Case Study: ERP-Hersteller update texware setzt Flowmon für Network Detection and Response ein

Cyberkriminelle zielen beson­ders auf Software-Her­steller ab, um damit auch Zugriff auf deren Kunden zu er­langen. Das zeigten promi­nente Fälle wie Solar­Winds oder Last­pass. update texware, ERP-Anbieter für die Textil­indu­strie, baut mit Pro­gress Flowmon solchen An­griffen vor und über­wacht das Netzwerk auf ver­dächtige Aktivitäten.

Schutzmaßnahmen sind bei texware seit Jahren in Betrieb: Neben der obligatorischen Firewall zählen dazu Server- und Client-seitige Security-Plattformen. Mit der Einführung einer Lösung  für Network Detection and Response (NDR) wie Flowmon wollte man tiefere Einblicke in die Netzwerk­kommuni­kation erhalten, um in ihr gezielter nach Anomalien suchen zu können.

Anforderungen

Doch es gab auch Hürden, die das Unternehmen erst nehmen musste, wie CEO Dr. Michael Schiffmann sich erinnert:

"Wie alle Mittelständler hat natürlich auch update texware ein­ge­schränkte Budgets. Hinzu kommt der all­gegen­wärtig chro­nische Mangel an dedi­zierten Security Engineers, die sich rund um die Uhr um die Gefahren­prävention und -abwehr kümmern können. Die Implemen­tierung einer starken und automa­tisierten NDR-Lösung sollte daher möglichst einfach von­statten­­gehen."

Angesichts der limitierten Zeitressourcen in der IT-Abteilung bestand eine Bedingung bei der Wahl der NDR-Lösung darin, dass sich die Überwachung für die Zeit automatisieren lässt, in der kein manuelles Monitoring stattfindet.

NDR nutzt mehrere Techniken, um den Netzwerk-Traffic zu analysieren.

Und zu guter Letzt war es nötig, dass die neue NDR-Lösung auch Whitelists für alternierende Exchange-Server und gegebenenfalls für Cloud-Lösungen weiterer Hersteller ohne manuelles Eingreifen auf dem neuesten Stand hält.

Umsetzung

Die praktische Implementierung lief schließlich in zwei Phasen ab: einer Testphase und dem finalen Ausrollen auf dem Live-System.

Um den IT-Experten bei update texware zunächst ein Gefühl für die neue NDR-Lösung und dessen Nutzung zu vermitteln, stellte Progress eine vorkonfi­gurierte Hardware für Testzwecke zur Verfügung. Das Proof of Concept fand über mehrere Wochen statt.

Ziel der durch Progress intensiv betreuten Testphase war es, die für update texware wichtigen Eigenschaften und Funktionen der NDR-Lösung herauszufinden und sie richtig zu konfigurieren. Gleichzeitig arbeiteten Engineers beider Unternehmen an der Realisierung von Sonderwünschen für update texware, die vor dem produktiven Einsatz umgesetzt werden mussten.

Ergebnis

Die Projektphase beanspruchte von den ersten Tests bis zum Go-live lediglich drei Monate. An beiden Standorten des mittelständischen Unternehmens ist Flowmon bereits implementiert und überwacht dort den Zugriff auf das Internet und sichert die IT-Infrastruktur außerhalb der Geschäftszeiten durch automatisiertes Sperren der Kommunikation im Falle eines Angriffsverdachts

Während der Dienstzeit der internen IT-Experten gibt die NDR-Lösung bei allen verdächtigen Netz­werk­aktivitäten eine Warnung aus, etwa wenn es ungewöhnliche Dateien auf Client-Geräten erkennt oder Daten vom Server abfließen.

Erkennung von Anomalien in Abhängigkeit von einer Veränderung bei der Anzahl der erfassten TCP-Verbindungen.

Flowmon meldet oder blockiert auch Zugriffe über ungewöhnliche Ports. Viele dieser Vorgänge werden zukünftig automatisiert ablaufen, doch die künstliche Intelligenz der NDR-Lösung muss erst im Live-Betrieb lernen. Auch das ist eine Arbeit, mit der das Team von update texware parallel zum Betrieb unter realen Bedingungen begonnen hat.

"Zukünftig werden wir definitiv unsere Nutzung der NDR-Lösung deutlich ausbauen: Langfristig streben wir an, das weitreichende Funktionsportfolio von Flowmon vollständig auszuschöpfen", erklärt Dr. Michael Schiffmann.

Vorteile von Flowmon

Flowmon von Progress bietet neben der Anomalie-Erkennung in der Netzwerk­kommu­nikation und den automatisierten Schutzmaßnahmen noch weitere Vorteile, ohne überladen zu wirken.

Dazu zählt die interne Netzwerküberwachung, die spätestens dann wichtig wird, wenn ein Account gehackt werden sollte, sowie das Network Performance Monitoring, mit dem sich Gründe für eine schwache Netzwerkleistung von Anwendungen herausfinden lassen.

Sie können die Software in einer kostenlosen Online-Demo ausprobieren »

*Dies ist ein bezahlter Beitrag von Progress Software

Source link

Loading...