bluebay2014 - stock.adobe.com
Wie Automatisierung in der Cybersecurity funktionieren kann
In der IT Security kommt man an der Automatisierung nicht vorbei. Welche Optionen gibt es und wie sollte man sie einsetzen? Eine kurze Einführung in den Automatisierungsdschungel.
Die Automatisierung von Prozessen ist einer der wichtigsten Trends in Industrie und Wirtschaft. Von der automatischen Durchführung von Workflows bis zum selbstfahrenden Auto. Automatisierung ist allgegenwärtig und die Versprechen, die mit ihr einhergehen, sind groß. In einer sich immer schneller drehenden Welt soll Automatisierung Unternehmen dabei helfen, das rasante Tempo mitzugehen.
Mit Automatisierung dem Fachkräftemangel entgegenwirken
Es ist also kein Wunder, dass Automatisierung als das Gebot der Stunde gilt – auch im Bereich der Cybersicherheit. In Zeiten von Fachkräftemangel, der insbesondere im Security-Sektor zutage tritt, bietet Automatisierung einen Ausweg. Denn Unternehmen haben nicht nur mit dem Fachkräftemangel zu kämpfen, sondern müssen zeitgleich den größer werdenden IT-Sprawl, also die wachsende Zahl an genutzten Tools und Schnittstellen im Netzwerk, bewältigen.
So entsteht eine große Angriffsfläche für all jene, die nur auf eine Sicherheitslücke warten. Diese Komplexität ist für den Menschen kaum noch zu überblicken. Automatisierung ist daher häufig der einzige Weg, um die Kontrolle über die eigene Infrastruktur zu behalten. Sie ist also schon längst kein Add-On mehr, welches Fachkräfte wie Administratoren oder Security-Manager entlastet, sondern ein Muss für einen immer größeren Teil der Sicherheitsüberwachungsteams.
Entlastung schafft Sicherheit
Automatisierung ist bei weitem kein Buzzword, sondern ist in verschiedensten Bereichen einsetzbar, Sie wird im Security-Umfeld beispielsweise vor allem bei der Incident Response und insbesondere bei der Forensik genutzt. Automatische Threat-Intelligence-Aufbereitung kann den Prozess der Datenerhebung nach einem Incident deutlich effizienter übernehmen und so dem Fachpersonal wertvolle Zeit für die Auswertung der Daten verschaffen. Denn auch hier gilt: Geschwindigkeit ist Trumpf. Auch die Auswahl für die Triage kann von automatisierten Systemen unterstützt werden. So lässt sich schneller priorisieren, welche Geräte und Quellen im Netzwerk als erstes untersucht werden sollten.
Zudem kann Fachpersonal im SOC entlastet werden, indem eine SOAR-Lösung (Security Orchestration, Automation and Response) eingesetzt wird. Das SOAR durchleuchtet das gesamte System automatisiert mithilfe eines „Playbooks“. Dieses ergänzt entweder das bestehende SIEM (Security Information and Event Management) oder Ticket-System oder ersetzt es sogar vollständig. Der Einsatz eines SOARs spart Ressourcen, da sämtliches Verhalten zentral überwacht und schädliche Akteure somit leichter identifiziert werden können. Die wertvolle Zeit der Fachkräfte kann so also deutlich effektiver eingesetzt werden.
„Automatisierung kann nicht nur bei der Analyse, insbesondere sicherheitskritischer Situationen, eingesetzt werden, sondern auch dabei helfen, die effektivsten Abwehrmechanismen für einen Angriff zu finden.“
Gergely Lesku, SOCWISE
Die richtigen Schlüsse ziehen
Automatisierung kann jedoch nicht nur bei der Analyse, insbesondere sicherheitskritischer Situationen, eingesetzt werden, sondern auch dabei helfen, die effektivsten Abwehrmechanismen für einen Angriff zu finden. Wurde ein schädlicher Akteur im Netzwerk identifiziert, kann das System auch die folgenden Schritte, wie die Firewall-Steuerung oder die Blockade einer IP-Adresse, automatisiert durchführen. Das Team ist dann dafür zuständig, die automatisierten Prozesse zu überwachen, während die eigentlichen Aufgaben selbst automatisch ablaufen.
Strategisch zum Ziel
Die zahlreichen Möglichkeiten zur Automatisierung haben jedoch auch ihre Schattenseiten. Ein Problem ist der fehlende Überblick. Wer vor den oben genannten Herausforderungen steht, sollte sich davor hüten, einfach nur möglichst viel „wegzuautomatisieren“.
Stattdessen ist ein strategisches Vorgehen dafür entscheidend, dass Automatisierung am Ende nicht mehr Probleme schafft, als sie löst. Denn um Prozesse automatisieren zu können, braucht es Personal, das die Performance der automatischen Prozesse kontinuierlich überwacht und etwaige Probleme schnell ausfindig macht. Dieser Personaleinsatz ist zwar deutlich geringer, als wenn alle Prozesse manuell ausgeführt würden, doch auch diesen sollte man keinesfalls unterschätzen. Eine sinnvolle Automatisierungsstrategie, die Schritt für Schritt vorgeht, ist daher unerlässlich.
Kosten sparen mit gezielten Investitionen
Investitionen in Automatisierung können Unternehmen einen enormen Vorteil bieten und ihnen dabei helfen, heutige und künftige Herausforderungen zu meistern. Doch um sinnvoll zu automatisieren, sollten Unternehmen sich davor hüten, die Automatisierungskampagne zu überstürzen. Stattdessen ist ein bedachtes Vorgehen sinnvoller, vor allem für jene, die noch am Beginn ihrer Automatisierungsreise stehen. Denn zum einen sind die Fähigkeiten automatisierter Systeme immer noch begrenzt.
Zum anderen müssen die Playbooks und die dahinterliegenden Abläufe, nach denen beispielsweise ein SOAR funktioniert, insbesondere in komplexeren Organisationen oft analysiert und angepasst werden. Das überlastet das Fachpersonal gerade zu Beginn häufig.
Ein zeitgemäßes Security-Operations-Team sollte sich in jedem Fall mit dem Thema Automatisierung auseinandersetzen und eine individuell passende Lösung finden. Daher ist kann es sinnvoll sein, auf externe Dienstleister zurückzugreifen, die die IT-Sicherheit mit dem nötigen Know-how über die verschiedenen Tools und Prozesse unterstützen und den Markt gut kennen.
Über den Autor:
Gergely Lesku ist Head of international Operations bei SOCWISE. Das Unternehmen bietet unter anderem Dienstleistungen wie SOC as a Service, Detect-&-Response-Dienste oder Bedrohungs- und Schwachstellenmanagement.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.