zurück zur Übersicht

Security Automation and Orchestration – Empower your SOC’s Incident Management

Wir befinden uns im Jahre 50 vor 2067 n.Chr. Ganz Deutschland ist vom Feierabend besetzt….

Ganz Deutschland? Nein! Ein von unbeugsamen Analysten bevölkertes Security Operations Center (SOC) hört nicht auf, dem Eindringling Widerstand zu leisten.

Und das Leben ist nicht leicht für die ganz und gar unrömischen Bösewichte, die als Angreifer in den weltweit verteilten Kommandozentren APTorum, DoSrium, Phishinganum und Malwarebonum sitzen.

Abends halb 10 in Deutschland. Der Mond scheint geheimnisvoll über das Firmengelände, im fahlen Mondlicht erscheinen gespensterhaft die dunklen Umrisse der Bürogebäude. Analyst Blue geht zielstrebig auf eines der wenigen beleuchteten Gebäuden zu. Dort angekommen, hält er seine elektronische ID an ein Gerät und stellt sich vor den Irisscanner. Ein kaum erkennbares grünes Licht erscheint aus dem dunklen Loch vor ihm. Der daraufhin erfolgende Ton signalisiert, dass er für den Zugang berechtigt ist. Die zentimeterdicke Stahltür des Hochsicherheitsgebäudes des digitalen Fort Knox schwingt auf, Blue betritt die Schleuse. Im inneren sieht er schon von weitem die unterschiedlichen Bildschirme mit verschiedensten Key Performance Indicators (KPIs) und Metriken, welche am Ende des großen Raumes angebracht sind. Noch 25 Minuten bis zum Schichtwechsel mit seinen Kollegen. Ab in die Küche an den dampfenden Kessel mit Zaubertrank, um der aufkommenden Müdigkeit einen Strich durch die Rechnung zu machen (in der geheimen Fachsprache der Analysten auch Kaffee genannt, Anm. d. Red.).  In 10 Minuten ist die Übergabe der kritischen und hartnäckigen Events fällig bevor Blue anschließend, wie jede Nacht, als unsichtbarer Kämpfer im digitalen Raum mit seinen Teamkollegen abtaucht und gegen die schwerwiegenden Geschütze der Black Hats antritt. Am PC sitzend öffnet Blue als erstes das Ticket-System um sich einen Überblick über die Ihm zugewiesenen Vorgänge und noch unbearbeiteten Events zu verschaffen. Dann mal ran ans Werk! High Priority mit High Severity, das ist genau das Richtige für Blue, für etwas anderes haben er und seine Kollegen bei der großen Masse an Events sowieso keine Zeit. Erstmal alle Informationen einholen, das Incident Enrichment beginnt. Es werden die Konsolen verschiedenster Security-Tools geöffnet, sich auf das betroffene System eingeloggt, ein Memory Dump erstellt, die bestehenden Netzwerkverbindungen analysiert, die Threat Intelligence Feeds angefragt, im SIEM nach ähnlichen Vorfällen manuell gesucht, und so weiter und so fort. Für einen so erfahrenen Analysten wie Blue stellt das Incident Enrichment den langweiligsten Teil seiner Arbeit dar, für jeden Incident werden dafür je nach Kategorie die gleichen Schritte befolgt und es wird schnell bei jeder Nachtschicht zur ermüdenden Routine. Dies sieht nach einem gravierenderen Incident aus, sofort nach Tier 3 eskalieren! Und ab zum nächsten Event. Und schon wieder Incident Enrichment. Und wieder ein False Positive, schon der vierte heute Abend. Gut dass bald Schichtende ist.

Am Ende der hart umkämpften Nacht ist Blue froh, sich mit gemischten Gefühlen in die verdiente Erholung verabschieden zu können. Wieso müssen diese standardisierten und gleichen Prozessschritte auch immer so langatmig sein? Blue fühlt sich dabei überhaupt nicht mehr gefordert. Und dieses ewige Einloggen in die verschiedenen Konsolen, das frisst einfach viel zu viel Zeit. Von False Positives ganz zu schweigen. Deprimierend ist auch, dass immer nur der obere Ticketstapel mit den dringendsten Events abgearbeitet werden kann, da das Team seit langem chronisch unterbesetzt ist. Und die durchschnittliche Zeit, die er für einen Event benötigt, bis er diesen vollständig bearbeitet und geschlossen hat (Mean Time to Resolution, MTTR), ist für seinen Geschmack sowieso viel zu lang.

Wenn Blue wüsste, dass sich eine feindliche Keimzelle in diesem Moment im Netzwerk befindet und durch seine kriminelle Erfahrung während des Lateral Movements nur scheinbar unbedeutende Events produziert, könnte er heute gewiss nicht ruhig schlafen. Diese gelangen durch die unbändige Masse zu bearbeitender Events gar nicht an die Analysten, obwohl sie mit den gravierenden im Zusammenhang stehen, welche wiederum nur als Ablenkung dienen…

 Drastische Notwendigkeit der Incident Response Mechanismen

IT-Security ist mittlerweile bei den meisten Unternehmen ein brisantes Kernthema, welches durch die zahlreichen, auch medienwirksamen Vorfälle unweigerlich hervorgerufen wurde. Die Security Awareness ist auch unbedingt notwendig! Durch die unaufhaltsam fortschreitende Digitalisierung und Vernetzung der (Unternehmens-)Welt steigt ebenfalls die Anfälligkeit durch digitale Angriffe mit steigender Anzahl bekannter (fehlendes Patchen) und unbekannter Schwachstellen. Advanced Persistent Threats (APTs), welche oftmals mehrere Threat Vectors zielgerichtet angreifen, oder andere Black Hats mit automatisierten Angriffs-Tools und fortwährend neu entwickelten Schadprogrammen, nutzen diese Gegebenheiten nur allzu gerne aus. Der Grad der Professionalisierung der Angreifer ist in den letzten Jahren deutlich gestiegen. Ebenfalls sind Insider Threats nicht zu vernachlässigen. Die Daten der Unternehmensmitarbeiter sowie Kundeninformationen sind laut einer Befragung des SANS Institutes eines der Hauptziele, 89% der Angriffe erfolgen aus finanziellem Motiv oder Spionage. Daher wurden und werden Investments zur Incident Detection, z.B. für ein Security Information and Event Management (SIEM)-System getätigt. Jedoch ist dies nur der erste Schritt, um das bestmöglichste Sicherheitsniveau im Unternehmen gewährleisten zu können. Im Global Economic Crime Survey 2016 von PwC tritt Cybercrime als zweithäufigste Kategorie bei gemeldeten Fällen auf. Daher stellt sich nicht die Frage ob Incidents auftreten werden, sondern wann! Doch wie sollen die detektierten Incidents nun bearbeitet werden, was ist damit zu tun? Nur ca. ein Drittel der Unternehmen haben einen Incident Response Plan entwickelt, ca. ein Zehntel planen diesen noch zu implementieren. Der Rest befindet sich noch in der Machbarkeitsprüfung, sieht die Notwendigkeit dieses Planes nicht oder besitzt keine Informationen darüber! Die Reise vom SIEM zum funktionsfähigen Security Operations Center (SOC) befindet sich beim Großteil noch in der frühen Anfangsphase.

Incident Management Plattformen mit Security Automation und Orchestration

Unternehmen stehen jedoch trotz eines existierenden Incident Response Plans vor gewaltigen Herausforderungen – wie können sie 1. die hohe Anzahl der auftretenden Events bewältigen und 2. wie ist es möglich, die Analysten längerfristig an das Unternehmen zu binden, um eine Incident Response weiterhin zuverlässig durchführen zu können?

Incident Management Plattformen mit dem Konzept „Security Automation and Orchestration“  (SAO) fokussieren sich auf die Unterstützung der Analysten im Incident Management-Prozess mit den Teilbereichen Incident Handling/Incident Response. Dabei gehen sie auf die gesamten Funktionen des SOCs ein – People, Technology und Processes – und liefern eine Antwort auf die oben genannte erste Herausforderung. Diese Plattformen verfügen über ein umfangreiches Case Management und eine auf den Anwendungsfall zugeschnittene graphische Benutzeroberfläche für ein komfortables und übersichtliches Incident Handling. Events werden vom SIEM an die Plattform weitergeleitet. Das Clustering der weitergeleiteten Events, also das Zusammenfassen zusammengehöriger, zeitversetzter Events in einen gemeinsamen Case, reduziert den Case Load. Durch die Integration der bestehenden Security-Produkte in die Plattform werden diese via API angesteuert und Aktionen gestartet (Orchestration). Bestehende Incident Response-Workflows können in verschiedenen Automationsstufen pro Prozessschritt (manuell, semi-automatisch mit Bestätigung oder vollautomatisch) in Flussdiagramm-Optik abgebildet werden. Dabei muss keinerlei Quellcode geschrieben werden, alles erfolgt per Drag & Drop. Dies bietet sich vor allem für standardisierte, immer wiederkehrende Aufgaben wie das Incident Enrichment an. Die folgende Abbildung stellt einen beispielhaften, von der Incident Management Plattform gesteuerten Response-Prozess (orange Pfeile) nach einer Malware-Detection (rote Pfeile) dar:

 

 

Abbildung 1: Beispielprozess mit SAO-Plattform als zentrales Steuerelement

 

Der Analyst erhält somit einen schnellen und umfassenden Überblick über die Situation und kann z.B. False Positives schneller erkennen. Aber auch das Alerting oder Mitigation/Remediation können in die Automatisierung miteinbezogen werden. Des Weiteren bieten die visualisierten und reproduzierbaren Workflows und Prozessschritte weitere Unterstützung bei Compliance-Anforderungen.

Durch die (Teil-)Automatisierung der Incident Response Workflows mit Incident Enrichment und dem zentralen Incident Management werden die Mean Time to Detect (MTTD) und MTTR verkürzt. Dadurch können wiederum mit dem gleichen Team mehr Events bearbeitet werden, es muss sich nicht nur auf hochpriorisierte fokussiert werden – die Effizienz steigt. Ebenfalls muss nicht mehr jeder Tier 1 Analyst alle Systeme zum Incident Enrichment bedienen können, dies spart Schulungen und somit Kosten. Automatisches Reporting mit unterschiedlichen KPIs und Metriken (für SOC Manager, CISOs etc.) runden das Gesamtkonzept weiter ab. Durch die Abnahme wiederkehrender und monotoner Tasks des Analysten kann die Motivation der Mitarbeiter nachhaltig gesteigert werden und die Plattformen somit einen Teil zur genannten zweiten Herausforderung beitragen.

Incident Management Plattformen – die eierlegende Wollmilchsau?

Incident Management Plattformen unterstützen Analysten und SOC-Mitarbeiter im täglichen operativen Geschäft. Um diese sinnvoll einzusetzen, müssen folgende Voraussetzungen gegeben sein:

1) Bestehende Ziele und Infrastruktur

Entweder befindet man sich am Anfang der Reise, die Detektionsmechanismen sind implementiert und hat sich als langfristiges strategisches Ziel den Aufbau eines eigenen SOCs gesetzt, oder es ist bereits ein entsprechendes Maturity-Level des SOCs gewährleistet mit dem Ziel, die Effizienz der Analysten zu steigern. Detektionsmechanismen sind die zwingende Voraussetzung, da sich die Plattformen auf das Incident Management/Handling fokussieren und deshalb von den Informationen aus dem SIEM etc. abhängig sind. Ebenfalls muss eine bestehende Security Infrastruktur vorhanden sein, die in das Tool integriert werden kann um als Dirigent die Aktionen zu steuern.

2) Prozesse

Prozesse sind ein essentieller Bestandteil eines SOCs. Durch die Automatisierung werden bestehende, bisher manuelle Tätigkeiten in Sekunden abgearbeitet. Bei der Einbindung der Plattformen können neu entwickelte, automatisierte Prozesse unter Einbindung der Event-Parameter schnell auf ihre Umsetzbarkeit getestet werden, ohne eigene Aufwände für die Entwicklung von API-Requests stemmen zu müssen. Dies ist besonders im frühen Stadium des SOC-Aufbaus interessant, bei jedem neu entwickeltem Workflow ist der Effizienzgewinn sofort vorhanden. Dies erhöht die Flexibilität bei der Implementierung von neuen Workflows und die Verbindung zwischen verschiedenen Systemen. Dadurch kann selbst mit kleineren Teams schneller auf Incidents reagiert werden, der Umfang der Incident Response ist aber weiterhin vom Maturity-Level und der Infrastruktur des SOCs abhängig.

Falls Automatisierungen an verschiedensten Stellen schon vorhanden sind, kann das Management der automatisierten Aktionen auf eine einzige Plattform konzentriert werden. Durch die graphische Darstellung und dem Drag & Drop Prinzip können bestehende Prozesse und Automatisierungen unkompliziert in die Plattform integriert werden. Ebenfalls werden eine Vielzahl von out-of-the-box Integrationen angeboten, die neue automatisierte Aktionen mit evtl. noch nicht angebundenen Bereichen der Security-Infrastruktur liefern können. Die Möglichkeiten zur Automatisierung der einzelnen Aktionen sind jedoch begrenzt, es kann nur ausgeführt werden was per API bei den Security-Produkten implementiert ist.

Falls der Aufbau eines eigenen SOCs nicht geplant oder aufgrund von begrenzten Ressourcen (Know-how, Fachkräftemangel, Budget etc.) nicht möglich ist, empfiehlt es sich Managed Security Services (MSS) in Anspruch zu nehmen. Für diese MSS-Provider (MSSP) bieten diese Plattformen ebenfalls einen beträchtlichen Mehrwert, um die Incident Management-Fähigkeiten auszubauen und dem Kunden ein maximales Sicherheitsniveau bieten zu können.

Abschließend stellt sich neben den technischen Aspekten die Frage, ob ein Investment in eine Incident Management Plattform aus betriebswirtschaftlicher Sicht gerechtfertigt ist? In bestehenden SOCs sind bereits Mechanismen zur Automatisierung vorhanden. Werden diese nur durch das Tool ersetzt und somit nur die Komponenten zur Automatisierung mit gleichem Ergebnis ausgetauscht, oder kann das Tool darüber hinaus weiteren Funktionsumfang bieten? Wie groß ist der tatsächliche Mehrwert, da der Erwerb sowie die Umsetzung mit Kosten verbunden sind?  Diese Plattformen können Analysten nicht komplett ersetzen, aber unterstützen und eine höhere Effizienz gewährleisten. Diese Fragen müssen sich, wie bei jedem Investment, aufs Neue gestellt werden. Es ist jedoch nahezu unmöglich, Sicherheitsvorfälle monetär zu bewerten und auf interne Kostenstellen zu verteilen. Wie viele Kunden entscheiden sich gegen das Unternehmen, wenn ihre sensiblen Daten offensichtlich durch ein Datenleck nicht ausreichend geschützt sind? Wie wird sich der Imageschaden auswirken? Und was tun, wenn das Intellectual Property, auf dem der gesamte Business Case aufbaut, plötzlich abgezogen wird? Eines ist jedenfalls sicher –  Sicherheitsrisiken und -schwachstellen bleiben, Incidents werden auftreten. Daher ist es fahrlässig, nur in Incident Detection und nicht auch in Incident Response zu investieren.

 


Links:

https://www.it-cube.net/solutions/siem-soc-technology/#SecurityAutomationOrchestrationSAO

https://www.sans.org/reading-room/whitepapers/incident/incident-response-capabilities-2016-2016-incident-response-survey-37047

http://www.verizonenterprise.com/resources/reports/rp_DBIR_2016_Report_en_xg.pdf

https://www.pwc.com/gx/en/economic-crime-survey/pdf/GlobalEconomicCrimeSurvey2016.pdf

Bild: ©iT-CUBE SYSTEMS AG 2017

Schreibe einen Kommentar