Dreaming Andy - Fotolia
Incident Response Automation: Automatische Vorfallreaktion
Security-Teams sind häufig unterbesetzt und überlastet. Die Automatisierung der Reaktion auf Vorfälle kann dabei helfen, ihre Arbeit effizienter zu gestalten und sie zu entlasten.
Daten sind allgegenwärtig, aber nicht alle davon sind verwertbar. Die Sicherheitsteams von heute werden mit datengesteuerten Warnungen überschwemmt, von denen viele Fehlalarme sind. Die Nutzung relevanter Informationen - die Analysten schnell in die richtige Richtung lenken können, um zum Beispiel wichtige Sicherheitsvorfälle zu finden und zu beheben - ist entscheidend.
Speziell entwickelte Automatisierungstools für die Reaktion auf Vorfälle können helfen. Solche Tools sortieren die Datenflut, um potenzielle Security-Vorfälle in der Infrastruktur eines Unternehmens schnell zu erkennen, zu analysieren und nach Prioritäten zu ordnen. Sie durchbrechen die Flut von Warnmeldungen und helfen den oft unterbesetzten Sicherheitsteams, ihre Reaktionszeiten zu verkürzen.
Was bedeutet Automatisierung der Reaktion auf Vorfälle?
Die Automatisierung der Reaktion auf Vorfälle (Incident Response Automation) bezieht sich auf die Verwendung von regelbasierter Logik, maschinellem Lernen (ML) und künstlicher Intelligenz (KI), um Folgendes zu erreichen:
- Daten aus verschiedenen Quellen automatisch zu analysieren und zu korrelieren, um Vorfälle, die die Cybersicherheit eines Unternehmens bedrohen, zu identifizieren und einzuteilen; und
- automatische Ausführung von standardisierten Routineaufgaben, um den Reaktionsprozess auf Vorfälle zu beschleunigen und die Effizienz und Effektivität von SecOps-Teams zu erhöhen.
Die Technologie zur automatisierten Reaktion auf Vorfälle gewinnt im Security Operations Center (SOC) von Unternehmen zunehmend an Bedeutung. Da die Infrastrukturen immer größer und komplexer werden - viele erstrecken sich mittlerweile über mehrere LANs, Rechenzentren und Clouds - wird die Verwaltung der von ihnen erzeugten Daten immer schwieriger. Die manuelle Bearbeitung jedes Sicherheitshinweises ist daher ineffizient und unpraktisch, und die Suche nach der Ursache eines Sicherheits- oder Leistungsproblems wird immer schwieriger.
Automatisierte Incident-Response-Tools zielen darauf ab, nur relevante, umsetzbare Warnungen zu finden und den SOC-Teams anzuzeigen, während diejenigen, die mit gutartigen Aktivitäten korrelieren, unterdrückt werden. Die Technologie kann auch automatisierte Playbooks verwenden, um häufige Vorfälle mit geringerem Risiko zu lösen und Betreibern nächste Schritte für Cyberbedrohungen mit höherem Risiko vorschlagen.
Die Automatisierung der Reaktion auf Vorfälle rationalisiert die Schritte, die zur Erkennung der folgenden Punkte erforderlich sind:
- ein relevantes Ereignis eingetreten ist;
- die eigentliche Ursache des Vorfalls;
- warum der Vorfall aufgetreten ist; und
- was dagegen unternommen werden kann.
Was sind die Vorteile der Automatisierung der Reaktion auf Vorfälle?
Durch die Nutzung und Analyse der enormen Mengen an Sicherheits- und Zustandsdaten, die von verschiedenen Netzwerk-, System- und Sicherheitskomponenten erzeugt werden, bieten Automatisierungstools für die Reaktion auf Vorfälle die folgenden Vorteile:
- Geringere Alarmmüdigkeit. Das typische SecOps-Team eines Unternehmens bearbeitet täglich Tausende von Sicherheitswarnungen. Ohne den Vorteil der Automatisierung können Sicherheitsanalysten leicht den Großteil ihrer Zeit mit der Untersuchung von Fehlalarmen verbringen, während kritische Vorfälle durch die Maschen fallen.
Die Automatisierung der Reaktion auf Vorfälle und die ML-Technologie können lernen, falsch-positive Alarme zu erkennen und automatisch zu unterdrücken, wodurch das Alarmierungsrauschen erheblich reduziert wird.
- Triage von Alarmen. Nach dem Abweisen falscher Alarme analysieren, korrelieren und klassifizieren die Tools andere Alarme je nach Schweregrad. Auf diese Weise wird die Entscheidungsfindung vereinfacht, indem die kritischsten Vorfälle für ein sofortiges menschliches Eingreifen gekennzeichnet werden.
- Automatische Untersuchung und Reaktion. Einige moderne Technologien für die automatische Reaktion auf Vorfälle verfügen über Funktionen, die über die Alarmtriage hinausgehen. SOAR-Tools (Security Orchestration, Automation and Response) sind in der Lage, mithilfe von richtliniengesteuerten Playbooks auf Vorfälle zu reagieren. Wenn beispielsweise ein System eine Ransomware-Infektion zu haben scheint, kann eine SOAR-Plattform einen automatisierten Workflow zur Isolierung des Systems einleiten.
Folgende Tools können Security-Teams bei der Beseitigung von Cyberbedrohungen unterstützen:
- Automatische Ticket-Erstellung und Alarmierung. Die Technologie zur Reaktion auf Vorfälle kann automatisch Tickets öffnen und verwalten sowie die entsprechenden Beteiligten über einen Vorfall informieren und sie in Echtzeit auf den neuesten Stand bringen.
- Effektivere Nutzung der menschlichen Ressourcen. Durch die Automatisierung der Reaktion auf Vorfälle werden Sicherheitsanalysten von vielen routinemäßigen, manuellen und sich wiederholenden Aufgaben entlastet, so dass ihnen mehr Zeit für fortgeschrittene, hochwertige Aktivitäten bleibt, zum Beispiel für die Reaktion auf kritische Vorfälle und die proaktive Suche nach Bedrohungen.
Durch die automatische Korrelation von Ereignisdaten aus verschiedenen Quellen reduziert die Automatisierung auch den Aufwand für menschliche Untersuchungen, die erforderlich sind, um die Grundursache eines Vorfalls zu ermitteln. - Schnellere Reaktion und Lösung. Durch die Verkürzung der mittleren Erkennungszeit (MTTD, Mean Time to Detection) eines Vorfalls - und durch das Sammeln, Korrelieren und Darstellen von kontextbezogenen Informationen aus verschiedenen Datenquellen mit der Geschwindigkeit von Maschinen und in großem Umfang - versetzt die automatisierte Technologie zur Reaktion auf Vorfälle die Analysten in die Lage, ihre Untersuchungen von Hochrisikowarnungen so effizient wie möglich durchzuführen. Dies sollte wiederum zu einer kürzeren mittleren Reparaturzeit (MTTR) führen, die Verweildauer der Angreifer reduzieren und den Schaden für das Unternehmen minimieren.
- Automatische Fallverwaltung und Berichterstattung. Die manuelle Verfolgung von Leistungskennzahlen wie MTTD und MTTR, die Zusammenführung von Daten aus verschiedenen Quellen zu einem einzigen Fallbericht und die Erstellung von Vorfallberichten sind mühsam und zeitaufwendig. Die Automatisierungstechnologie sammelt und präsentiert relevante Informationen nahezu sofort.
- Kosteneinsparungen. Automatisierte Technologien für die Reaktion auf Vorfälle können zu Kosteneinsparungen beitragen, indem sie die Belastung der chronisch überlasteten und unterbesetzten Sicherheitsteams verringern und so die Produktivität und die Mitarbeiterbindung verbessern. Bessere Sicherheitsergebnisse können auch bedeuten, dass ein Unternehmen Geld spart, das es andernfalls bei einem schwerwiegenden Vorfall, wie zum Beispiel einer Datenverletzung, verloren hätte.
Die automatisierten Problemlösungsfunktionen einiger Tools, wie SOAR (Security Orchestration, Automation and Response), werden zwar immer besser, haben aber im Allgemeinen noch erhebliche Einschränkungen. Im Moment besteht der Hauptnutzen der Automatisierung der Reaktion auf Vorfälle darin, das Rauschen der Warnmeldungen zu reduzieren und grundlegende, sich wiederholende Aufgaben zu erledigen, damit die Betriebsteams ihre Zeit für die Identifizierung und Lösung von Sicherheitsproblemen mit hoher Priorität verwenden können.
Wie funktioniert die Automatisierung der Reaktion auf Vorfälle?
Die automatisierte Reaktionstechnologie arbeitet mit der Aufnahme, Verarbeitung und Analyse großer Mengen von Rohdaten aus verschiedenen Quellen. Diese variieren je nach Art des Tools – zum Beispiel SIEM vs. SOAR -, können aber Folgendes umfassen:
- Software zur Erkennung von Malware;
- Firewalls;
- Anwendungsprotokolle;
- IDS- (Intrusion Detection) und IPS-Lösungen (Intrusion Prevention);
- Identitäts- und Zugriffsmanagement (IAM);
- Externe Bedrohungsdaten-Feeds;
- Software für die Endpunktsicherheit; und
- weitere Quellen Dritter.
Nach der Analyse der Daten mithilfe von ML und KI zielt die Technologie zur Automatisierung der Sicherheit darauf ab, Folgendes zu tun:
- zwischen sinnvollen Kennzeichnungen und Fehlalarmen zu unterscheiden;
- die wichtigsten Warnungen zu priorisieren und
- darauf hinweisen, wo in der Infrastruktur ein Problem seinen Ursprung haben könnte.
Anwendungsfälle für Incident Response Automation
Mit folgenden Anwendungsfällen lässt sich die Reaktion auf Vorfälle automatisieren:
• automatische DNS-Abfragen von Domänennamen, die noch nie zuvor beobachtet wurden und von Proxy- und DNS-Logs gesteuert werden;
• automatische Suche nach Anzeichen für eine Gefährdung;
• automatische forensische Sicherung von Festplatten und Arbeitsspeicher eines verdächtigen Systems aufgrund von Warnmeldungen, die von netzwerk- und hostbasierten Antimalware-Plattformen und -Tools ausgelöst werden; und
• Netzwerkzugriffskontrollen, die ausgehende Befehls- und Kontrollkanäle von einem verdächtigen System automatisch blockieren.
Die Automatisierung der Reaktion auf Vorfälle kann auch bei der forensischen Beweissicherung, der Suche nach Bedrohungen und sogar bei automatischen Quarantäne- oder Abhilfemaßnahmen auf verdächtigen Systemen helfen.
Bewährte Verfahren zur Automatisierung der Reaktion auf Vorfälle
Eine erfolgreiche Automatisierung der Reaktion auf Vorfälle hängt weitgehend von der Fähigkeit ab, relevante Datenströme in Tools zu leiten, die diese analysieren und aussagekräftige Erkenntnisse liefern können.
Sicherheitsexperten müssen daher Folgendes beachten:
- welche Datenströme die Infrastruktur des Unternehmens erzeugt;
- welche Datenströme die vorhandenen automatisierten Tools für die Reaktion auf Vorfälle unterstützen; und
- alle ungenutzten Datenströme, die sie hinzufügen könnten, um optimale Transparenz zu gewährleisten.
Bei diesem Prozess der Informationserfassung kann es vorkommen, dass einige Hardware- und Softwarehersteller die Verwendung proprietärer Tools für die Zustands- und Sicherheitsanalyse und die Automatisierung der Reaktion auf Vorfälle verlangen. In anderen Fällen können Teams standardbasierte Telemetrie verwenden, was die Tür für eine beliebige Anzahl von Drittanbieter-Tools öffnet. Die gute Nachricht ist, dass die Hersteller beginnen, auf das Feedback ihrer Kunden zu hören, und dass viele daran arbeiten, einen stärker standardbasierten Ansatz für diejenigen zu integrieren, die dies wünschen.
Zusammenfassend lässt sich sagen, dass zu den bewährten Praktiken der Automatisierung der Reaktion auf Vorfälle die folgenden gehören:
- Auswahl des Tools. Wählen Sie ein Tool, das die spezifischen Formen der abgefragten, sensorgesteuerten und telemetrischen Daten einer Infrastruktur aufnehmen und analysieren kann.
- Datenbeschaffung. Wählen Sie die richtigen Datenquellen aus und verbinden Sie sie mit dem Automatisierungstool.
- Manuelle Abstimmung. Eine Infrastruktur produziert wahrscheinlich falsch-positive Ergebnisse und weißes Rauschen, das für die Identifizierung der Grundursachen nicht sinnvoll ist. Über eine manuelle Abstimmung lässt sich dies optimieren.
Nach der Bereitstellung bieten solche Tools zahlreiche Möglichkeiten zur Anpassung der Priorisierung von Vorfallwarnungen, wie zum Beispiel die Kennzeichnung der für die Behebung eines bestimmten Vorfalltyps verantwortlichen Mitglieder des Betriebsteams.