So lösen wir Herausforderungen in der Praxis

Für eine sichere und stabile Energieversorgung:

Zentrale SIEM-Lösung schützt kritische Energie-Infrastruktur

Im Bereich Energiewirtschaft unterstützen wir einen der führenden Energieversorger sowie dessen Verteilnetzbetreiber des konzernweiten Beschaffungsnetzwerks. Für einen der Verteilnetzbetreiber sind wir bereits seit vielen Jahren tätig und konnten den Kunden im Splunk Kontext vollumfänglich begleiten. Nun standen der Konzern und dessen Verteilnetzbetreiber vor der Herausforderung, die Sicherheit ihrer weitverzweigten IT-Infrastruktur, insbesondere der kritischen Steuerungsnetze der Energieversorgung, zentral zu überwachen und zu verbessern. 

Unterschiedliche Datenquellen und Sicherheitsinfrastrukturen sowie die Notwendigkeit einer klaren Incident-Zuordnung und einer konsistenten Bedrohungserkennung stellten dabei besondere Anforderungen an die Implementierung eines zentralen Security Information and Event Management (SIEM) Systems. Zudem war die kontinuierliche Überwachung der Datenqualität und des Datenflusses essenziell, um die Verlässlichkeit der SIEM Use Cases und eine einheitliche Sicht auf die Sicherheitslage zu gewährleisten. Ziel war es außerdem, die Zusammenarbeit mit dem zuständigen CERT und dem Verteilnetzbetreiber zu optimieren.

Unsere Lösung

Bereits seit 2023 betreibt der Konzern ein zentrales SIEM mit Splunk Enterprise Security für alle zugehörigen Standorte und die Anbindung an den Verteilnetzbetreiber. Diese leiten ihre Daten an die Umgebung des zuständigen CERT weiter. Aufgrund unserer langjährigen und guten Zusammenarbeit mit einem der Verteilnetzbetreiber und auf dessen Empfehlung dürfen wir auch das SIEM-Projekt auf Konzernebene weiter vorantreiben.

Eine der Hauptaufgaben im SIEM-Projekt ist die Identifikation und Umsetzung relevanter Use Cases, die idealerweise für den Großteil der Standorte gleichermaßen relevant sind. Hierbei nutzen wir insbesondere ESCU Content. Aufgrund der entwickelten Namenskonvention für Indizes werden Use Cases so adaptiert, dass dedizierte Notable Events für jeden Standort erzeugt werden können und eine eindeutige Zuordnung der Incidents möglich ist. Darüber hinaus setzen wir auch individuelle Use Cases für einzelne Standorte um.

Neben der Use-Case-Entwicklung umfassen unsere Leistungen:

  • Unterstützung beim Betrieb und der Weiterentwicklung der Splunk Umgebung.
  • Anbindung und Normalisierung von Datenquellen, insbesondere aus den sensiblen Steuerungsnetzen der Energieversorgung.
  • Entwicklung von Reports, Dashboards und Alerts zur schnellen Erkennung von Sicherheitsvorfällen.
  • Einrichtung und Betrieb von IT Service Intelligence (ITSI).
  • Kontinuierliche Überwachung der Suchperformance, des Schedulers und der CIM-Konformität der Datenquellen.
  • Audit der Datenmodelle zur Sicherstellung der Datenqualität.
  • Entwicklung einer automatisierten Überprüfung aktiver ES Use Cases.
  • Aufbau eines Monitorings zur Überwachung des Datenflusses, der Indizierungslatenzen und der Datenqualität.

Ergebnis

Durch den Betrieb und die Weiterentwicklung des zentralen SIEM mit Splunk Enterprise Security konnte der Energiekonzern eine einheitliche und effiziente Sicherheitsüberwachung für alle Standorte und die Anbindung an den Verteilnetzbetreiber realisieren. Die zentrale Datenerfassung und -analyse ermöglicht eine konsolidierte Sicht auf die Sicherheitslage und optimiert die Zusammenarbeit mit dem zuständigen CERT und den Verteilnetzbetreibern. Die entwickelte Lösung zur eindeutigen Incident-Zuordnung und die Verwendung von ESCU Content in Kombination mit individuellen Anpassungen gewährleisten eine effektive Bedrohungserkennung und eine schnelle Reaktion auf Sicherheitsvorfälle. Die kontinuierlichen Überwachungs- und Optimierungsmaßnahmen tragen zur nachhaltigen Verbesserung der Sicherheitsinfrastruktur bei.

< Zurück zu den Referenzen
fernao.com | Insights | Referenzen | Splunk: Energiewirtschaft