Case Study

OhioHealth beschleunigt Incident-Untersuchungen mit Echtzeit-Datenanalysen

Kurzfassung

OhioHealth wurde 1891 gegründet und ist eine gemeinnützige Gesundheitsorganisation mit 28.000 Mitarbeitern, Ärzten und Freiwilligen sowie einem Netzwerk aus 11 Krankenhäusern, mehr als 50 ambulanten Einrichtungen, Hospizen, Einrichtungen zur häuslichen Pflege, medizinischen Geräten und weiteren Services aus dem Gesundheitswesen in einem 40 Landkreise umfassenden Gebiet. OhioHealth setzt auf eine vernetzte Umgebung, um einen nahtlosen und sicheren Zugang zu Patientenakten, Telemedizin und anderen Gesundheitsdiensten zu ermöglichen. Seit dem Einsatz von Splunk Enterprise konnte das Unternehmen Vorteile verbuchen, darunter:

  • Schnellere Incident-Untersuchungen
  • Einsparungen von ca. 5.000 USD pro Phishing-Sitzung
  • Vermeidung von jährlichen Kosten in Höhe bis zu 30.000 US-Dollar für die Wartung von Active Directory-Audit-Software
SPLUNK-PRODUKTE
Splunk Enterprise
Splunk Enterprise Security
SPLUNK SOLUTION AREAS
IT Operations
Security
Herausforderungen
    • Geringe Integration zwischen den aktuellen Sicherheitstools
    • Schwierige Ad-hoc-Analyse
    • Fehlende Fähigkeit zum Sammeln und Korrelieren unterschiedlicher Sicherheitsdaten
    • Wunsch nach dem Aufbau eines branchenführenden Sicherheitsprogramms
Auswirkungen für das Unternehmen
    • Möglichkeit zu plattformübergreifender Sicherheitskorrelation und -analyse
    • Schnellere Untersuchung von Incidents
    • Automatisierte Metriken und Datenanalys in Echtzeit
    • Einsparungen von ca. 5.000 USD pro Phishing-Sitzung
    • Vermeidung von bis zu 30.000 USD an Kosten pro Jahr für die Wartung von Active Directory-Überwachungssoftware
    • Erwartete Einsparungen durch Wegfall von Lizenzgebühren für die bisherige SIEM-Lösung
Datenquellen
    • Firewall- und Domänencontroller-Logs
    • Switches, Router und andere Netzwerkgeräte
    • Antivirensysteme für Endpunkte
    • Vulnerability Scanner
    • Apache Webserver-Zugriffs-Logs
    • Logs der Datenverlust-Verhinderung

Warum Splunk?

Das Gesundheitsnetzwerk verfügt über zahlreiche Soft- und Hardware-Tools zum Schutz seiner IT-Umgebung, darunter Firewalls, DLP-Software (Data Loss Prevention), Vulnerability Scanner, Active Directory-Domänencontroller, Viren- und Malwareschutz sowie eine SIEM-Lösung (Security Information and Event Management). Zwar sind diese Tools jedes für sich wirksam, es gibt aber wenig Integration zwischen ihnen, was die Ad-hoc-Analyse zu einer Herausforderung macht und wenig Möglichkeiten bietet, aus verschiedenen Quellen stammende Sicherheitsdaten zu aggregieren und zu korrelieren. OhioHealth suchte eine Lösung, die über Datensilos hinweg funktioniert, um Sicherheitstools zu konsolidieren, ein branchenführendes Sicherheitsprogramm aufzubauen und eine einfache Möglichkeit zur Kommunikation potenzieller Risiken für das Unternehmen zu bieten.

Das Security Operations-Team von OhioHealth setzte Splunk Enterprise ein und installierte Splunk Forwarder auf allen Firewalls, Domänencontrollern, Switches und anderen Geräten. Splunk-Forwarder bieten eine zuverlässige und sichere Erfassung und Übermittlung von Daten an die Splunk-Plattform zur Indizierung, Speicherung und Analyse. Sobald Logs und andere Daten in Splunk Enterprise einzufließen begannen, nutzte das Team die Lösung, um seine Infrastruktur besser zu schützen und die Einhaltung von HIPAA und anderen Anforderungen sicherzustellen. Die Splunk-Software hat dazu beigetragen, die Untersuchung von Incidents zu beschleunigen, die Event-Korrelation zu verbessern und automatisierte Datenanalysen in Echtzeit bereitzustellen.

"Unser SIEM war nur ein SIEM, während Splunk eine Datenanalyseplattform mit SIEM-Funktion ist. Insbesondere, wenn wir uns durch Logs graben oder uns Internetnutzungsberichte ansehen müssen, geht es mit Splunk Enterprise einfach viel schneller. Wir können jede Frage stellen und mit den richtigen Daten eine Antwort mit der Splunk-Software geben. Wenn es um die Erkennung von Anomalien geht, erreichen wir mit Splunk Enterprise Security genau das."



Manager, Infrastructure Technologies, OhioHealth

Sensibilisierung für Phishing und Risikoentschärfung

OhioHealth hat Services evaluiert, um Überprüfungen auf Phishing in seinem Gesundheitsnetzwerk durchzuführen. Die Sicherheitsgruppe zog die Beauftragung eines Dienstleisters in Erwägung, der 5.000 USD pro Phishing-Testsitzung gekostet hätte. Stattdessen wurde ein interner Phishing-Webserver an Splunk Enterprise gebunden und ein einfaches Skript erstellt, das Phishing-E-Mails an 700 zufällig ausgewählte Empfänger im gesamten OhioHealth-Netzwerk sendet. Nach monatelangen Tests führte das Team eine Live-Demo für das obere Management durch, bei der die Ergebnisse über Splunk-Dashboards in Echtzeit angezeigt wurden. Es ließ sich genau ablesen, wer auf die E-Mail geklickt hat – und wären die Phishing-E-Mails echt gewesen, hätte dies zu einer möglichen Infektion oder gestohlenen Anmeldeinformationen geführt.

"Die Splunk-Live-Demo hat das Bewusstsein unserer Führungskräfte für die Bedeutung von Risikoanalyse und -entschärfung geschärft", sagt der Manager für Infrastrukturtechnologien bei OhioHealth. "Splunk hat uns nicht nur geholfen, unser eigenes Phishing-Testsystem zu entwickeln, sondern wir sparen auch das Geld, das wir für einen externen Dienstleister eingeplant hatten".

Große Einsparungen bei Active Directory-Audits

Bei der Implementierung eines neuen biometrischen Zugangssystems für OhioHealth-Mediziner und andere Kliniker wurden versehentlich kritische Benutzerblöcke aus dem Active Directory gelöscht. Während das Implementierungsteam die Benutzer schließlich wiederherstellen konnte, blieb die Ursache der Löschungen unbekannt. "Wir haben uns für eine führende Sicherheits- und Compliance-Lösung entschieden, aber wir haben erkannt, dass sie nicht genau das ist, was wir brauchen, und sie hätte uns etwa 30.000 USD pro Jahr gekostet", sagt der Manager. "Wir brauchten eine Möglichkeit, unsere Active Directory-Dienste zu überprüfen und festzustellen, was wann passiert ist. Wir entdeckten, dass wir das System mit Splunk Enterprise erstellen können, praktisch kostenlos."

Durch den Einsatz von Splunk-Forwardern auf jedem Domänencontroller, die Informationen von diesen Geräten sammeln und sie sicher und zuverlässig zur Analyse an die zentrale Splunk-Instanz senden, konnte die Security Operations-Gruppe die gesamte Active Directory-Gesamtstruktur in Echtzeit überwachen, einschließlich aller Änderungen an Verzeichnissen und Benutzerkonten. Als das gleiche Zugriffsproblem erneut auftrat, konnte das Team dank Splunk die Ursache des Problems innerhalb weniger Minuten finden.

Tieferer Einblick in den Netzwerkbetrieb

Die OhioHealth-Netzwerkgruppe sendet Logdaten von allen Routern und Switches für die Indizierung in Splunk Enterprise. Die Gruppe wurde sofort mit einem weitaus tieferen Einblick in den Netzwerkbetrieb belohnt. Alle unentdeckten Betriebsdetails – wie z. B. deaktivierte Lüfter – sind nun leicht zu erkennen und zu korrigieren. Die Netzwerkgruppe plant, die Splunk-Lösung als Teil ihres NOC (Network Operations Center) der nächsten Generation einzusetzen. OhioHealth plant auch, seine SIEM-Lösung durch Splunk Enterprise Security zu ersetzen, das standardmäßig Vorfallsüberprüfung und -klassifizierung, Berichte und Sicherheitsmetriken, risikobasierte Analysen, ein Threat Intelligence Framework, einen einheitlichen Sucheditor, statistische Analysen und flexible Dashboards bietet.

UNTERNEHMEN
UNTERNEHMEN
PRODUKTE
PRODUKTE
SITES
SITES
KONTAKT
KONTAKT
SPLUNK-MOBILE-APPS
SPLUNK-MOBILE-APPS
SPLUNK-MOBILE-APPS SPLUNK-MOBILE-APPS
SPLUNK-MOBILE-APPS SPLUNK-MOBILE-APPS


© 2005 - 2022 Splunk Inc. All rights reserved.

Lizenzbedingungen
Datenschutz
Sitemap
Nutzungsbedingungen