Suchen

Analytics-driven Automation Analysebasierte Automatisierung der IT-Sicherheit

| Autor / Redakteur: Jörg von der Heydt / Peter Schmitz

„Automatisierung“ ist ein häufig gebrauchtes Schlagwort im Bereich Cybersecurity. Der Prozess verspricht große Effizienzsteigerung dank KI-Features. Allerdings ist die Realität der Sicherheits­automatisierung im Moment noch weit von echter künstlicher Intelligenz entfernt. Entscheidende Prozesse zur Überwachung von potenziell kritischen Assets erfordern oft noch das Eingreifen von Menschen.

Firmen zum Thema

Automatisierte Analysen können Schwachstellen-Management-Teams unterstützen, erfordern aber die Sichtbarkeit der kompletten Netzwerkstruktur und die Einbeziehung des individuellen Kontexts.
Automatisierte Analysen können Schwachstellen-Management-Teams unterstützen, erfordern aber die Sichtbarkeit der kompletten Netzwerkstruktur und die Einbeziehung des individuellen Kontexts.
(Bild: gemeinfrei / Pixabay )

Viele Prozesse im Schwachstellen-Management müssen aufgrund ihres Umfangs und ihrer Komplexität automatisiert werden. Hierzu zählen beispielsweise die Erfassung, Normierung sowie die Analyse von Big Data aus einer Vielzahl von Quellen. Auch die Warnung vor neuen Risikofaktoren, die Auswertung von Optionen zur Risikominderung sowie das Tracking und Reporting zählen zu diesem Prozess.

Doch um diese Prozesse effektiv zu automatisieren, muss die entsprechende Automatisierungstechnologie sämtliche Bereiche der Angriffsfläche sichtbar machen und kontextuelle Intelligenz liefern. Ohne Sichtbarkeit der Schwachstellen und deren Kontext erhöht Automatisierung zwar die Produktivität von Prozessen, trägt aber nicht zur Minderung von Cyber-Risiken bei. Wie aber kann ein analysebasierter Ansatz eine Angriffsfläche in ihrer Gesamtheit erfassen und schützen? Ein Schlüssel ist die Kombination von Sichtbarkeit, Kontext und Automatisierung.

Datenerfassung und -normalisierung

Erfolgreiches Sicherheitsmanagement beginnt mit validen Daten. Eine automatisierte Datenerfassung ist für die Normalisierung und Zentralisierung einer Vielzahl von Daten aus den unterschiedlichsten Technologien der On-Premise, Multi-Cloud- und OT-Netzwerke unverzichtbar. Das Sammeln und Normieren von Daten, auch wenn sie aus ähnlichen Technologien unterschiedlicher Hersteller stammen, bricht Datensilos auf. Das sorgt für durchwegs konsistente Daten für eine einfachere Analyse und schafft eine „Single Source of Truth“ in heterogenen Umgebungen.

Zentralisierte Datenbibliotheken sollten regelmäßig aktualisiert werden – je nach Anforderung täglich, im Anschluss an Änderungen oder ad hoc. Sie bilden die Grundlage für die automatisierte Modellierung, mit deren Hilfe die Angriffsfläche einschließlich aller Sicherheitskontrollen, Hybrid-Netzwerke, Assets und Schwachstellen visualisiert werden kann. Dieses hochpräzise und regelmäßig aktualisierte Modell kann dann eine Vielzahl von Kontextanalysen unterstützen, die im täglichen Sicherheitsmanagement von Nutzen sind.

Bewertung und Analyse

Eine automatisierte Korrelation von Datensätzen aus unterschiedlichen Quellen kann auf verschiedene Prozesse angewendet werden, darunter:

  • Regelnutzungsanalyse (korreliert Konfigurationsdateien mit Syslogs)
  • Schwachstellenbewertung ohne Scan (korreliert Asset- und Patch-Management-Daten sowie Konfigurationsdaten mit Schwachstellendatenbanken)
  • Schwachstellennnalyse (korreliert identifizierte Schwachstellen mit Threat Intelligence Feeds aktiver und verfügbarer Exploits).

Anhand einer automatisierten Pfadanalyse können auf Basis eines Modells der gesamten Angriffsfläche verschiedene Szenarien simuliert werden. Die Durchlässigkeit von einem geschützten Bereich im Netzwerk zum nächsten kann bewertet und Angriffe simuliert werden. Auf diese Weise ist es möglich, sicherheitskritische Angriffspunkte zu identifizieren und zu modifizieren.

Auch im Change Management spielt die automatisierte Pfadanalyse eine entscheidende Rolle. So beispielsweise bei der Indentifizierung von anfälligen Geräten, bestehenden Zugängen, Richtlinienverletzungen und kritischen Assets, die im Zuge einer Veränderung einem Angriff ausgesetzt werden könnten.

Einer der größten Vorteile der analysegesteuerten Automatisierung liegt in der Risikopriorisierung. Das Cyber-Risiko eines Unternehmens unterliegt einer Vielzahl interner und externer Faktoren, die sich ständig ändern. Hier ist Automatisierung nötig, um zu bewerten, welche Angriffsvektoren am wahrscheinlichsten gegen ein Unternehmen eingesetzt werden.

Warnmeldungen und Empfehlungen

Die analysebasierte Automatisierung erleichtert aber nicht nur die Priorisierung von Risiken, sondern bietet auch sofortige Handlungsoptionen. Schwachstellen, die in der Angriffssimulation als kritisch identifiziert wurden und anhand von Threat Intelligence im tatsächlichen Netzwerk mit hoher Wahrscheinlichkeit ausgenutzt werden, haben daher bei der Beseitigung von Sicherheitslücken höchste Priorität.

Automatisierte Analysen können Schwachstellen-Management-Teams nicht nur über verfügbare Patches, sondern auch über IPS-Signaturen informieren. Wenn Patchen keine Möglichkeit ist, können Sicherheitsteams mithilfe des Angriffsflächenmodells und der automatisierten Pfadanalyse in kurzer Zeit ZSL- oder Konfigurationsänderungen planen. So kann das Angriffsrisiko der Schwachstelle reduziert werden. Im Bereich Firewall-Managements hilft Automatisierung dabei, Firewalls zu optimieren und zu verschlanken, indem Teams auf veraltete Regeln aufmerksam gemacht werden. Zudem deckt die regelmäßige, automatisierte Pfadanalysen nicht richtlinienkonforme Regeln auf. Sie generiert Tickets für Regeln, die einer Änderung bedürfen oder bei denen das Entziehen von Berechtigungen erforderlich ist.

Patchen und Bereitstellung

Obwohl das Schließen von Sicherheitslücken und die Änderung von Firewall-Regeln chronologisch zu den letzten Schritten des Sicherheitsmanagements zählen, sind diese oft der ausschlaggebende Grund, warum Unternehmen in die Sicherheitsautomatisierung investieren. Wie oben beschrieben hat der Automatisierungsprozess ohne umfassende Sichtbarkeit des Gesamtnetzwerks und des jeweiligen Kontexts nur eine geringe oder gar keine Auswirkung auf die IT-Sicherheit. Eine Automatisierung, die nicht auf Basis von tagesaktuellen Daten stattfindet, verursacht Sicherheitsprobleme und verschlingt mehr Ressourcen für die Nachbearbeitung als ursprünglich nötig gewesen wären.

Im Bereich Cybersecurity sind Patches und Bereitstellungen lediglich die Speerspitze - die tatsächlichen Auswirkungen hängen davon ab, wie diese unterstützt werden und was im Nachgang getan wird. Damit diese Schritte nicht nur effektiv ausgeführt werden, sondern auch intelligent zur Reduzierung der größten Cyber-Risiken beitragen, macht sich die analysebasierte Automatisierung im Sicherheitsmanagement die beiden Kernfaktoren Sichtbarkeit und Kontext zunutze. Analysebasierte Automatisierung erfordert also die Sichtbarkeit der kompletten Netzwerkstruktur und die Einbeziehung des individuellen Kontexts. Diese beiden Kernfaktoren sind die unverzichtbare Basis für effizientes und intelligentes Schwachstellen-Management.

Über den Autor: Jörg von der Heydt ist Channel Director DACH bei Skybox Security.

(ID:45905537)