Thomas Müller wurde letztes Jahr eines frühen Morgens mit einer dringenden Botschaft geweckt. Der Sicherheitsberater, der mit der deutschen Kompressorfirma Bauer Kompressoren zusammenarbeitet, hatte am italienischen Gardasee Urlaub gemacht, als die Nachricht eintraf. Im Bauer-Netzwerk geschahen seltsame Dinge, und die Meldungen kamen aus einem ungewöhnlichen Land: dem Iran.
Innerhalb weniger Minuten stand Müller mit Bauer-CIO Ronald Michl und Mitgliedern des Managed Security Operations Center in Kontakt. Sie haben die Situation untersucht, das Problem identifiziert und die Bedrohung ausgeschaltet.
Die Ursache des Vorfalls war ein Firmenlaptop, der versehentlich über die iranische Grenze transportiert, abgefangen und von der Grenzkontrolle infiziert wurde. Das verwaltete SOC hatte eine Bedrohungssuche durchgeführt und das Problem bemerkt. Das Asset wurde deaktiviert und eine Untersuchung zum Ausmaß der Bedrohung durchgeführt. Zum Glück gab es keine weiteren Schäden.
Das SOC-Team, das die potenzielle Sicherheitslücke gefunden und behoben hat: Rapid7.
Die ständige Verfügbarkeit des Rapid7 SOC war für die Identifizierung und Behebung des Vorfalls von entscheidender Bedeutung.
„Das war das Wichtigste, dieses SOC und die entsprechenden Services dahinter zu haben“, sagte Michl. „Damit ständig jemand unser System und das Verhalten unseres Systems überwacht … Auch die aktive Abwehr ist für uns sehr wichtig, weil wir wissen, dass jemand eingreift, auch wenn wir nicht erreichbar sind.“
Bauer Kompressoren entwickelt und baut Luftkompressorsysteme für verschiedene Branchen, die Verteidigungsindustrie, das Gesundheitswesen, die Luft- und Raumfahrt und sogar für private Zwecke wie das Tauchen. Es ist ein relativ kleines Unternehmen mit nur etwa 100 Mitarbeitern, welches allerdings auf vielen hochtechnischen Märkten vertreten ist und den Auftrag hat, Technologien bereitzustellen, von denen Leben abhängen.
Wie bei vielen Unternehmen ihrer Größe kam es nicht in Frage, ein 24/7-SOC intern zu besetzen. Das Team wandte sich an die Managed Services-Lösungen von Rapid7, um das "80%-Problem" zu lösen, das sie mit ihrem eigenen kleinen Team von Sicherheitsexperten hatten.
„Wir haben einige Vergleiche angestellt“, so Michl, „aber es war klar, dass wir keine Chance haben, ein eigenes SOC-Team aufzustellen.“ Wir konnten die Leute, die wir brauchten, nicht finden und es ist viel zu teuer. Die einzige Lösung, um diese wichtige Komponente in unsere Sicherheitsarchitektur zu integrieren, besteht darin, dies mit einem Service-Provider zu tun.“
Sie hatten Optionen. Als Mitglied eines 23 Unternehmen umfassenden globalen Bauer-Konzerns – von denen viele andere Service-Anbieter nutzten – erforderte die Auswahl des richtigen Anbieters für Bauer Kompressoren eine gründliche Evaluierung – ganz zu schweigen von der heftigen Konkurrenz, die entstand. Sie waren auf der Suche nach einer Partnerschaft, die die beste Qualität mit dem besten Preis verbindet. Der Partner, der dieses Gleichgewicht am besten gewährleistet, sollte gewinnen.
„Wenn ich ehrlich bin, sind es definitiv die Kosten“, sagte Michl zu den wichtigsten Faktoren bei der Auswahl eines Managed Services-Partners. "Natürlich brauchen wir Qualität und wir müssen sicher sein, dass der Partner, den wir auswählen, ein sehr starker Partner ist. Aber am Ende des Tages ist es, gerade für Unternehmen dieser Größenordnung wie Bauer, immer eine Kostenfrage.“
Zu Beginn der Zusammenarbeit mit Rapid7 benötigte Bauer Kompressoren ein SIEM, das die enormen Datenmengen seines Teams verarbeiten konnte, das Unternehmen jedoch nicht durch die hohen Kosten für Aufnahme und Speicherung überforderte. Angesichts der langen Planungszeiträume und der Möglichkeit, dass im Falle eines Incidents ein erhebliches Datenaufkommen entsteht, war es von größter Bedeutung, einen Partner zu finden, der in der Lage ist, die gesammelten Daten zu verarbeiten, ohne dies kleinteilig zu bepreisen. Die gestaffelten Abonnementpreise von Rapid7 boten die Flexibilität, die Bauer suchte.
"Das war ein Hauptfaktor, denn das war eine unserer wichtigsten Empfehlungen", sagte Müller. „Als wir damals verschiedene SIEM-Anbieter evaluierten, stellten wir fest, dass sie beispielsweise Kostenmodelle für Events pro Sekunde haben, die man nicht langfristig berechnen kann.“
Während Bauer Kompressoren darauf vertraut, dass das SOC von Rapid7 ein geschätzter Partner ist, der in der Lage ist, ihre Assets rund um die Uhr zu schützen, erkannten sie auch den Vorteil, selbst auf die Plattform von Rapid7 zugreifen zu können – ein Vorteil, der bei den Abonnements für Managed Detection & Response von Rapid7 standardmäßig enthalten ist.
Müller berichtete von einem Anwendungsfall, bei dem der Zugriff auf die Rapid7-Plattform die Zusammenarbeit zwischen dem internen Sicherheitsteam und dem SOC von Rapid7 verbesserte. Die beiden könnten zusammenarbeiten, wobei das interne Team den dringend benötigten Kontext über das Personal und die Prioritäten des Unternehmens liefert und so die Fähigkeit von Rapid7 verbessert, Maßnahmen zur Risikoabwehr zu priorisieren.
Die Kunden von Bauer Kompressoren verlassen sich darauf, dass das Unternehmen betriebskritische Komponenten liefert, auf deren Funktionsfähigkeit in den wichtigsten Momenten Verlass ist. Sie liefern ihren Kunden im wahrsten Sinne des Wortes die Luft zum Atmen. Aber wenn es darum geht, Sicherheitslösungen anzubieten, die immer funktionieren, vertraut dieses Unternehmen, wie viele andere, Rapid7.