lolloj - Fotolia
SecOps: Bedrohungen identifizieren als Aufgabe des IT-Teams
IT-Teams können im Rahmen ihrer täglichen Aufgaben Schritte zur Verbesserung der Sicherheit integrieren. Das verbessert die Erkennung von Bedrohungen und reduziert Fehlalarme.
Wenn in Unternehmen erkannt wird, dass sowohl Entwickler wie auch mit dem reinen Betrieb beschäftige IT-Teams in Sachen Sicherheit eine wichtige Rolle spielen, ist bereits viel gewonnen. SecOps findet an der Schnittstelle von IT-Betrieb, Security und Bedrohungsmanagement statt. IT-Teams, die sich um den Betrieb kümmern, sollten halbautonome Sicherheitsaufgaben übernehmen. Dies insbesondere bei der Identifizierung von Bedrohungen. So lässt sich das gesamte Risikomanagement eines Unternehmens verbessern.
Viele größere Unternehmen verfügen über Security Operations Center (SOCs) und Security-Teams. Traditionell suchen die Sicherheitsteams von außen nach innen nach potenziellen Angriffspunkten und Symptomen einer aktiven Bedrohung. SOCs sind oft separate Einheiten, die vom täglichen IT-Betrieb gesonderte Tools verwenden. Ein SOC überwacht und analysiert die IT-Systeme des Unternehmens auf unerwartete Aktivitäten, die auf Probleme hinweisen könnten. Obwohl SOCs für eine umfassende Sicherheit unerlässlich sind, können sie eine große Quelle von Bedrohungen übersehen.
SecOps beschreibt Aufgaben, die IT-Betriebsteams durchführen, um Anwendungen und Infrastrukturen präventiv zu härten und sie während ihres Lebenszyklus vor Angriffen zu schützen. Es handelt sich um eine Formalisierung der Sicherheit in den täglichen IT-Aufgaben. SecOps als Disziplin konzentriert sich in der Regel auf neue Anwendungen oder erheblich veränderte Bereiche der gesamten IT-Umgebung. SecOps geht davon aus, dass Bedrohungen entstehen, weil eine neue oder geänderte Anwendung kritische Daten und Anwendungsressourcen auf neue Art und Weise offenlegen kann. Dadurch können neue Angriffsflächen entstehen.
Automatisierte SecOps-Tools testen verfügbare APIs (Programmierschnittstellen) oder Ports auf Schwachstellen. Zusätzlich zu diesen Tools sollte die allgemeine IT-Werkzeuge auch Änderungen bei Konfigurationen überprüfen. Eine Konfigurationsänderung kann ein Routinevorgang sein, etwa für eine verbesserte Leistung, zur Unterstützung einer neuen Funktion oder aus einem anderen Grund. Und eben solche Änderungen können Angreifern Tür und Tor öffnen. Der IT-Betrieb muss sich mit diesen Arten von Bedrohungen befassen.
SecOps sollte Security und IT-Betrieb für neue oder geänderte Anwendungen harmonisieren. Und damit die Admins, die sich mit dem IT-Betrieb beschäftigen, in die kontinuierliche Identifizierung von Bedrohungen einbeziehen. Es empfiehlt sich beim Beginn von SecOps, das vom IT-Betriebsteam gesteuert wird, die Sicherheitsansätze des IT-Betriebs zu überprüfen. Konzentrieren Sie sich dann auf Arbeitsabläufe, Protokollverwaltung und die Reduzierung von Fehlalarmen.
Die IT-Betriebsabläufe auf den Prüfstand stellen
IT-Betriebsteams können viele Bedrohungen erkennen, die sich aus wenig vorteilhaften internen Praktiken ergeben. Diesen Zweck erfüllen standardmäßige Analyse- und Monitoring-Tools, die von der IT-Abteilung ohnehin verwendet werden. Sicherheit sollte den gleichen Stellenwert haben, wie alle anderen Prozesse zur Bereitstellung, Unterstützung und Wartung von Anwendungen. Sicherheitsbedrohungen sind nur ein weiteres Problem, das mit einem Fehlermanagement-Tool erkannt, isoliert und behoben werden kann. Die Identifizierung von Bedrohungen beginnt jedoch mit einem Verständnis dessen, was gefährdet ist und wie es geschützt wird.
Um mit IT-gesteuerten SecOps zu beginnen, müssen die IT-Betriebsprozesse, die mit gesicherten Ressourcen interagieren, sowie deren Gefährdung ermittelt werden. Datenbanken und APIs, über die kritische Anwendungen zugänglich sind, sind die wichtigsten Assets, die die IT schützen muss. Wo immer möglich, sollten sich SecOps direkt auf die Ressourcen konzentrieren und nicht nur auf die benutzerseitigen APIs. Kernressourcen sind die Endbereiche der kritischen Arbeitsabläufe, die die IT-Abteilung auf Bedrohungen überwachen muss.
Geltungsbereiche eingrenzen
Eine Fokussierung von SecOps ist aus zwei Gründen von Bedeutung:
- Eine zu breit angelegte Bedrohungserkennung führt zu so vielen Fehlalarmen und Falsch-Positiv-Ergebnissen, dass sie unwirksam ist.
- Eine zu breit angelegte Erkennung birgt zudem das Risiko echte Hinweise auf Bedrohungen in einer Flut von Hinweisen untergehen zu lassen. Und das ist an sich schon eine potenzielle Sicherheitsbedrohung.
Die Identifizierung wichtiger Ressourcen, hilft bei der Konzentration der SecOps-Bemühungen. Darüber hinaus sollten IT-Betriebsteams ihre Verfahren zur Identifizierung von Bedrohungen auf Arbeitsabläufe stützen. Ziel ist es, Workflows und ihre Eigenschaften, sowie die statistischen Ergebnisse gültiger Workflow-Muster zu verstehen.
Auf diese Weise können IT-Betriebserkennen erkennen, wie ein Workflow von der Norm abweicht und welche potenziellen Bedrohungen sich aus dieser Abweichung ergeben. Dieser Prozess besteht im Allgemeinen aus zwei Teilen: der Protokollierung und Verfolgung von Bedrohungsvorfällen und der Überwachung von Arbeitsabläufen auf abweichende Muster.
Bedrohungsmuster erkennen
Vielen Sicherheitsbedrohungen bei IT-Systemen liegen mehrere Versuche des Angreifers zugrunde. Zumindest einige dieser Versuche werden erkannt, gemeldet und als Verstöße protokolliert. Allerdings ignorieren die verwendeten Tools oft eine geringe Anzahl von Verstößen. Diese Tools verwenden eine Musteranalyse, um auf eine aktive Bedrohung hinzuweisen. Damit die Tools diese Muster finden können, müssen Sie die Bedrohungsvorfälle klassifizieren. Eine Reihe von Vorfällen, die von einem einzigen Standort oder einer einzigen Person ausgehen, die bislang unauffällig war/ist (beispielsweise nur ein falsches Kennwort eingibt), ist ein potenzieller Bedrohungsindikator.
Mehrere Vorfälle, die von einer Quelle ausgehen, sind zwar verdächtig. Das gilt aber auch von eine Reihe von sich wiederholenden Vorfällen, die von verschiedenen Quellen ausgehen. Ein Eindringling könnte beispielsweise mehrere verschiedene IP-Adressen für einen Angriff verwenden. Dann ist dieses Muster als verdächtig einzustufen.
Ein weiteres Angriffsmuster ist ein fehlgeschlagener Anwendungszugriff, auf den nicht schnell ein erfolgreicher Zugriff folgt. Um solche Vorfälle zu erkennen, sollten Sie die Sicherheitsprotokolle der Anwendungen so einrichten, dass sowohl fehlgeschlagene als auch erfolgreiche Authentifizierungen aufgezeichnet werden. Auf die meisten Sicherheitsvorfälle, die durch einen Fehler verursacht werden, folgen korrekte Einträge. Jedes andere Muster ist verdächtig.
Die Nutzung von Ressourcen überwachen
Wenn es darum geht, Beziehungen von Ressourcen wie Netzwerk, Server, virtuelle Maschinen und APIs mit Bedrohungen in Verbindung zu bringen, kommen die Workflow-Informationen ins Spiel. Workflows neigen dazu, bei einer langfristigen Betrachtung verlässlichen Mustern in Sachen durchschnittlicher Ressourcennutzung zu folgen. Diese Verbrauchswerte hinsichtlich der Ressourcen, können mit der aktuellen Nutzung abgeglichen werden, um Abweichungen zu erkennen, die auf eine Bedrohung hindeuten könnten. Diese SecOps-Überwachungsmethode hilft bei der Erkennung eines DoS-Angriffs (Denial of Service) ebenso wie massiven gleichzeitigen Versuchen Passwörter per Trial-and-Error zu knacken.
Vorsicht vor falsch positiven Ergebnissen
Die Erkennung von Bedrohungen geht von Natur aus mit vielen Fehlalarmen einher. Dem Problem der falsch positiven Ergebnissen, kann man mit einer Analyse des Benutzerverhaltens, einer kontextbezogenen Bedrohungsanalyse und der forensischen Klassifizierung von Bedrohungen im Vergleich zu gewöhnlichen Fehlern, entgegenwirken. All diese Vorgehensweise und Techniken erfordern eine umfassende Datenerfassung und statistische Analyse.
Die Technologie zur Erkennung von Bedrohungen ist noch nicht weit genug, um in jedem Fall automatisierte Reaktionen zu unterstützten. IT-Teams müssen sich nach wie vor mit Falsch-Positiv-Meldungen auseinandersetzen. Wenn die hier beschriebenen Vorgehensweisen angewendet werden, besteht aber die Möglichkeit, dass ein größerer Prozentsatz der Zeit auf wirklich verwertbare Meldungen entfällt.