IT-Jobs: Was macht eigentlich ein Security-Analyst?

Die Berufsbilder, die die IT anbietet sind außerordentlich vielfältig, das gilt ganz besonders für spannende Tätigkeiten in der IT-Security. Manchmal kann der Eindruck entstehen, dass in vielen Bereichen die richtigen Tools und Lösungen in Sachen Sicherheit genügen, um die Security zu gewährleisten.

Dabei spielt gerade der menschliche Faktor in der IT-Sicherheit eine elementare Rolle. Eine Schüsselrolle haben Positionen wie Security-Analysten. Sie stellen die vielen vorliegenden Informationen in den richtigen Zusammenhang, erkennen die tatsächlichen Probleme und spüren Bedrohungen auf.

Eine grundsätzliche Neugierde und ein breit gefächertes IT-Wissen sind da beispielsweise keine schlechten Voraussetzungen für die Tätigkeit als Security-Analyst. Je nach Größe und Art des Unternehmens kann der Aufgabenbereich eines Security-Analysten sehr unterschiedlich sein. Und auch innerhalb der Tätigkeit selbst gibt es sehr vielfältige Aufgaben.

Welchen Herausforderungen sich ein Security-Analyst stellen muss und welche Anforderungen an sie gestellt werden, erklärt John Hubbard, Certified Instructor und Kurs-Autor beim SANS Institute, im Gespräch mit ComputerWeekly.de.

Was genau sind die Aufgaben eines Security-Analysten? Was sind typische Aufgaben?

John Hubbard: Die Aufgaben eines Security-Analysten können sich von Unternehmen zu Unternehmen unterscheiden, aber die wichtigste gemeinsame Aktivität ist die Überwachung des Netzwerks und der Systeme auf Anzeichen von Kompromittierungen.

Dies geschieht mit Hilfe von Telemetrie aus einer Vielzahl von Datenquellen. In jedem Unternehmen gibt es typischerweise eine große Menge an Daten darüber, was jeder Endpunkt macht und welche Art von Netzwerkinteraktionen stattfinden.

Security-Analysten verwenden sowohl automatische als auch manuelle Erkennungstechniken, um diese Informationen nach Anzeichen für bevorstehende Angriffe oder laufende Vorfälle zu durchsuchen und setzen ihr Fachwissen ein, um Schäden zu verhindern oder zu minimieren, wann immer dies möglich ist.

Wenn Anzeichen für eine potenzielle Gefährdung identifiziert werden, werden von den Detection-Tools Warnmeldungen an eine Warteschlange geschickt, in der die Analysten genauer prüfen können, ob wirklich ein Problem vorliegt.

Nach der Validierung des Alarms führen die Analysten erste Eindämmungsmaßnahmen durch, leiten den Untersuchungsprozess ein und beginnen mit der Formulierung eines Plans zur Behebung des Problems. In einigen Organisationen decken die Security-Analysten den gesamten Bereich der Vorfallerkennung durch Reaktion auf den Vorfall und dessen Behebung ab. In diesen Positionen sind die Security Analysten auch für die Maßnahmen zur Auslöschung des Angreifers aus der Umgebung zuständig und helfen bei der Systemwiederherstellung.

Die Analysten können auch Tätigkeiten ausüben, die über die automatische Reaktion auf die Erkennung hinausgehen, wie beispielsweise die Suche nach Bedrohungen und die Unterstützung anderer Sicherheitsaufgaben. Das Threat-Hunting besteht oft darin, gesammelte Daten ohne eine Warnung eines Sicherheits-Tools zu durchsuchen, wobei davon ausgegangen wird, dass die Angreifer möglicherweise an automatischen Erkennungsmethoden vorbeigeschlüpft sind.

Zu diesem Zweck verwenden Analysten Techniken zur Identifizierung von Anomalien in Kombination mit Kenntnissen über Angriffsmethoden. Sie tun dies, um ungewöhnliche Aktivitäten im Netzwerk zu identifizieren, die ansonsten nicht aufgedeckt worden wären. Über die Erkennung und Beseitigung von Bedrohungen hinaus können Analysten ebenfalls in die Unterstützung anderer Sicherheitsoperationen einbezogen werden, wie zum Beispiel Bedrohungsaufklärung, Forensik, Red-Teaming, Penetration-Testing, Systemadministration und mehr.

In welchen Bereichen werden Security-Analysten eingesetzt?

Hubbard: Security-Analysten werden in der Regel damit beauftragt, alle Bereiche des Netzwerks einer Organisation zu überwachen, da der durchschnittliche Kompromiss die Endbenutzersysteme, Server, Cloud-Infrastruktur und mehr betreffen kann.

Fortgeschrittene Angreifer, die möglicherweise hinter geistigem Eigentum, Kundeninformationen oder anderen sensiblen Daten her sind, müssen in der Regel mehrere Systeme in verschiedenen Netzwerkzonen durchqueren, um Zugang zu den gesuchten Informationen zu erhalten. Das Sicherheitsteam muss deshalb das gesamte Netzwerk überwachen, um eine schnelle Erkennung zu ermöglichen.

Welche Art von Unternehmen beschäftigt in der Regel Security-Analysten?

Hubbard: Die Rolle des Analysten ist für fast alle Unternehmen anwendbar, da die IT eine Schlüsselrolle bei der Geschäftsabwicklung für fast jedes Unternehmen weltweit spielt. Überall dort, wo Computer für geschäftliche Zwecke eingesetzt werden, sind Angreifer daran interessiert, einen cleveren Weg zu finden, um sie und die darin gespeicherten Informationen für ihre eigenen Gewinne (ob finanziell oder anderweitig) auszunutzen.

Nachdem eine Organisation eine bestimmte Größe erreicht hat, wird es nahezu ständig Eindringungsversuche geben, mit denen sich eine oder mehrere Personen befassen müssen, um diese Vorfälle zu verhindern, aufzudecken und darauf zu reagieren.

Unternehmen, die diese Größe erreicht haben, finden den Aufbau eines internen Sicherheitsbetriebszentrums finanziell tragfähig und werden in der Regel ihre eigenen Sicherheitsanalytiker beschäftigen. Kleinere Organisationen, die nicht genug Arbeit für ein Vollzeitteam haben, können MSSPs (Managed Security Service Provider) für die Auslagerung der Überwachung und Security Event-Analyse einsetzen.

MSSPs helfen diesen kleineren Organisationen, ihre Netzwerke zu sichern, indem sie eine eigene Gruppe von Security Analysten anbieten, die mehrere kleinere Netzwerke auf Teilzeitbasis überwachen können, und so kleinen Unternehmen helfen, die Kosten für ein dediziertes Sicherheitsteam zu teilen. In einigen Fällen werden MSSPs auch für größere Unternehmen sowie für zusätzliche Mitarbeiter für bestimmte Aufgaben oder Stellen eingesetzt.

Welche Fähigkeiten und Eigenschaften sollte ein Security Analyst haben?

Hubbard: Der Aufgabenbereich eines Security Analysten kann je nach Größe der Unternehmung recht unterschiedlich sein. Dieser Umfang führt zu einer idealen Übereinstimmung der Fähigkeiten für jede Stelle. Kleinere Organisationen haben in der Regel weniger Mitarbeiter, die als One-Person-Do-it-all-Sicherheitsteam agieren müssen, während große Unternehmen spezielle Security Analyse-Rollen haben.

In einer kleineren Organisation kann das Sicherheitspersonal für alles verantwortlich sein, von der Infrastruktur über die Sicherheitspolitik bis hin zur Reaktion auf Vorfälle, was ein viel größeres Spektrum an Fähigkeiten erfordert. In größeren Unternehmen sind die Positionen in der Regel etwas kleiner und erlauben einen engeren Fokus auf einen Spezialbereich.

Ein Security-Analyst sollte idealerweise über eine starke Basis im IT- und Netzwerkbereich verfügen, auf die er bei seiner täglichen Arbeit zurückgreifen kann. Ein solides Verständnis der Netzwerk- und Betriebssystemarbeit ist in dieser Art von Position natürlich nützlich, da die meisten Probleme die Analyse beider Bereiche erfordern.

Über die technischen Fähigkeiten hinaus sollte der ideale Analyst über Lernbereitschaft sowie Neugier und Antrieb zur Lösung schwieriger Probleme verfügen. Da die Informationssicherheit ein sich ständig verändernder Bereich ist, in dem sich die Regeln von Tag zu Tag unterscheiden können, ist der beste Persönlichkeitstyp für einen Security-Analysten jemand, der sich gerne ein Leben lang um die Verbesserung und Verfeinerung seines Fachs bemüht.

Da sich ein Großteil der Arbeit eines Security-Analysten um die Untersuchung von Sicherheitsvorfällen dreht, ist auch die Neugierde, Angreifer zu jagen, die versuchen könnten, ihre Aktivitäten zu verschleiern und Analysten zu täuschen, der Schlüssel zum Erfolg. Die Fähigkeit zu kritischem Denken, die erforderlich ist, um eine Situation, in der Informationen fehlen oder verfälscht sein könnten, zu erfassen und Vorhersagen darüber zu erstellen, was sonst noch geschehen ist oder geschehen könnte und diese Hypothesen dann zu bestätigen, ist eine notwendige Fähigkeit für den Erfolg.

Welche Tools und Geräte verwenden Security-Analysten?

Hubbard: Tools sind meiner Meinung nach einer der am meisten Spaß bereitenden Teile der täglichen Arbeit. SOC-Analysten (Security Operations Center) arbeiten mit großen Datenmengen. Die Überwachungs- und Protokolleinsammlungswerkzeuge, die sie täglich verwenden, sollen ihnen helfen, die berühmte Nadel im Heuhaufen zu finden.

Einige dieser Tools umfassen Intrusion-Detection-Systeme, Firewalls, Packet Capture Devices, Malware-Sandboxen und vieles mehr. Dies sind lediglich die Werkzeuge, welche die Daten erzeugen. Auch wenn jedes Tool komplex ist und eine gewisse Zeit zur Beherrschung benötigt, ermöglichen sie es einem Security-Analysten, die riesigen Mengen an Netzwerk- und Endpunktdaten zu sortieren und zu visualisieren, die von Systemen im gesamten Unternehmen erzeugt werden.

„Über die technischen Fähigkeiten hinaus sollte der ideale Analyst über Lernbereitschaft sowie Neugier und Antrieb zur Lösung schwieriger Probleme verfügen.“

John Hubbard, SANS Institute

Um all diese Informationen zu organisieren, verwenden Security Analysten ein SIEM (Security Information and Event Management), um die gesammelten Informationen zu korrelieren, sie anzureichern, ihnen einen Kontext zu geben und Analysen anzuwenden, um potenziell bösartige Ereignisse zu identifizieren.

Sie können auch Plattformen für Bedrohungsinformationen zur bedrohungszentrierten Informationsspeicherung, Vorfallmanagementsysteme zur Analyse und Protokollierung von Vorfällen und SOAR-Tools (Security Orchestration, Automation and Response) verwenden, um den täglichen Betrieb effizienter zu gestalten.

Die Anzahl der Tools und die Aufgabe jedes einzelnen kann überwältigend sein, was einer der Gründe dafür ist, dass ich in mein neues SANS SEC450 Blue Team Fundamentals-Beispiele und Labs mit diesen Technologien aufgenommen habe. Dieser Kurs zielt darauf ab, Analysten so schnell wie möglich mit SOC-Tools und Arbeitsabläufen vertraut zu machen. Durch die Beherrschung dieser Anwendungen und der darin enthaltenen Daten können Analysten verstehen, was in ihrem Netzwerk normal ist und zu hocheffiziente Identifizieren von Angriffen werden, um diese so früh wie möglich zu stoppen und Geschäftsunterbrechungen zu verhindern.