Security-Orchestrierung: Automatisch auf Vorfälle reagieren

Anreicherung der bei einem Security-Vorfall anfallenden Daten

Niemand wird bestreiten wollen, dass Incident Response eine zeitaufwendige Aufgabe ist. Sie erfordert die direkte Aufmerksamkeit gut geschulter und zudem erfahrener Spezialisten, die auch auf unerwartete Situation angemessen reagieren können. Für diese Tätigkeiten werden deswegen vermutlich auch in Zukunft menschliche Experten benötigt. SOAR-Programme können die Daten aber zumindest anreichern, die den Analysten zur Verfügung stehen, während sie nach den Ursachen eines Vorfalls suchen. Die automatisierten Workflows können zum Beispiel mit Daten aus einer SIEM-Lösung (Security Information and Event Management) ergänzt werden. So können die Analysten viel Zeit und zusätzliche Arbeit einsparen, wenn sie sich die von ihnen benötigten Informationen nicht mehr selbst aus verschiedenen Quellen zusammensuchen müssen.

Die meisten Aktivitäten zum Bekämpfen eines bestimmten Vorfalls beginnen mit einem Alert aus einem Intrusion Detection and Prevention System (IDS/IPS). Nach dem Erhalt eines solchen Alerts wird er in der Regel durch einen Experten zunächst mit Hilfe zusätzlicher Systeme geprüft. So kann der Mitarbeiter festzustellen, ob er noch weitere Informationen benötigt oder ob er sofort Maßnahmen dagegen ergreifen kann. SOAR-Systeme beschleunigen diese Prozesse, weil sie durch das Bereitstellen wesentlicher Daten für eine automatisierte Reaktion auf bestimmte Security-Vorfälle sorgen können, noch bevor ein Mensch den Vorfall geprüft hat. An folgenden Beispielen lässt sich das illustrieren:

• Ein SOAR-System kann etwa automatisch das Zusammentragen von Reputations- sowie Registrierungs- und Geolocation-Daten über die bei einem Alert verwendeten IP-Adressen und Domain-Namen übernehmen.
• Zudem kann es Log-Daten der eventuell verseuchten oder anderweitig kompromittierten Systeme anfordern. Als Quellen können dabei vorhandene SIEM- oder IAM-Lösungen (Identity and Access Management) dienen, aber auch Firewalls, diverse Netzwerkgeräte sowie andere Informationsquellen, die bei dem Angriff möglicherweise eine Rolle spielen.
• Außerdem kann das SOAR-System automatisch Scans auf Schwachstellen auslösen, um bestehende Sicherheitsprobleme auf dem Zielsystem zu identifizieren. Bei einem tatsächlich erfolgten Angriff wurden sie eventuell genutzt.

Ein menschlicher Analyst, der sich mit einem Angriff beschäftigt, kann diese Aktionen natürlich auch selbst durchführen. Durch den Einsatz eines SOAR-Systems werden diese Schritte jedoch überflüssig, so dass sich die Experten nur noch mit den Ergebnissen beschäftigen müssen. So können sie weit schneller bestimmen, ob weitere Maßnahmen benötigt werden oder ob sie sich schon mit dem nächsten Alert beschäftigen können.

Automatisieren der Reaktionen auf IT-Security-Vorfälle

SOAR kann noch weit mehr als nur einen Menschen bei der Analyse eines Sicherheitsvorfalls zu unterstützen. So ist es damit auch möglich, aktiv auf viele Situationen zu reagieren. Heutzutage muss ein Schutz in der Regel rund um die Uhr gewährleistet sein. Deswegen ist es absolut notwendig, dass innerhalb kürzester Zeit und auch außerhalb der Kernzeiten des Security-Teams Maßnahmen gegen bestimmte Vorfälle eingeleitet werden können. Gerade in häufiger auftretenden Situationen ist SOAR eine große Hilfe dabei, manche oder alle Aktionen auszulösen, die aufgrund von Standardangriffen benötigt werden.

So kann zum Beispiel automatisch eine vordefinierte Aktion ausgelöst werden, wenn ein System im lokalen Netzwerk typische Merkmale einer Infektion mit einer Malware zeigt. Denkbar wäre hier etwa ein Versuch der Kontaktaufnahme mit einem bekannten C&C-Server (Command and Control). Zu den dadurch ausgelösten Maßnahmen können ein Scan auf Schädlinge auf dem verdächtigten System gehören, das Abkoppeln aus dem produktiv genutzten Netzwerk oder ein Verschieben in das Quarantäne-Netzwerk, wo es in Ruhe weiter untersucht werden kann. Häufig wird auch eine Überprüfung der Traffic-Logs durchgeführt, um möglichst schnell Hinweise auf eventuell weitere Infektionen anderer Systeme zu entdecken. Die genannten Schritte können sofort umgesetzt werden, ohne dass dazu erst eine Freigabe durch einen Menschen erforderlich ist. Die schnelle Reaktion sorgt dafür, dass die Auswirkungen eines Vorfalls möglichst klein bleiben, so dass im Idealfall der normale Betrieb bereits nach kurzer Zeit wieder aufgenommen werden kann

Die Reaktion auf IT-Security-Vorfälle ist eine schwere und zeitraubende Aufgabe. Security Orchestrierung, Automatisierung und andere reaktive Maßnahmen schaffen aber zumindest eine teilweise Erleichterung, wenn es um den effektiven Schutz Ihrer IT-Umgebung geht. Insbesondere die erweiterten Informationen zu Alerts und die automatisch durchgeführten Aktionen stellen sicher, dass Sie damit den Schaden gering halten und unerwünschte Kompromisse vermeiden können.