Die Evaluation verschiedenen Anbieter von Deception Technologien, die Analyse deren Anwendung für ein MSSP sowie das Aufbau eines Proof of Concept

AI Quick Summary

Das Ziel dieser Arbeit besteht darin, anhand der qualitativ und quantitativ guten Analyse, die Empfehlung abzugeben, ob die Integration der Technologie ins Portfolio passen würde. Es wird der theoretische Vergleich von bis auf 5 Anbieter gemacht und ein Proof of concept mit einem Anbieter aufgebaut. Zusätzlich kann ein Breach und Attack Simulation Tool oder ein manueller Red teaming/PenTest Einsatz benutzt werden, um die Effizienz der aufgebauten Umgebung besser einschätzen zu können. MotivationSwisscom evaluiert regelmässig Technologien im Cyber Security Detection Bereich um die nächsten sinnvollen Schritte für die Erweiterung des Portfolios von Threat Detection und Response (TDR) zu definieren gemäss der Strategie.HintergrundDeception Technologien bauen sich auf schon früher gut bekannten Honeypots mit Erweiterung im Sinne von sogenannten Decoys, Lures und Honeytokens. Zurzeit unterstützt TDR das Portfolio von NDR, EDR Lösungen sowie integriert weiteren Systemen in die Log Analyse und Korrelation. Es gab einige Anmerkungen für die Interesse an dieser Technologie an der Schweizer Markt, welche wir gerne untersuchen wollen. Fragestellung· Welche zusätzlichen Vorteile würde die Einführung dieser Technologie im Angebot von TDR bringen?· Welchen Aspekten dieser Technologie stellen Herausforderung für einen MSSP dar?· Welche Anbieter (bis auf 5) am Markt sind interessant, welche 1-2 Anbieter entsprechen der Erwartungen der Swisscom als MSSP?· Wie sehen der Aufbau und Betriebsaufwände aus?MethodenDie Identifikation und Spezifizierung der Anforderungen und AuswahlskriterienDer theoretische Vergleich nach Vendor (damit ist das Assessment anhand der Informationen im Internet gemeint; ein RFP ist out of scope)Die Spezifikation des Testing Plans für eine ImplementierungDas Durchführen eines PoCs und der Aufbau der Infrastruktur inklusiv die Spezifikation und Architektur einer Integration ins Splunk und SOARDie Benutzung eines Breach and Attack Simulation Tool oder eines manuellen Red teaming/PenTest Einsatz, um das PoC zu verifizierenDie Formulierung der Empfehlungen an Swisscom und die Definition der nächsten Schritte: welche Vorteile würde die Integration ins Portfolio dem Swisscom MSSP bringen? Welcher Aufwand pro Aufbau und Betrieb ist zu erwarten? Welche Skills und Trainings sollte Betrieb haben und aufbauen? Welche weiteren Themen könnte Swisscom MSSP in dieser Richtung untersuchen?

Project Idea Metadata

• Project Idea Name: Die Evaluation verschiedenen Anbieter von Deception Technologien, die Analyse deren Anwendung für ein MSSP sowie das Aufbau eines Proof of Concept
• Date: 7/1/2022 12:25:43 PM
• Administrators:
  • Raluca Schibli

Project Idea Description

Motivation

Swisscom evaluiert regelmässig Technologien im Cyber Security Detection Bereich um die nächsten sinnvollen Schritte für die Erweiterung des Portfolios von Threat Detection und Response (TDR) zu definieren gemäss der Strategie.

Hintergrund

Deception Technologien bauen sich auf schon früher gut bekannten Honeypots mit Erweiterung im Sinne von sogenannten Decoys, Lures und Honeytokens. Zurzeit unterstützt TDR das Portfolio von NDR, EDR Lösungen sowie integriert weiteren Systemen in die Log Analyse und Korrelation. Es gab einige Anmerkungen für die Interesse an dieser Technologie an der Schweizer Markt, welche wir gerne untersuchen wollen.

Fragestellung

· Welche zusätzlichen Vorteile würde die Einführung dieser Technologie im Angebot von TDR bringen?

· Welchen Aspekten dieser Technologie stellen Herausforderung für einen MSSP dar?

· Welche Anbieter (bis auf 5) am Markt sind interessant, welche 1-2 Anbieter entsprechen der Erwartungen der Swisscom als MSSP?

· Wie sehen der Aufbau und Betriebsaufwände aus?

Methoden

Die Identifikation und Spezifizierung der Anforderungen und Auswahlskriterien

Der theoretische Vergleich nach Vendor (damit ist das Assessment anhand der Informationen im Internet gemeint; ein RFP ist out of scope)

Die Spezifikation des Testing Plans für eine Implementierung

Das Durchführen eines PoCs und der Aufbau der Infrastruktur inklusiv die Spezifikation und Architektur einer Integration ins Splunk und SOAR

Die Benutzung eines Breach and Attack Simulation Tool oder eines manuellen Red teaming/PenTest Einsatz, um das PoC zu verifizieren

Die Formulierung der Empfehlungen an Swisscom und die Definition der nächsten Schritte: welche Vorteile würde die Integration ins Portfolio dem Swisscom MSSP bringen? Welcher Aufwand pro Aufbau und Betrieb ist zu erwarten? Welche Skills und Trainings sollte Betrieb haben und aufbauen? Welche weiteren Themen könnte Swisscom MSSP in dieser Richtung untersuchen?

Das Ziel dieser Arbeit besteht darin, anhand der qualitativ und quantitativ guten Analyse, die Empfehlung abzugeben, ob die Integration der Technologie ins Portfolio passen würde. Es wird der theoretische Vergleich von bis auf 5 Anbieter gemacht und ein Proof of concept mit einem Anbieter aufgebaut. Zusätzlich kann ein Breach und Attack Simulation Tool oder ein manueller Red teaming/PenTest Einsatz benutzt werden, um die Effizienz der aufgebauten Umgebung besser einschätzen zu können.