Need for Speed Das autonome SOC

Kaum eine Disziplin der Informationssicherheit hat sich in den letzten Jahren so dramatisch entwickelt wie die Security Operations Center (SOC). Die SOC’s sind als letzte Meile der Verteidigung gegen Cyber Angriffe kaum mehr wegzudenken, weil durch die zunehmende Digitalisierung und Vernetzung die Anzahl der Gefahren und Risiken für Unternehmen rasant gestiegen ist.

Viele Unternehmen setzen aber auch aus anderen Gründen auf schlagkräftige SOC’s. Oft kann nämlich die in die Jahre gekommene IT-Infrastruktur nicht so einfach oder schnell modernisieren werden. Security Operations Center sollen dann durch zusätzliches Monitoring und schnelle Gegenmaßnahmen potenzielle Angreifer draußen halten.

Ursprünglich aus den Network Operations Center entwickelt, haben die SOC’s viele Entwicklungen durchlebt wie zum Beispiel die Threat-Intelligence Ausrichtung oder die Zusammenführung mit den CERTs. Dabei sind die SOCs immer größer und größer geworden, um dem Spektrum der administrativen Tätigkeiten und der Anzahl der Stakeholder gerecht zu werden. Doch bei den neuen Cybersicherheits-Herausforderungen, stoßen auch große SOC’s schnelle auf Ihr Grenzen.

Das “New Normal” für die SOC’s

Ein SOC in einem Digitalunternehmen definiert sich in erster Linie über die enge Integration in die Produktentwicklung und als zweites über die Geschwindigkeit neue Umgebungen abzusichern. Historisch war der Fokus eher Governance und Infrastruktur Compliance.

„Ein SOC in einem Digitalunternehmen definiert sich in erster Linie über die enge Integration in die Produktentwicklung und als zweites über die Geschwindigkeit neue Umgebungen abzusichern. Historisch war der Fokus eher Governance und Infrastruktur Compliance.“

Die Beschleunigung der Digitalisierung durch COVID-19 hat teilweise über Nacht viele SOC Architekturen auf den Kopf gestellt. Kann das SOC von zu Hause aus operiert werden? Wie gehe ich mit BYOD oder Mitarbeitern aus der Incident Response oder Forensik Perspektive um? Wie überwache ich neue Technologien wie Public Cloud oder die diversen Remote Tools, die im Zuge von COVID eingeführt wurden? Wie komme ich mit der Geschwindigkeit der DevOps Prozesse mit? Viele dieser Frage müssen von den SOCs schnellstmöglich gelöst werden. Doch die Fachkräfte, die dafür bei Unternehmen zusätzlich aufgebaut werden müssen, fehlen bekanntlich auf dem Markt.

Zusätzlich dazu setzen die Angreifer zunehmend auf Automatisierung und erhöhen das Spieltempo für die Verteidiger. Bei Non-Petya Ransomware 2016, waren es zum Beispiel nur sieben (7) Minuten bis manche Organisation hundert Tausende von Geräten verloren haben. Nun, die KI-Basierte Malware ist zwar noch Science-Fiction, doch die Labors weltweit brühen schon dran diese bald Realität werden zu lassen.

Fragmentierung und Frankenstein

Zur effektiven Verteidigung haben wir uns historisch in Cybersecurity eine Reihe an Konzepten überlegt, die die Hürde für die Angreifer immer höher setzen. Defense in Depth, Kill Chain/MITRE ATT&CK, Pyramide of Pain, Zero Trust, DevSecOps sind wohl die wichtigsten Strategien auf, die jedes moderne Security Operations Center aufbauen sollte. Die meisten dieser Konzepte haben eins gemeinsam: den Gesamtblick auf die Cybersecurity.

Die Cybersecurity Technologien, die in den letzten Jahrzehnten entstanden sind, waren dagegen immer auf Teilbereiche unserer Organisationen oder auf einzelne Probleme ausgerichtet. Zwei Beispiele. Defense in Depth also das klassische Zwiebelmodel von Cybersecurity wird sehr oft von SOCs aus Produkten unterschiedlicher Hersteller aufgebaut. Falls ein Angriff vom Network Threat Analytics (NTA) entdeckt wird, ist dieses dann weder dem Endpoint Security System (EPP/EDR) bekannt, noch dem der Firewall. Die SOC Mitarbeiter müssen also manuell nachhelfen, um alle Technologien mit den neuen Indikatoren zu füttern. Ein weiteres Beispiel sind die Security Information Event Management (SIEM) Systeme und die damit verbundene Obsession mehr und mehr Daten zu sammeln, ohne sich ursprünglich Gedanken zu machen wie diese später in Analytiken oder Incident Response Aktivitäten verwertet werden. Weil man so viel Zeit in die Daten investiert hat, zwingt man sich dann irgendwelche Analytiken daraus zu machen. Das Resultat sind Alarme mit einer geringen Qualität und noch mehr manuelle Arbeit und Konsolen Burnout für die SOC’s. Bei einem Unternehmen, können locker innerhalb von einem Monaten Zehntausende von Alarmen anfallen, die alle von Analysten abgearbeitet werden müssen. Bei einem DAX Unternehmen sind es noch mehr. Es gibt wohl aber nur wenige Angriffe die keine Spuren hinterlassen. Die Angreifer stolpern fast immer über ein Anti-Virus, welches eines ihrer Tools erkennt, einem zu offensivem Portscan oder einem User der auf bestimmten Systemen nichts verloren hat. Es gilt also die Alarme schnell in Kontext zu bringen und die Abarbeitung der Playbooks wie zum Beispiel die Implementierung der Gegenmaßnahmen schnell durchzuführen, anstatt noch mehr Alarme zu generieren.

Durch fragmentierte Technologien und viele manuelle Prozesse, erinnern die SOC’s daher oft an einen Frankenstein der aus unterschiedlichen Teilen zusammengesetzt wurde und sich deshalb nur langsam bewegt und spricht. In einer zunehmend schnellen Welt, eine Spezies mit wenig Überlebenschancen.

Vom EDR zu XDR

Der Erfolg der Endpoint Detection & Response (EDR) Systeme seit 2013, basiert auf dem Misserfolg der SIEM Systeme qualitative Alarme zu generieren und dem Alarm mehr Kontext zu geben. EDR Systeme bauen dafür auf vordefinierten Analytiken auf und generieren so viel weniger False-Positives. Doch jeder Forensiker weiß, dass auch Endpoint-Daten nur ein Teil von dem Gesamtpuzzle sind. Einmal vom Angreifer übernommen, können die Logs auf jedem Gerät gelöscht oder manipuliert werden. Schließlich kann der EDR Agent auf einem Gerät ganz abgeschaltet werden. Wie soll man dann z.B. herausfinden ob und wieviele Daten abgeflossen sind? Gab es Seitwärtsbewegung im Unternehmen? Welches Gerät war der Patient Zero? All diese Fragen bleiben dann unbeantwortet.

Zumal, mit Schatten IT und der steigenden Anzahl von IoT Geräten, können bei Unternehmen oft auf 50-80% der Geräte gar keine EDR Agenten installiert werden. Ein wachsendes Risiko.

eXtended Detection & Response (XDR) ist die natürliche Weiterentwicklung von EDR. Dabei wird nicht nur die Telemetrie von den Endpoints ausgewertet, sondern auch die Telemetrie von weiteren Sicherheitstechnologien wie Firewalls (NGFW), Netzwerk Analytik (NTA), User Behaviour Analytics (UBA) oder Cloud Security einbezogen.

Die Idee von XDR ist es ein unternehmensweites Cockpit für den SOC-Bereich bereitzustellen, der sich rund um die Analytiken dreht und nicht um die Daten - wie es bei einem klassischen SIEM der Fall ist. Durch die hohe Qualität der Alarme im XDR, ergeben sich zusätzlich bessere Perspektiven die nachfolgenden Response Aktivitäten zu automatisieren.

DevSecOps ist SOAR

XDR automatisiert aber nicht alles. Viele Playbooks im SOC benötigen unternehmens- oder sogar applikationsspezifische Schritte bevor die Gefahr mitigiert ist. Das kann zusätzliche maschinelle oder manuelle Analyse von Stakeholdern sein, Kommunikationsanforderungen oder spezielle Gegenmaßnahmen wie Konfigurationsanpassung oder User-Verwaltung. Diese Aufgaben sind zeitfressend und sind an Mangel von Programmierern in SOC’s nur selten automatisiert.

Security Orchestration, Automation and Response (SOAR) Tools fokussieren sich genau auf diese Problemstellung. Durch eine breite Unterstützung von API’s zu diversen Technologien und Threat Intelligence Quellen können Workflows auch von nicht technischen Mitarbeitern abgebildet werden, um wiederkehrende Abläufe automatisiert auszuführen. Die Vorteile liegen auf der Hand. Lästige Aufgaben wie Tickets pflegen, Dedublication oder Enrichment von Tickets muss nicht mehr gemacht werden. Man bekommt mehr Zeit für Analyse Tätigkeiten und reduziert das Risiko, weil die Angriffe in Minuten oder Sekundenschnelle abgewehrt werden können. Viele Nebenprodukte wie effektive Metriken oder Audit Möglichkeiten ergeben sich dabei als das Sahnehäubchen auf dem Pudding dazu. Aber der entscheidende Erfolgsfaktor ist ein ganz anderer. Die Flexibilität beliebige Workflows zu Automatisieren ermöglicht es den Security Teams mit der Geschwindigkeit und Agilität der DevOps Teams mitzuhalten und somit Security von vorne rein in die Produkte zu integrieren. DevSecOps Ansatz für die SOC’s wird damit kinderleicht.

Ein Autopilot für SOC

SOC’s die Ihre Prozesse und Technologien konsequent rund um Automatisierung und Kollaboration aufbauen, können sich schnell auf die ständig wachsenden Business-Anforderungen und Bedrohungen anpassen und so zum Geschäftserfolg der Unternehmen beitragen. Automatisierte Playbooks die den ganzen Kreislauf zwischen Detection, Response und Prevention abbilden ermöglichen sogar eine ganz neue Klasse von SOCs‘. Einen Autopiloten, der ähnlich wie im Flugzeug oder im modernen Auto, simple Aufgaben übernimmt oder dem SOC hilft Ihre Prozesse zu skalieren. Die SOC’s bekommen damit mehr Ressourcen und Zeit sich auf das wesentliche zu fokussieren, wie Analyse, Threat Hunting oder Red Teaming.

(ID:46830588)