Analytics-driven Automation

Analysebasierte Automatisierung der IT-Sicherheit

| Autor / Redakteur: Jörg von der Heydt / Peter Schmitz

Automatisierte Analysen können Schwachstellen-Management-Teams unterstützen, erfordern aber die Sichtbarkeit der kompletten Netzwerkstruktur und die Einbeziehung des individuellen Kontexts.
Automatisierte Analysen können Schwachstellen-Management-Teams unterstützen, erfordern aber die Sichtbarkeit der kompletten Netzwerkstruktur und die Einbeziehung des individuellen Kontexts. (Bild: gemeinfrei / Pixabay)

„Automatisierung“ ist ein häufig gebrauchtes Schlagwort im Bereich Cybersecurity. Der Prozess verspricht große Effizienzsteigerung dank KI-Features. Allerdings ist die Realität der Sicherheits­automatisierung im Moment noch weit von echter künstlicher Intelligenz entfernt. Entscheidende Prozesse zur Überwachung von potenziell kritischen Assets erfordern oft noch das Eingreifen von Menschen.

Viele Prozesse im Schwachstellen-Management müssen aufgrund ihres Umfangs und ihrer Komplexität automatisiert werden. Hierzu zählen beispielsweise die Erfassung, Normierung sowie die Analyse von Big Data aus einer Vielzahl von Quellen. Auch die Warnung vor neuen Risikofaktoren, die Auswertung von Optionen zur Risikominderung sowie das Tracking und Reporting zählen zu diesem Prozess.

Doch um diese Prozesse effektiv zu automatisieren, muss die entsprechende Automatisierungstechnologie sämtliche Bereiche der Angriffsfläche sichtbar machen und kontextuelle Intelligenz liefern. Ohne Sichtbarkeit der Schwachstellen und deren Kontext erhöht Automatisierung zwar die Produktivität von Prozessen, trägt aber nicht zur Minderung von Cyber-Risiken bei. Wie aber kann ein analysebasierter Ansatz eine Angriffsfläche in ihrer Gesamtheit erfassen und schützen? Ein Schlüssel ist die Kombination von Sichtbarkeit, Kontext und Automatisierung.

Schwachstellen bewerten und Maßnahmen priorisieren

Neues eBook „Schwachstellen-Management“

Schwachstellen bewerten und Maßnahmen priorisieren

30.04.19 - Cyber-Attacken würden ins Leere laufen, wenn es keine Schwachstellen gäbe, die ausgenutzt werden können. Doch wie groß ist das Risiko, dass eine bestimmte Schwachstelle tatsächlich einem Angreifer den Weg ebnet? Wer seine Sicherheitsmaßnahmen richtig priorisieren will, muss dieses Risiko kennen. Das neue eBook „Schwachstellen-Management“ zeigt, wie eine Risikobewertung im Cyber-Raum möglich wird. lesen

Datenerfassung und -normalisierung

Erfolgreiches Sicherheitsmanagement beginnt mit validen Daten. Eine automatisierte Datenerfassung ist für die Normalisierung und Zentralisierung einer Vielzahl von Daten aus den unterschiedlichsten Technologien der On-Premise, Multi-Cloud- und OT-Netzwerke unverzichtbar. Das Sammeln und Normieren von Daten, auch wenn sie aus ähnlichen Technologien unterschiedlicher Hersteller stammen, bricht Datensilos auf. Das sorgt für durchwegs konsistente Daten für eine einfachere Analyse und schafft eine „Single Source of Truth“ in heterogenen Umgebungen.

Zentralisierte Datenbibliotheken sollten regelmäßig aktualisiert werden – je nach Anforderung täglich, im Anschluss an Änderungen oder ad hoc. Sie bilden die Grundlage für die automatisierte Modellierung, mit deren Hilfe die Angriffsfläche einschließlich aller Sicherheitskontrollen, Hybrid-Netzwerke, Assets und Schwachstellen visualisiert werden kann. Dieses hochpräzise und regelmäßig aktualisierte Modell kann dann eine Vielzahl von Kontextanalysen unterstützen, die im täglichen Sicherheitsmanagement von Nutzen sind.

Bewertung und Analyse

Eine automatisierte Korrelation von Datensätzen aus unterschiedlichen Quellen kann auf verschiedene Prozesse angewendet werden, darunter:

  • Regelnutzungsanalyse (korreliert Konfigurationsdateien mit Syslogs)
  • Schwachstellenbewertung ohne Scan (korreliert Asset- und Patch-Management-Daten sowie Konfigurationsdaten mit Schwachstellendatenbanken)
  • Schwachstellennnalyse (korreliert identifizierte Schwachstellen mit Threat Intelligence Feeds aktiver und verfügbarer Exploits).

Anhand einer automatisierten Pfadanalyse können auf Basis eines Modells der gesamten Angriffsfläche verschiedene Szenarien simuliert werden. Die Durchlässigkeit von einem geschützten Bereich im Netzwerk zum nächsten kann bewertet und Angriffe simuliert werden. Auf diese Weise ist es möglich, sicherheitskritische Angriffspunkte zu identifizieren und zu modifizieren.

Auch im Change Management spielt die automatisierte Pfadanalyse eine entscheidende Rolle. So beispielsweise bei der Indentifizierung von anfälligen Geräten, bestehenden Zugängen, Richtlinienverletzungen und kritischen Assets, die im Zuge einer Veränderung einem Angriff ausgesetzt werden könnten.

Einer der größten Vorteile der analysegesteuerten Automatisierung liegt in der Risikopriorisierung. Das Cyber-Risiko eines Unternehmens unterliegt einer Vielzahl interner und externer Faktoren, die sich ständig ändern. Hier ist Automatisierung nötig, um zu bewerten, welche Angriffsvektoren am wahrscheinlichsten gegen ein Unternehmen eingesetzt werden.

Schwachstellen-Management mit Nessus und Tenable.sc

Security-Insider Deep Dive

Schwachstellen-Management mit Nessus und Tenable.sc

22.01.19 - Im Deep Dive von Security-Insider zeigt uns Jens Freitag, Security Engineer bei Tenable, gemeinsam mit Matthias Wessner von Security-Insider, wie das auf dem berühmten Nessus-Scanner basierende Tenable.sc (ehem. SecurityCenter) in der On-Premises-Variante funktioniert und mit welchen Best Practices Security-Admins ihre Netzwerke damit auf Schwachstellen prüfen und konkrete Gegenmaßnahmen einleiten können. lesen

Warnmeldungen und Empfehlungen

Die analysebasierte Automatisierung erleichtert aber nicht nur die Priorisierung von Risiken, sondern bietet auch sofortige Handlungsoptionen. Schwachstellen, die in der Angriffssimulation als kritisch identifiziert wurden und anhand von Threat Intelligence im tatsächlichen Netzwerk mit hoher Wahrscheinlichkeit ausgenutzt werden, haben daher bei der Beseitigung von Sicherheitslücken höchste Priorität.

Automatisierte Analysen können Schwachstellen-Management-Teams nicht nur über verfügbare Patches, sondern auch über IPS-Signaturen informieren. Wenn Patchen keine Möglichkeit ist, können Sicherheitsteams mithilfe des Angriffsflächenmodells und der automatisierten Pfadanalyse in kurzer Zeit ZSL- oder Konfigurationsänderungen planen. So kann das Angriffsrisiko der Schwachstelle reduziert werden. Im Bereich Firewall-Managements hilft Automatisierung dabei, Firewalls zu optimieren und zu verschlanken, indem Teams auf veraltete Regeln aufmerksam gemacht werden. Zudem deckt die regelmäßige, automatisierte Pfadanalysen nicht richtlinienkonforme Regeln auf. Sie generiert Tickets für Regeln, die einer Änderung bedürfen oder bei denen das Entziehen von Berechtigungen erforderlich ist.

Patchen und Bereitstellung

Obwohl das Schließen von Sicherheitslücken und die Änderung von Firewall-Regeln chronologisch zu den letzten Schritten des Sicherheitsmanagements zählen, sind diese oft der ausschlaggebende Grund, warum Unternehmen in die Sicherheitsautomatisierung investieren. Wie oben beschrieben hat der Automatisierungsprozess ohne umfassende Sichtbarkeit des Gesamtnetzwerks und des jeweiligen Kontexts nur eine geringe oder gar keine Auswirkung auf die IT-Sicherheit. Eine Automatisierung, die nicht auf Basis von tagesaktuellen Daten stattfindet, verursacht Sicherheitsprobleme und verschlingt mehr Ressourcen für die Nachbearbeitung als ursprünglich nötig gewesen wären.

Im Bereich Cybersecurity sind Patches und Bereitstellungen lediglich die Speerspitze - die tatsächlichen Auswirkungen hängen davon ab, wie diese unterstützt werden und was im Nachgang getan wird. Damit diese Schritte nicht nur effektiv ausgeführt werden, sondern auch intelligent zur Reduzierung der größten Cyber-Risiken beitragen, macht sich die analysebasierte Automatisierung im Sicherheitsmanagement die beiden Kernfaktoren Sichtbarkeit und Kontext zunutze. Analysebasierte Automatisierung erfordert also die Sichtbarkeit der kompletten Netzwerkstruktur und die Einbeziehung des individuellen Kontexts. Diese beiden Kernfaktoren sind die unverzichtbare Basis für effizientes und intelligentes Schwachstellen-Management.

Über den Autor: Jörg von der Heydt ist Channel Director DACH bei Skybox Security.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45905537 / Monitoring und KI)