeiter*innen zu identifizieren.
    6.  Im Redmine Ticketing-System wird ein Ticket angelegt. Die Data Breach Reportts von Have I Been Pawned und Spycloud werden angehängt. Die Ergebnisse der Suche werden ebenfalls im Ticket dokumentiert. 
    7. Cloudomation weist das Ticket zur weiteren Bearbeitung einem IT-Security-Spezialisten zu. Dieser entscheidet mit seinem Expertenwissen, wie weiter vorzugehen ist. Damit konzentrieren sich die IT-Security-Spezialisten auf Tätigkeit, die Ihre Expertise und Ihr Fachwissen erfordert. Alle notwendigen Informationen werden automatisiert zur Verfügung gestellt. 

Wie haben wir die Automatisierung entwickelt?

Cloudomation wurde on-premise beim Kunden installiert. Nach einer halbtätigen Einschulung übernahm der Kunde selbst Betrieb und Wartung der Plattform, sowie die Entwicklung von Flow-Skripten. Expert*innen von Cloudomation unterstützen bei Bedarf bei konkreten Fragen.

Was sind die nächsten Schritte?

  • Teil-automatisierung weiterer IT-Security Prozesse, die derzeit händisch durchgeführt werden.
  • Erweiterung der automatischen Prozesse um Schritte, die standardisiert werden können wie z.B. automatishes Löschen von Schadens-E-Mails aus den Inboxen aller Mitarbeiter*innen.

Entdecken Sie Ihr neues Platform-Engineering-Tool

Optimieren Sie Ihre Abläufe, optimieren Sie die Zusammenarbeit, und liefern Sie schneller. Lassen Sie uns besprechen, wie unsere Plattform Ihnen helfen kann, Herausforderungen zu meistern und Ihre Ziele zu erreichen.

Erstgespräch buchen