Warum Automatisierung im Sicherheitsbereich unumgänglich ist

Warnmeldungen und Probleme identifizieren

Stufe eins dient der Identifizierung und Auslösung von Warnmeldungen und fungiert als erste Barriere. Die zweite Ebene von Analysten wird sich dann mit diesen Vorfällen befassen und weitere Untersuchungen durchführen, um Fehlalarme zu identifizieren und tatsächliche Probleme zu identifizieren. Die dritte und letzte Ebene fungiert dann als letzte Verteidigungslinie bei der Lösung komplexester Probleme. Zu ihrer Verantwortung gehört auch das direkte Reagieren auf Vorfälle.

Logistisch gesehen ist es für Sicherheitsteams naheliegend, dazu ein Workflow-Management-System zu verwenden, das den Prozess bei der Verteilung der Vorfälle an verschiedene Analysten automatisiert und gleichzeitig alle anderen Beteiligten, einschließlich der gesamten IT-Abteilung, informiert und auf dem aktuellen Stand hält. Dies sorgt zudem dafür, dass es eine Kette von dokumentierten Informationen innerhalb eines konsistenten und effizienten Prozesses gibt. Dies sind bereits zwei Schlüsselelemente, die durch Automatisierung entscheidende Vorteile für Unternehmen und Organisationen bieten können.

Automatisierung sorgt dafür, die Anzahl der alltäglichen Aufgaben zu reduzieren, automatische erste Prüfungen von Vorfällen vor ihrer Neuzuordnung durchzuführen und dann alle notwendigen Daten zu einem bestimmten Vorfall zusammenzustellen. Dies ist bereits abgeschlossen, bevor die Daten den Analysten zur Verfügung gestellt werden. Diese entscheiden dann, ob sie sie weiter untersuchen oder sofort reagieren. Allerdings sollten dabei auch eventuelle Zusammenhänge oder Abhängigkeiten berücksichtigt werden. So kann beispielsweise die Automatisierung der Protokollsammlung sehr effektiv sein, jedoch hängt die Interpretation der Protokolle davon ab, ob die Endpunkte oder Hosts, auf die sie sich beziehen, identifiziert werden können.

Für größere, dynamischere Systeme ist es nicht effizient, mit einer Tabelle zu arbeiten, die eine riesige Liste von IP-Adressen enthält, um einen Host zu finden. Dies kann für kleine, weniger mobile Umgebungen besser geeignet sein. Automatisierte Asset-Erkennungs-Tools können gerade hier eingesetzt werden, um die Sequenzabfolge bei der Suche nach einer genauen Asset-Datei zu beschleunigen.

Sicherheitsaufgaben automatisieren

Aus diesem Grund wird Automatisierung hauptsächlich für die Protokollierung des Systems und die Sicherheitsüberwachung von Geräten über alle angeschlossenen Netzwerke hinweg eingesetzt. Automatisierung kann auch Aufgaben auf niedrigerem Niveau übernehmen, wie beispielsweise das kontinuierliche Patchen von Systemen und die Durchführung von Schwachstellenscans.

„Automatisierung sorgt dafür, die Anzahl der alltäglichen Aufgaben zu reduzieren, automatische erste Prüfungen von Vorfällen vor ihrer Neuzuordnung durchzuführen und dann alle notwendigen Daten zu einem bestimmten Vorfall zusammenzustellen.“

Paddy Francis, Airbus CyberSecurity

Darüber hinaus gibt es viele Tools, – einige davon sogar frei oder Open Source –, um Teile der Incident-Triage zu automatisieren. In einem Arbeitsgang können diese Tools Hashes hochladen, die alle Start-up-Executables sowie alle laufenden Prozesse auf einem Host enthalten. In Verbindung mit speziellen Malware-Scan-Lösungen, die alle unbekannten Bedrohungen scannen und analysieren, kann das Automatisierungs-Tool jede bekannte Malware erkennen.

Viele Unternehmen haben bereits SIEM-Technologien erprobt, um ihre Reaktion auf Vorfälle zu beschleunigen. Dabei können Voreinstellungen mit Hilfe einer Reihe von möglichen Ereigniskombinationen konfiguriert werden, um bei potenziell gefährlichen Bedrohungen zu warnen. Diese können so angepasst werden, dass mögliche Schwachstellen auf der Grundlage aktueller Bedrohungsinformationen aufgespürt werden, so werden auch die allgemeinen Detektionsraten optimiert.

Auf die kontinuierlichen Weiterentwicklungen der Cyberbedrohungen müssen sich Sicherheitsteams täglich einstellen, um ihre Unternehmen wirksam schützen zu können. Hier kann die Integration von Automatisierung in die Sicherheitsinfrastruktur ein entscheidender Faktor sein, um die Belastung der Teams zu verringern. Sobald ein Unternehmen die richtige Balance zwischen der Analyse durch Menschen und der Automation gefunden hat, wird der gesamte Sicherheitsapparat effektiver arbeiten können.

Über den Autor:
Paddy Francis ist CTO bei Airbus CyberSecurity.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.