:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Security Automation und Orchestration (SAO) IT-Sicherheit durch Automatisierung und Orchestrierung
Security Operations Teams stehen aus vielen Richtungen unter permanentem Druck. Unternehmen sind mit immer mehr Cyberangriffen konfrontiert, sind aber gleichzeitig bei Budget und vor allem bei der Verfügbarkeit neuer Mitarbeiter stark limitiert. Security Automation und Orchestration (SAO) ist ein technischer und organisatorischer Bereich, der hier zu schnellen Erfolgen führen kann, er verlangt allerdings auch nach geschickter Vorarbeit und einigen Investitionen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/122700/122743/65.jpg "rapid7-logo-si.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/62/ea/62ea2cb8944b9/arctic-wolf-logo.png "arctic-wolf-logo (Arctic Wolf)"){kind=logo}
Teams für Security Operations (SecOps) kämpfen heute vermehrt um Ressourcen – sie brauchen die richtigen Mitarbeiter, und zwar in durchaus beträchtlicher Zahl. Die große Bedeutung, die das Thema derzeit hat, resultiert aus einem Umbruch in der Informationssicherheit: Während die präventive Sicherheit meist relativ gut aufgestellt ist und kaum weiter verbessert werden kann, bekommt die Erkennung und Abwehr laufender Angriffe von Cyber-Kriminellen eine immer größere Bedeutung. Es geht also um diejenigen Attacken, die so ausgefeilt sind, dass sie die Perimeter-Schranken überwinden. In die Abwehr dieser Bedrohungen fließen derzeit auch immer größere Summen. Es müssen neue Werkzeuge implementiert werden, und es gilt, Fachkräfte mit ganz anderen Kenntnissen zu gewinnen.
Das neue Konzept selbst ist dabei die erste Herausforderung. Die zweite liegt darin, dass der Arbeitsmarkt die Spezialisten für den SOC-Betrieb gar nicht hergibt. Dieses Problem wird sich in Zukunft noch verschärfen: 2018 erwartet man 1,5 Millionen offene Stellen in diesem Bereich – ein Bedarf, den die Hochschulen bei weitem nicht stillen können.
Was einer schnellen Abwehr von Angriffen im Wege steht
Den SecOps-Teams stehen somit nur eingeschränkte Ressourcen zur Verfügung, aber zugleich steigt die Zahl der ausgeklügelten Cyber-Angriffe. Die Kriminellen haben keine Ressourcen-Probleme und entwickeln ihre Techniken ständig weiter. Zu allem Überfluss bietet die moderne IT mit ihren Outsourcing-, Kollaborations- und Mobile-Computing-Konzepten sowie dem Internet of Things immer größere Angriffsflächen. Die Schere zwischen den Bedrohungen und der Abwehrkapazität öffnet sich vor diesem Hintergrund immer weiter.
Die Auswirkungen dieser Situation erreichen längst auch die tägliche Praxis: Die meisten Unternehmen haben bereits in eine große Zahl von Sicherheitssystemen investiert, aus deren Sensoren nun eine immer größere Zahl von Alarmmeldungen über die Security-Teams hereinbricht – so lange, bis diese resigniert jeden Versuch einstellen, die Meldungen zeitnah zu analysieren.
Was dabei auch spürbar zu Buche schlägt, ist der große Aufwand für die Untersuchungen: Es ist extrem mühsam, im Wust der Einzelmeldungen der unterschiedlichen Sensoren mitsamt allen False Positives manuell Zusammenhänge aufzudecken und damit das Muster eines wirklich bedeutsamen, laufenden Angriffs zu erkennen. Deshalb ist es so wichtig, zentrale Tätigkeiten wie die Triage, die Korrelation von Einzelmeldungen, die übergreifende Muster-Identifikation und weitere Analyseschritte so weit wie möglich zu automatisieren. Auch einfache Abwehrmaßnahmen mit wenigen Nebenwirkungen lassen sich häufig automatisieren – etwa, einen User-Account vorübergehend zu sperren oder ein System in Quarantäne zu stecken. All dies nimmt Last von den SOC-Teams und beschleunigt Abwehrmaßnahmen dramatisch.
Der beste und zugleich pragmatische Ansatz, hier voranzukommen, liegt meiner Ansicht nach im Übergang zu einem End-to-End-Threat-Lifecycle-Management (TLM), also einem echten und durchdachten Bedrohungsmanagement. TLM beginnt mit einer Schutzbedarfsanalyse, die bestimmt, welche Daten und Verfahren mit Priorität gegen Risiken geschützt werden müssen. Sobald Sie wissen, welche Assets den höchsten Schutz verdienen, sollten Sie erkunden, wie Sie mit moderner, automatisierter und orchestrierter Bedrohungserkennung Angriffe gegen diese Ziele erkennen. Ermitteln sie holistisch, wie eine Cyber-Attacke in diesem Bereich ablaufen könnte, und zwar von der Reconnaissance-Phase bis hin zur Sabotage oder Exfiltration.
Wenn Sie moderne, auf automatisierten Analyse-Funktionalität beruhende Bedrohungserkennung einsetzen, sollten sie sich grundsätzlich auf eine Handvoll geschickt definierter Use Cases für diese Mechanismen konzentrieren. Dies bedeutet: Sie legen fest, was genau sie erkennen wollen und was die wahrscheinlichsten Indikatoren dafür sind. Dies gibt ihnen die Möglichkeit, fortschrittliche Erkennungsmethoden voll auszuschöpfen, komplexe Attacken schnell aufzudecken, zu identifizieren und sofort zu bekämpfen. Treten Bedrohungsszenarien auf, die man auf diese Weise erfasst hat, werden die Security-Teams nicht mehr mit einer Flut von Einzelindikatoren überschwemmt, die sie erst einordnen müssen - sondern sie wissen sofort, womit sie es zu tun haben und wie sie reagieren sollten.
Aus der High-Level-Perspektive hätte ein entsprechendes Projekt folgende Schritte und Komponenten:
- Einsammeln und zusammenfassen der Event-Informationen existierender Security-Sensoren.
- Zentralisierte Erfassung der Logs von relevanten Systemen, Datenbanken und Applikationen für forensische und operationsbezogene Zwecke.
- Implementierung einer überschaubaren Zahl von Security-Intelligence-Use-Cases, etwa im Bereich der Endpoint- und Perimetersicherheit zusammen mit ersten Aspekten von Verhaltensanomalien bei Usern.
- Für jede erfasste Bedrohung Dokumentation der damit verbundenen Security-Prozesse, die die Abwehr, die umfassende forensische Analyse und zusätzlich die üblichen Schritte zur Wiederinbetriebnahme der betroffenen Assets umfassen.
Insgesamt helfen Ihnen diese Maßnahmen nicht nur, Ihre Security-Teams zu entlasten, sondern auch, deren tatsächliche Leitungsfähigkeit unter optimalen Bedingungen exakter zu bestimmen.
Stellt sich heraus, dass noch Kapazitäten frei sind, dehnen Sie die beschriebene Vorgehensweise auf Assets mit geringerer Priorität aus, oder Sie erweitern den Analyseumfang im bereits erfassten Bereich. Zugleich können sie auf der Basis dieser Informationen in Ihrer Organisation präziser Ihre Leistung darstellen und fundierter zusätzliches Budget beantragen.
Security Automation und Orchestration (SAO) ist ein technischer und organisatorischer Bereich, in dem die Demonstration des Returns on Investment aufgrund des unmittelbar erkennbaren Nutzens durch Effektivitätssteigerung auch vor dem Management eines Unternehmens normalerweise recht gut gelingt.
Dediziertes Fallmanagement schafft eine Umgebung, in der Analysten und Incident-Response-Spezialisten schnell und effizient zusammenarbeiten können. Integrierte „Playbooks“ können Standard-Vorgehensweisen für bestimmte Fälle festlegen und damit ein guter Ausgangspunkt für Automatisierungsbestrebungen sein, die auf Teile der natürlichen SecOps-Arbeitsabläufe zielen. Eine so initialisierte und am bestehenden Workflow orientierte Teilautomatisierung der SecOps-Arbeit erhöht nicht nur dramatisch die Produktivität der Beteiligten, sondern stellt auch sicher, dass Bedrohungen nicht durch die Lücken unzureichend miteinander verzahnter Vorgehensweisen schlüpfen können.
SAO kann zu schnellen Erfolgen führen, verlangt allerdings auch nach geschickter Vorarbeit und einigen Investitionen. Diese sind nicht nur finanzieller Natur: Weil die Automatisierung Prozesse betrifft, die größere Teile der IT-Infrastruktur betreffen, sind auch Mitarbeiter aus den verschiedensten Bereichen der IT-Organisation beteiligt. Hier muss die Bereitschaft zur Kooperation geweckt und die praktische Zusammenarbeit organisiert werden. Gleichzeitig rückt das Change Management in den Mittelpunkt des Interesses. Wenn das SecOps-Team nämlich beginnt, automatisierte Changes zuzulassen und durchzusetzen, übernimmt es die Verantwortung dafür, dass diese Maßnahmen sicher und gemäß den Unternehmensrichtlinien ablaufen. Für den Erfolg eines SAO-Projekts ist es dabei extrem wichtig, dass die gesamte IT-Organisation den automatischen Abläufen Vertrauen entgegenbringt und sie nicht als Risiko betrachtet.
Die Wahl der richtigen SAO-Plattform
Bei der Evaluation einer SAO-Plattform gilt es, ein paar wichtige Aspekte im Auge zu behalten. Zunächst einmal sollte das Produkt eine eigene Testumgebung bereitstellen. Aktionen, die in ihrer IT automatisiert ablaufen, sollten sie intensiv auf Wirkungen und Nebenwirkungen überprüfen können, bevor sie sie tatsächlich in der produktiven Umgebung implementieren. Außerdem sind Funktionen wie ein mehrstufiger Freigabeprozess von Bedeutung. Es sollte möglich sein, die Durchführung einer Aktion von der Zustimmung verschiedener Personen aus unterschiedlichen Abteilungen abhängig zu machen.
Bedenken Sie immer, dass ein Großteil des praktischen IT-Betriebs in der Kontrolle von Changes besteht. In einer produktiven Umgebung darf nichts geändert werden, ohne dass ein offizieller Change Request gestellt wird, dem vor der Umsetzung eine mehrstufige Bewertung und Kontrolle folgt. Weil Automatisierung in diese Prozesse eingreift, ist die Zustimmung von IT-Verantwortlichen und -Nutzern aller Bereiche eine notwendige Vorbedingung für SAO-Projekte. Sie können Automatisierung in diesem Bereich nicht in einfach eigener Regie einführen – nur in partnerschaftlicher Zusammenarbeit mit der gesamten IT kommen Sie zu einer effektiven Lösung. Und für diese Kooperation wiederum ist es sehr förderlich, wenn Ihre Lösung den erwähnten mehrstufigen und verteilten Freigabeprozess unterstützt – denn unter dieser Bedingung haben alle verantwortlich Beteiligten die Chance, zu einem zuvor automatisch eingeleiteten Change-Prozess entweder ihre Zustimmung zu geben oder ihn nach einer Überprüfung abzulehnen. Dies erhöht das Vertrauen ins System und hilft, anfängliche Bedenken zu zerstreuen.
Die Kosten für die Integration sind ein weiterer wichtiger Aspekt bei der Auswahl eines SAO-Ansatzes. Immerhin hängen der Wert und die Effektivität der Lösung am Ende von Daten ab, die es von anderen System empfängt, und davon, wie es mit anderen Produkten aktiv zusammenarbeitet. Wenn Sie eine Stand-Alone-SAO-Lösung einsetzen, wird sie beispielsweise wahrscheinlich Events auswerten, die eine Security-Intelligence- und Event-Management-Plattform (SIEM) generiert.
Es ist wichtig zu herauszufinden, wie hoch die Integrationskosten ausfallen, und sich ein Bild davon zu machen, wie gut sich die Workflows von SAO und SIEM aus Sicht der Anwender miteinander verzahnen lassen. Werden die resultierenden Prozesse tatsächlich effektiv ablaufen? Haben die Teams die Möglichkeit, auch weiterhin ihre eigenen, dann automatisierten Playbooks anzulegen? Wie weit lässt sich die SAO-Lösung mit anderen Systemen (z.B. Ticketing, Unternehmenssoftware etc.) integrieren – und wie lange wird es dauern, bis diese Integration umgesetzt ist? Wie hoch dürften die Wartungskosten ausfallen? All diese Fragen sollten Sie während der Evaluationsphase zu beantworten versuchen.
Fazit
SAO bietet eine hervorragende Möglichkeit, die Erkennung und Abwehr von Bedrohungen zu beschleunigen. Performance-Indikatoren wie die durchschnittliche Zeit bis zur Erkennung (Mean Time to Detect, MTTD) und Gegenwehr (Mean Time to Response, MTTR) lassen sich deutlich verbessern, und ihre Teams können ihre anspruchsvolle Arbeit zielgerichteter. planvoller und weniger gehetzt erledigen. SAO gibt den Spezialisten genau jenes Mehr an Zeit, dass sie sich auf ihre wichtigsten Aufgaben tatsächlich konzentrieren können und nicht im ständigen manuellen Klein-Klein gefangen bleiben.
Über den Autor: Chris Petersen ist CTO und Co-Founder von LogRhythm.
(ID:44722370)
:quality(80)/images.vogel.de/vogelonline/bdb/1881400/1881492/original.jpg "Eine neue Generation von Incident Response Tools erfüllt den Bedarf an erweiterter, ausgefeilter Erkennung und Abwehr: Extended Detection and Response, kurz XDR. (iStock)")
:quality(80)/images.vogel.de/vogelonline/bdb/1942400/1942450/original.jpg "Die Kooperation von Palo Alto Networks und IBM soll zu einer KI-gestützten Sicherheitsautomatisierung für 5G-Netzwerke führen. (© – Yingyaipumi – stock.adobe.com)")