Warum Automatisierung im Sicherheitsbereich unumgänglich ist
Angesichts der meist angespannten personellen Situation in der IT Security, kann die Automatisierung Aufgaben übernehmen, wie das kontinuierliche Patchen von Systemen.
Der Bedarf an qualifizierten Fachkräften scheint eines der größten Probleme der Cybersicherheitsbranche zu sein. Tatsächlich wird geschätzt, dass es bis 2021 über 3,5 Millionen freie Stellen in der Branche geben wird. Sicherheitsteams sind also weiterhin auf der Suche nach relevanten Mitarbeitern oder Tools, die helfen können, den steigenden Aufwand zu bewältigen. Ein Ansatz, der innerhalb der Cyber-Community an Bedeutung gewinnt, könnte daher die Automatisierung sein.
Eine tägliche Herausforderung, mit der sich viele Sicherheitsteams auseinandersetzen müssen, sind Fehlalarme. Diese können schnell überhandnehmen und dann unnötigen Druck auf das Sicherheitspersonal ausüben, die dringendsten Vorfälle zu priorisieren und zu beheben. In einer derart schnelllebigen Umgebung wie der Cybersicherheit, kann dies bedeuten, dass einige Fehlermeldungen am Ende aus dem Fokus geraten. Das kann entweder daran liegen, dass es an Informationen oder Ressourcen mangelt, oder dass langwierige manuelle Prozesse jede sinnvolle Weiterentwicklung behindern.
Viele Beschäftigte im Sicherheitsbereich kennen diese Komplikationen und hatten mit ähnlichen Szenarien zu kämpfen. Eine Taktik dagegen kann sein, Sicherheitsteams intern in drei Ebenen von Analysten zu unterteilen, wobei abgestufte Prozesse zur Lösung bestimmter Fehlermeldungen eingesetzt werden.
Warnmeldungen und Probleme identifizieren
Stufe eins dient der Identifizierung und Auslösung von Warnmeldungen und fungiert als erste Barriere. Die zweite Ebene von Analysten wird sich dann mit diesen Vorfällen befassen und weitere Untersuchungen durchführen, um Fehlalarme zu identifizieren und tatsächliche Probleme zu identifizieren. Die dritte und letzte Ebene fungiert dann als letzte Verteidigungslinie bei der Lösung komplexester Probleme. Zu ihrer Verantwortung gehört auch das direkte Reagieren auf Vorfälle.
Logistisch gesehen ist es für Sicherheitsteams naheliegend, dazu ein Workflow-Management-System zu verwenden, das den Prozess bei der Verteilung der Vorfälle an verschiedene Analysten automatisiert und gleichzeitig alle anderen Beteiligten, einschließlich der gesamten IT-Abteilung, informiert und auf dem aktuellen Stand hält. Dies sorgt zudem dafür, dass es eine Kette von dokumentierten Informationen innerhalb eines konsistenten und effizienten Prozesses gibt. Dies sind bereits zwei Schlüsselelemente, die durch Automatisierung entscheidende Vorteile für Unternehmen und Organisationen bieten können.
Automatisierung sorgt dafür, die Anzahl der alltäglichen Aufgaben zu reduzieren, automatische erste Prüfungen von Vorfällen vor ihrer Neuzuordnung durchzuführen und dann alle notwendigen Daten zu einem bestimmten Vorfall zusammenzustellen. Dies ist bereits abgeschlossen, bevor die Daten den Analysten zur Verfügung gestellt werden. Diese entscheiden dann, ob sie sie weiter untersuchen oder sofort reagieren. Allerdings sollten dabei auch eventuelle Zusammenhänge oder Abhängigkeiten berücksichtigt werden. So kann beispielsweise die Automatisierung der Protokollsammlung sehr effektiv sein, jedoch hängt die Interpretation der Protokolle davon ab, ob die Endpunkte oder Hosts, auf die sie sich beziehen, identifiziert werden können.
Für größere, dynamischere Systeme ist es nicht effizient, mit einer Tabelle zu arbeiten, die eine riesige Liste von IP-Adressen enthält, um einen Host zu finden. Dies kann für kleine, weniger mobile Umgebungen besser geeignet sein. Automatisierte Asset-Erkennungs-Tools können gerade hier eingesetzt werden, um die Sequenzabfolge bei der Suche nach einer genauen Asset-Datei zu beschleunigen.
Sicherheitsaufgaben automatisieren
Aus diesem Grund wird Automatisierung hauptsächlich für die Protokollierung des Systems und die Sicherheitsüberwachung von Geräten über alle angeschlossenen Netzwerke hinweg eingesetzt. Automatisierung kann auch Aufgaben auf niedrigerem Niveau übernehmen, wie beispielsweise das kontinuierliche Patchen von Systemen und die Durchführung von Schwachstellenscans.
„Automatisierung sorgt dafür, die Anzahl der alltäglichen Aufgaben zu reduzieren, automatische erste Prüfungen von Vorfällen vor ihrer Neuzuordnung durchzuführen und dann alle notwendigen Daten zu einem bestimmten Vorfall zusammenzustellen.“
Paddy Francis, Airbus CyberSecurity
Darüber hinaus gibt es viele Tools, – einige davon sogar frei oder Open Source –, um Teile der Incident-Triage zu automatisieren. In einem Arbeitsgang können diese Tools Hashes hochladen, die alle Start-up-Executables sowie alle laufenden Prozesse auf einem Host enthalten. In Verbindung mit speziellen Malware-Scan-Lösungen, die alle unbekannten Bedrohungen scannen und analysieren, kann das Automatisierungs-Tool jede bekannte Malware erkennen.
Viele Unternehmen haben bereits SIEM-Technologien erprobt, um ihre Reaktion auf Vorfälle zu beschleunigen. Dabei können Voreinstellungen mit Hilfe einer Reihe von möglichen Ereigniskombinationen konfiguriert werden, um bei potenziell gefährlichen Bedrohungen zu warnen. Diese können so angepasst werden, dass mögliche Schwachstellen auf der Grundlage aktueller Bedrohungsinformationen aufgespürt werden, so werden auch die allgemeinen Detektionsraten optimiert.
Auf die kontinuierlichen Weiterentwicklungen der Cyberbedrohungen müssen sich Sicherheitsteams täglich einstellen, um ihre Unternehmen wirksam schützen zu können. Hier kann die Integration von Automatisierung in die Sicherheitsinfrastruktur ein entscheidender Faktor sein, um die Belastung der Teams zu verringern. Sobald ein Unternehmen die richtige Balance zwischen der Analyse durch Menschen und der Automation gefunden hat, wird der gesamte Sicherheitsapparat effektiver arbeiten können.
Über den Autor:
Paddy Francis ist CTO bei Airbus CyberSecurity.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.