Security Automation und Orchestration (SAO)

IT-Sicherheit durch Automatisierung und Orchestrierung

| Autor / Redakteur: Chris Petersen / Peter Schmitz

Security Automation und Orchestration (SAO) bietet eine hervorragende Möglichkeit, die Erkennung und Abwehr von Bedrohungen zu beschleunigen.
Security Automation und Orchestration (SAO) bietet eine hervorragende Möglichkeit, die Erkennung und Abwehr von Bedrohungen zu beschleunigen. (Bild: Pixabay / CC0)

Security Operations Teams stehen aus vielen Richtungen unter permanentem Druck. Unternehmen sind mit immer mehr Cyberangriffen konfrontiert, sind aber gleichzeitig bei Budget und vor allem bei der Verfügbarkeit neuer Mitarbeiter stark limitiert. Security Automation und Orchestration (SAO) ist ein technischer und organisatorischer Bereich, der hier zu schnellen Erfolgen führen kann, er verlangt allerdings auch nach geschickter Vorarbeit und einigen Investitionen.

Teams für Security Operations (SecOps) kämpfen heute vermehrt um Ressourcen – sie brauchen die richtigen Mitarbeiter, und zwar in durchaus beträchtlicher Zahl. Die große Bedeutung, die das Thema derzeit hat, resultiert aus einem Umbruch in der Informationssicherheit: Während die präventive Sicherheit meist relativ gut aufgestellt ist und kaum weiter verbessert werden kann, bekommt die Erkennung und Abwehr laufender Angriffe von Cyber-Kriminellen eine immer größere Bedeutung. Es geht also um diejenigen Attacken, die so ausgefeilt sind, dass sie die Perimeter-Schranken überwinden. In die Abwehr dieser Bedrohungen fließen derzeit auch immer größere Summen. Es müssen neue Werkzeuge implementiert werden, und es gilt, Fachkräfte mit ganz anderen Kenntnissen zu gewinnen.

Das neue Konzept selbst ist dabei die erste Herausforderung. Die zweite liegt darin, dass der Arbeitsmarkt die Spezialisten für den SOC-Betrieb gar nicht hergibt. Dieses Problem wird sich in Zukunft noch verschärfen: 2018 erwartet man 1,5 Millionen offene Stellen in diesem Bereich – ein Bedarf, den die Hochschulen bei weitem nicht stillen können.

Was einer schnellen Abwehr von Angriffen im Wege steht

Den SecOps-Teams stehen somit nur eingeschränkte Ressourcen zur Verfügung, aber zugleich steigt die Zahl der ausgeklügelten Cyber-Angriffe. Die Kriminellen haben keine Ressourcen-Probleme und entwickeln ihre Techniken ständig weiter. Zu allem Überfluss bietet die moderne IT mit ihren Outsourcing-, Kollaborations- und Mobile-Computing-Konzepten sowie dem Internet of Things immer größere Angriffsflächen. Die Schere zwischen den Bedrohungen und der Abwehrkapazität öffnet sich vor diesem Hintergrund immer weiter.

Die Auswirkungen dieser Situation erreichen längst auch die tägliche Praxis: Die meisten Unternehmen haben bereits in eine große Zahl von Sicherheitssystemen investiert, aus deren Sensoren nun eine immer größere Zahl von Alarmmeldungen über die Security-Teams hereinbricht – so lange, bis diese resigniert jeden Versuch einstellen, die Meldungen zeitnah zu analysieren.

Was dabei auch spürbar zu Buche schlägt, ist der große Aufwand für die Untersuchungen: Es ist extrem mühsam, im Wust der Einzelmeldungen der unterschiedlichen Sensoren mitsamt allen False Positives manuell Zusammenhänge aufzudecken und damit das Muster eines wirklich bedeutsamen, laufenden Angriffs zu erkennen. Deshalb ist es so wichtig, zentrale Tätigkeiten wie die Triage, die Korrelation von Einzelmeldungen, die übergreifende Muster-Identifikation und weitere Analyseschritte so weit wie möglich zu automatisieren. Auch einfache Abwehrmaßnahmen mit wenigen Nebenwirkungen lassen sich häufig automatisieren – etwa, einen User-Account vorübergehend zu sperren oder ein System in Quarantäne zu stecken. All dies nimmt Last von den SOC-Teams und beschleunigt Abwehrmaßnahmen dramatisch.

Der beste und zugleich pragmatische Ansatz, hier voranzukommen, liegt meiner Ansicht nach im Übergang zu einem End-to-End-Threat-Lifecycle-Management (TLM), also einem echten und durchdachten Bedrohungsmanagement. TLM beginnt mit einer Schutzbedarfsanalyse, die bestimmt, welche Daten und Verfahren mit Priorität gegen Risiken geschützt werden müssen. Sobald Sie wissen, welche Assets den höchsten Schutz verdienen, sollten Sie erkunden, wie Sie mit moderner, automatisierter und orchestrierter Bedrohungserkennung Angriffe gegen diese Ziele erkennen. Ermitteln sie holistisch, wie eine Cyber-Attacke in diesem Bereich ablaufen könnte, und zwar von der Reconnaissance-Phase bis hin zur Sabotage oder Exfiltration.

Wenn Sie moderne, auf automatisierten Analyse-Funktionalität beruhende Bedrohungserkennung einsetzen, sollten sie sich grundsätzlich auf eine Handvoll geschickt definierter Use Cases für diese Mechanismen konzentrieren. Dies bedeutet: Sie legen fest, was genau sie erkennen wollen und was die wahrscheinlichsten Indikatoren dafür sind. Dies gibt ihnen die Möglichkeit, fortschrittliche Erkennungsmethoden voll auszuschöpfen, komplexe Attacken schnell aufzudecken, zu identifizieren und sofort zu bekämpfen. Treten Bedrohungsszenarien auf, die man auf diese Weise erfasst hat, werden die Security-Teams nicht mehr mit einer Flut von Einzelindikatoren überschwemmt, die sie erst einordnen müssen - sondern sie wissen sofort, womit sie es zu tun haben und wie sie reagieren sollten.

Aus der High-Level-Perspektive hätte ein entsprechendes Projekt folgende Schritte und Komponenten:

  • Einsammeln und zusammenfassen der Event-Informationen existierender Security-Sensoren.
  • Zentralisierte Erfassung der Logs von relevanten Systemen, Datenbanken und Applikationen für forensische und operationsbezogene Zwecke.
  • Implementierung einer überschaubaren Zahl von Security-Intelligence-Use-Cases, etwa im Bereich der Endpoint- und Perimetersicherheit zusammen mit ersten Aspekten von Verhaltensanomalien bei Usern.
  • Für jede erfasste Bedrohung Dokumentation der damit verbundenen Security-Prozesse, die die Abwehr, die umfassende forensische Analyse und zusätzlich die üblichen Schritte zur Wiederinbetriebnahme der betroffenen Assets umfassen.

Insgesamt helfen Ihnen diese Maßnahmen nicht nur, Ihre Security-Teams zu entlasten, sondern auch, deren tatsächliche Leitungsfähigkeit unter optimalen Bedingungen exakter zu bestimmen.

Stellt sich heraus, dass noch Kapazitäten frei sind, dehnen Sie die beschriebene Vorgehensweise auf Assets mit geringerer Priorität aus, oder Sie erweitern den Analyseumfang im bereits erfassten Bereich. Zugleich können sie auf der Basis dieser Informationen in Ihrer Organisation präziser Ihre Leistung darstellen und fundierter zusätzliches Budget beantragen.

Security Automation und Orchestration (SAO) ist ein technischer und organisatorischer Bereich, in dem die Demonstration des Returns on Investment aufgrund des unmittelbar erkennbaren Nutzens durch Effektivitätssteigerung auch vor dem Management eines Unternehmens normalerweise recht gut gelingt.

Dediziertes Fallmanagement schafft eine Umgebung, in der Analysten und Incident-Response-Spezialisten schnell und effizient zusammenarbeiten können. Integrierte „Playbooks“ können Standard-Vorgehensweisen für bestimmte Fälle festlegen und damit ein guter Ausgangspunkt für Automatisierungsbestrebungen sein, die auf Teile der natürlichen SecOps-Arbeitsabläufe zielen. Eine so initialisierte und am bestehenden Workflow orientierte Teilautomatisierung der SecOps-Arbeit erhöht nicht nur dramatisch die Produktivität der Beteiligten, sondern stellt auch sicher, dass Bedrohungen nicht durch die Lücken unzureichend miteinander verzahnter Vorgehensweisen schlüpfen können.

SAO kann zu schnellen Erfolgen führen, verlangt allerdings auch nach geschickter Vorarbeit und einigen Investitionen. Diese sind nicht nur finanzieller Natur: Weil die Automatisierung Prozesse betrifft, die größere Teile der IT-Infrastruktur betreffen, sind auch Mitarbeiter aus den verschiedensten Bereichen der IT-Organisation beteiligt. Hier muss die Bereitschaft zur Kooperation geweckt und die praktische Zusammenarbeit organisiert werden. Gleichzeitig rückt das Change Management in den Mittelpunkt des Interesses. Wenn das SecOps-Team nämlich beginnt, automatisierte Changes zuzulassen und durchzusetzen, übernimmt es die Verantwortung dafür, dass diese Maßnahmen sicher und gemäß den Unternehmensrichtlinien ablaufen. Für den Erfolg eines SAO-Projekts ist es dabei extrem wichtig, dass die gesamte IT-Organisation den automatischen Abläufen Vertrauen entgegenbringt und sie nicht als Risiko betrachtet.

Die Wahl der richtigen SAO-Plattform

Bei der Evaluation einer SAO-Plattform gilt es, ein paar wichtige Aspekte im Auge zu behalten. Zunächst einmal sollte das Produkt eine eigene Testumgebung bereitstellen. Aktionen, die in ihrer IT automatisiert ablaufen, sollten sie intensiv auf Wirkungen und Nebenwirkungen überprüfen können, bevor sie sie tatsächlich in der produktiven Umgebung implementieren. Außerdem sind Funktionen wie ein mehrstufiger Freigabeprozess von Bedeutung. Es sollte möglich sein, die Durchführung einer Aktion von der Zustimmung verschiedener Personen aus unterschiedlichen Abteilungen abhängig zu machen.

Bedenken Sie immer, dass ein Großteil des praktischen IT-Betriebs in der Kontrolle von Changes besteht. In einer produktiven Umgebung darf nichts geändert werden, ohne dass ein offizieller Change Request gestellt wird, dem vor der Umsetzung eine mehrstufige Bewertung und Kontrolle folgt. Weil Automatisierung in diese Prozesse eingreift, ist die Zustimmung von IT-Verantwortlichen und -Nutzern aller Bereiche eine notwendige Vorbedingung für SAO-Projekte. Sie können Automatisierung in diesem Bereich nicht in einfach eigener Regie einführen – nur in partnerschaftlicher Zusammenarbeit mit der gesamten IT kommen Sie zu einer effektiven Lösung. Und für diese Kooperation wiederum ist es sehr förderlich, wenn Ihre Lösung den erwähnten mehrstufigen und verteilten Freigabeprozess unterstützt – denn unter dieser Bedingung haben alle verantwortlich Beteiligten die Chance, zu einem zuvor automatisch eingeleiteten Change-Prozess entweder ihre Zustimmung zu geben oder ihn nach einer Überprüfung abzulehnen. Dies erhöht das Vertrauen ins System und hilft, anfängliche Bedenken zu zerstreuen.

Die Kosten für die Integration sind ein weiterer wichtiger Aspekt bei der Auswahl eines SAO-Ansatzes. Immerhin hängen der Wert und die Effektivität der Lösung am Ende von Daten ab, die es von anderen System empfängt, und davon, wie es mit anderen Produkten aktiv zusammenarbeitet. Wenn Sie eine Stand-Alone-SAO-Lösung einsetzen, wird sie beispielsweise wahrscheinlich Events auswerten, die eine Security-Intelligence- und Event-Management-Plattform (SIEM) generiert.

Es ist wichtig zu herauszufinden, wie hoch die Integrationskosten ausfallen, und sich ein Bild davon zu machen, wie gut sich die Workflows von SAO und SIEM aus Sicht der Anwender miteinander verzahnen lassen. Werden die resultierenden Prozesse tatsächlich effektiv ablaufen? Haben die Teams die Möglichkeit, auch weiterhin ihre eigenen, dann automatisierten Playbooks anzulegen? Wie weit lässt sich die SAO-Lösung mit anderen Systemen (z.B. Ticketing, Unternehmenssoftware etc.) integrieren – und wie lange wird es dauern, bis diese Integration umgesetzt ist? Wie hoch dürften die Wartungskosten ausfallen? All diese Fragen sollten Sie während der Evaluationsphase zu beantworten versuchen.

Fazit

SAO bietet eine hervorragende Möglichkeit, die Erkennung und Abwehr von Bedrohungen zu beschleunigen. Performance-Indikatoren wie die durchschnittliche Zeit bis zur Erkennung (Mean Time to Detect, MTTD) und Gegenwehr (Mean Time to Response, MTTR) lassen sich deutlich verbessern, und ihre Teams können ihre anspruchsvolle Arbeit zielgerichteter. planvoller und weniger gehetzt erledigen. SAO gibt den Spezialisten genau jenes Mehr an Zeit, dass sie sich auf ihre wichtigsten Aufgaben tatsächlich konzentrieren können und nicht im ständigen manuellen Klein-Klein gefangen bleiben.

Über den Autor: Chris Petersen ist CTO und Co-Founder von LogRhythm.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44722370 / Monitoring und KI)