Die Reaktion auf Sicherheitsvorfälle besser automatisieren
Die Automatisierung der Reaktion auf Vorfälle kann der Security sowohl in der Cloud als auch in lokalen Umgebungen zugutekommen. IT-Teams können so schneller und gezielter agieren.
Obwohl die Anzahl an Sicherheitsvorfällen und Datendiebstählen stetig zunimmt, haben viele Unternehmen damit zu kämpfen, dass die Teams für die Vorfallreaktion meist unterbesetzt sind oder Schwierigkeiten haben, immer angemessen zu reagieren.
Wie in vielen anderen Bereichen auch, halten Incident-Response-Teams mit gutem Grund Ausschau nach Möglichkeiten, Prozesse zu automatisieren. Insbesondere jene Abläufe, durch die sehr qualifiziertes Fachpersonal unnötig gebunden wäre. Oft finden geht es um sich wiederholende Aufgaben, die schlussendlich nur einen begrenzten Beitrag für die gesamte Untersuchung liefern. Für folgende Aktivitäten ziehen IT-Teams daher Automatisierung in Betracht:
Identifizieren und Korrelieren von Alarmmeldungen. Viele Security-Experten verbringen übermäßig viel Zeit damit, sich durch sich wiederholende Warnmeldungen und Alarme aus vielen Protokollquellen zu wühlen. Nachfolgend gilt es dann noch Korrelationen zu ähnlichen Ereignissen festzustellen, oder diese anzulegen. Dies ist zwar zweifelsohne für die späteren Phasen der Untersuchung wichtig, kann aber auch bis zu einem gewissen Grad automatisiert werden.
Erkennen und Aussortieren von Falsch-Positiv-Ergebnissen. Wenn es gut läuft, kann das Identifizieren von Falsch-Positiv-Ergebnissen (False Positive) einfach nur mühsam sein, wenn es schlecht läuft auch kaum zu schaffen. Mit modernen Werkzeugen für Incident Response und Ereignismanagement lässt sich dieser Bereich deutlich rationalisieren und automatisieren.
Erstuntersuchung und Verfolgung der Bedrohung. Analysten müssen schnell Beweise für ein kompromittiertes System oder ungewöhnliche Aktivitäten finden. Und dies oft in großem Maßstab.
Anlegen und Aktualisieren von Vorfällen beziehungsweise Tickets. Mit der zunehmend verbesserten Integration mit Ticketing-Systemen, können die von den Notfallteams verwendeten Tools automatisch Tickets für die richtigen Teammitglieder generieren und diese beim Eingang von Ergebnissen und Beweisen aktualisieren.
Berichte und Ergebnisse erstellen. Sind die Beweise einmal zusammengestellt, die Vorfälle aber noch akut oder auch schon abgeschlossen, kann die Zusammenstellung von Berichten, Zusammenfassungen und den vorliegenden Zahlen sehr zeitaufwendig sein.
Anwendungsfälle für die Automatisierung der Vorfallreaktion
Indem IT-Teams die Vorfallreaktion (Incident Response) so gut wie möglich automatisieren, können sie Zeit bei der Reaktion auf Sicherheitsvorfälle gewinnen. Hierfür bieten sich unter anderem folgende Anwendungsgebiete an:
- Automatisierte DNS-Abfragen (Domain Name System) von Domänennamen, die noch nie zuvor aufgetaucht sind, dabei kann man Proxy- und DNS-Log-Dateien nutzen;
- Automatische Suche nach Indicators of Compromise (IOC);
- Automatischen Anlegen von Festplatten- und Speicher-Abbildern bei verdächtigen Systemen, aufgrund von Warnmeldungen, die von den verwendeten Security-Tools ausgelöst wurden;
- Bei verdächtigen Systemen automatisch den ausgehenden Netzwerkverkehr durch Netzwerkszugriffskontrolle (NAC) blockieren.
Die Automatisierung der Reaktion auf Vorfälle hilft auch bei der forensischen Beweiserhebung, der Suche nach Bedrohungen und sogar bei automatisierten Quarantänemaßnahmen für verdächtige Systeme.
Anbieter im Bereich automatische Vorfallreaktion
Sicherheitsteams müssen IOCs (Indicators of Compromise) schnell identifizieren und die entsprechenden Reaktionen meist über zahlreiche Systeme hinweg durchführen. Automatisierung muss da ein gemeinsames Ziel über die verschiedenen notwendigen Aktionen sein.
Es existieren am Markt eine ganze Reihe von Anbietern und Werkzeugen, die bei der Automatisierung und der Vereinheitlichung von Erkennung und Reaktion Unterstützung bieten können. Ganz exemplarisch und ohne Anspruch auf Vollständigkeit seien etwa genannt: FireEye Security Orchestrator, Fortinet CyberSponse, Splunk Phantom, IBM Resilient Security Orchestration, Automation and Response (SOAR) und viele mehr.
Die meisten von ihnen verwenden APIs (Application Programming Interface, Programmierschnittstelle) mit anderen Plattformen und Tools, um den Datenaustausch und die Erstellung optimierter Antwort-Workflows zu ermöglichen.
Unabhängig davon, für welche Ausprägung von Tool man sich entscheidet, wichtige Punkte sind immer die Anbindung und die Integration mit vorhandenen SIEM-Lösungen (Security Information and Event Management), die Implementierung und die Integration in die Gesamtumgebung an sich und nicht zuletzt die Benutzerfreundlichkeit.
Automatische Vorfallsreaktion und das Thema Cloud
Viele Werkzeuge zur Erkennung und Reaktion auf Vorfälle in Cloud-Umgebungen sind deutlich auf Automatisierung konzipiert. Häufig werden die Tools auf die Zusammenarbeit mit den APIs eines bestimmten Providers ausgerichtet.
Zum Beispiel schrieb Teri Radichel eine Abhandlung über die automatisierte Reaktion auf AWS-Vorfälle und veröffentlichte ein einfaches Toolkit, um auch dabei zu unterstützen. Das ThreatResponse-Toolkit, das von Andrew Krug, Alex McCormack, Joel Ferrier und Jeff Parr entwickelt wurde, kann auch bei der Automatisierung der Erfassung von Vorfallreaktionen, der Forensik und der Berichterstattung für Cloud-Umgebungen in AWS (Amazon Web Services) eingesetzt werden.
In anderen Anwendungsfällen müssen die Vorfallreaktionsteams automatisierte Auslöser für bestimmte Ereignistypen erstellen, die dann ständig laufen, wie etwa mit Amazon CloudWatch. Das gilt dann insbesondere für sehr dynamische Umgebungen.
Cloud-Lösungen für die Automatisierung von Incident Response nutzen
Aufgrund der Möglichkeiten der massiven Verarbeitungsfähigkeit und Skalierungseffekten der Sicherheitsanalyse in der Cloud, ergeben sich unter Umständen auch hier Vorteile für die Reaktion auf Sicherheitsvorfälle. In einem Security Operations Center verbringen die Analysten häufig viel Zeit mit einer ganzen Reihe von Aktivitäten. Dabei kann Cloud-basierte Automatisierung durchaus Unterstützung bieten:
Alarme identifizieren und korrelieren. Durch den Einsatz groß angelegter Cloud-Analysen kann die Identifizierung von Sicherheitsalarmen automatisiert werden, um bessere und schnellere Ergebnisse zu erzielen als mit internen Plattformen.
Identifizierung und Unterdrückung von Falsch-Positiv-Ergebnissen. Hier bieten Cloud-Lösungen unter Umständen verbesserte Eigenschaften in Sachen Maschinellem Lernen. Nach einer Lernphase ist es so möglich, die Anzahl der Falsch-Positiv-Ergebnisse deutlich zu reduzieren.
Erstuntersuchung und Sichtung. Bei der Automatisierung durch Cloud-Dienste können Ereignisse sofort vordefinierte Abläufe auslösen, die entsprechenden Workloads bewerten und Ereignisinformationen überprüfen.
Ticketgenerierung und -aktualisierung. Wenn Automatisierungsabläufe ohnehin schon durch die Anbindung an Cloud-Systeme ausgelöst werden, kann das auch für das Anlegen von Tickets und deren Aktualisierung gelten. Voraussetzung ist natürlich, dass die Ticketingsysteme in die jeweiligen Cloud-Umgebungen integriert werden.
Berichterstellung. Viele Cloud-Werkzeuge erlauben eine automatische Berichterstellung. Die Analyse und Automatisierung von Cloud-Ereignissen kann bei Bedarf durch eine automatische Berichterstellung unterstützt werden.
Eine solide Vorarbeit bei der Automatisierung der Reaktion auf Sicherheitsvorfälle ist unabdingbar. Die Entscheidung, welche Implementierung was auslöst und welche Maßnahmen zu ergreifen sind, dürfte der zeitaufwendigste Aspekt beim Aufbau eines halb- oder vollautomatischen Ansatzes für die Cloud sein.
Was sollen Auslöser sein? Konzentriert man sich auf Benutzeraktionen? Oder auf bestimmte Ereignisse, die von Instanzen oder Storage-Objekten erzeugt werden? Welche Rolle spielen Ausfälle? Hier kann es von unschätzbarem Wert sein, Zeit damit zu verbringen, das Verhalten von Cloud-Umgebungen wirklich zu lernen. Je besser man die dortigen Nutzungsmuster versteht, um so besser für Erkennung und Reaktion.
Keines der genannten Werkzeuge und keine der angeführten Methoden wird qualifizierte Security-Analytiker ersetzen. Die sachkundigen Fachleute kennen und verstehen das Umfeld, und wissen damit genau, wie man während eines bestimmten Szenarios richtig reagiert. Wenn man diesen Praktikern durch die Abnahme von wiederkehrenden Aufgaben nicht genügend Zeit verschafft, schneller zu erkennen und zu reagieren, wird es schwer, mit den heutigen Angreifern Schritt zu halten.