Sicherheits-Reporting mit Netzwerk-Automatisierungs-Tasks
Mit Automatisierungs-Tasks lassen sich Sicherheitsreports über den Netzwerk-Traffic generieren. Diese Dashboards sind für Manager nützlich, die komprimierte Fakten brauchen.
Führungskräfte wollen oft über den Status der Sicherheitssysteme des Unternehmens Bescheid wissen. Allerdings scheuen sie die Komplexität dieser Security-Systeme und möchten nicht direkt mit der Reporting-Funktion interagieren.
Periodische Berichte erfüllen den Wunsch der Vorgesetzten nicht, unmittelbar über den aktuellen Stand der Dinge unterrichtet zu werden. Das gilt besonders vor dem Hintergrund, dass Organisationen immer häufiger und immer gravierenderen Angriffen ausgesetzt sind. Umfassende Sicherheitssysteme enthalten mehrere Komponenten, die sich möglicherweise nicht gut miteinander integrieren lassen. Eine wirksame Option besteht darin, Netzwerk-Automatisierungs-Tasks zu nutzen, um ein Dashboard für Security-Systeme in Echtzeit zur Verfügung zu stellen.
Betrachten wir einmal ein Beispiel-Dashboard, das wir bei NetCraftsmen für einen Kunden entwickelt haben, der Echtzeitzugriff auf Firewall-Daten wünschte, ohne sich dazu an der Firewall anmelden zu müssen.
Legen Sie fest, was der Report enthalten soll
Netzwerk- und Security-Monitoring-Systeme erfassen gewaltige Mengen an Daten, aus denen nützliche und konkret umsetzbare Informationen herausdestilliert werden müssen. Angesichts so vieler Daten kann es eine Herausforderung sein, genau die Informationen zu identifizieren, die für die Führungsebene interessant sind.
Identifizieren Sie einen vergleichbaren rein lesenden Task, wählen Sie eine Plattform, und fangen Sie einfach an.
Arbeiten Sie gemeinsam mit den Führungskräften, und erklären Sie Ihnen, was verfügbar ist und was hilfreich wäre. Beginnen Sie mit den Dingen, die Sie am nützlichsten finden, und veranschaulichen Sie, warum Sie sie nutzen.
Stellen Sie mehrere grundlegende Reports zur Verfügung, um zu sehen, was ankommt. Ein bestimmter Bericht oder eine Grafik mag für den Vorgesetzten interessant sein, ist aber vielleicht nicht nützlich, weil darin einige wichtige korrelierende Daten fehlen. So ist etwa ein Report mit einem nicht eindeutig definierten Zeitfenster für die Datenerfassung – zum Beispiel letzte Stunde oder letzter Tag – nicht hilfreich.
Ermitteln Sie schnell einige Basis-Reports. Es empfiehlt sich, Ergebnisse sobald wie möglich vorzulegen und das Dashboard zu verfeinern, wenn Sie Feedback erhalten. Beispielsweise war unser Kunde an Folgendem interessiert:
Top-Anwendungen gemessen nach Session-Anzahl, dargestellt als Anzahl pro Anwendung;
Top-Anwendungen gemessen nach Bytes, dargestellt als Kreisdiagramm; und
Top-Traffic-Quellen nach IP-Adresse, dargestellt als Kreisdiagramm.
Sie können später weitere Diagramme hinzufügen, die spezifische Sicherheitsdaten enthalten.
Automatisieren Sie das Dashboard
Die oben beschriebene Vorgehensweise hilft Ihnen, einige Diagramme zu identifizieren, auf die Kunden bei Bedarf zugreifen können. Anschließend können Sie damit beginnen, die Netzwerk-Automatisierungs-Tasks zu erstellen, um die Berichte zu generieren. Wir entschieden uns, das PHP-, HTTP- und cURL-Framework (Client URL) zu verwenden, da es sich einfach nutzen lässt und dahinter eine große Open Source Community steht, die Support leistet. PHP ermöglicht Ihnen die rasche Erstellung von Webseiten, während Sie mit cURL auf die REST API der Firewall zugreifen können.
Abbildung 1: Diese automatisierten Diagramme zeigen die Top-Anwendungen gemessen nach Session-Anzahl und Bytes sowie die Top-Traffic-Quellen nach IP-Adresse.
Jedes Mal, wenn der Kunde die Webseite öffnet oder aktualisiert, werden die Diagramme mit den neuesten Daten auf den aktuellen Stand gebracht. Die Diagramme zeigen Daten der letzten 24 Stunden, aber dieses Zeitfenster lässt sich ändern, indem man die API-Query für die Firewall anpasst. Es ist einfach, eine Version der Webseite zu erstellen, die in einem festen Intervall aktualisiert wird, zum Beispiel alle 15 Minuten. Der API-Zugriff auf die Firewall erfolgt nur lesend. Dadurch besteht keine Gefahr, dass jemand einen Fehler macht, der den Betrieb der Firewall beeinträchtigt.
Die erste Version des Dashboards veranschaulichte dem Management von anderen Abteilungen die Funktionsweise der Firewall. Spätere Versionen enthielten Reports über Traffic, der versuchte, die Command-and-Control-Systeme von Botnets zu erreichen, und die Menge an verdächtigen DNS-Abfragen.
Wenn Sie sich die Kreisdiagramme genau ansehen, werden Sie erkennen, dass die Y-Achse beschriftet ist. Das ergibt für ein Kreisdiagramm keinen Sinn und ist ein Artefakt von Rapid Prototyping. Kosmetische Mängel sind für die meisten Menschen kein Problem, aber einige Manager könnten die Validität der Daten anzweifeln. Sie sollten Ihre Zielgruppe kennen und vorsichtig sein, wenn sie allzu kritisch ist.
Automation für den Help Desk
Firewall-Automatisierung ist nicht ausschließlich für die Führungsebene gedacht. In unserem Beispiel benötigte der Help Desk regelmäßigen Zugriff auf die Firewall, um den Sicherheitskontext eines Endpunkts mit Konnektivitätsproblemen zu identifizieren. Der Kunde wünschte keine Logins an den Firewall-Systemen für jeden Help-Desk-Mitarbeiter. Daher bot sich schnell ein weiterer Netzwerk-Automatisierungs-Task an.
In diesem Fall wurde eine URL für eine Troubleshooting-Webseite an den Endnutzer gesendet, der über seinen Rechner darauf zugriff. Das Automatisierungssystem nutzte die Netzwerkadressinformationen des Kunden, um die Security-Zone der Firewall ausfindig zu machen und ein einfaches Formular mit Informationen zu füllen, das dann an den Help Desk übermittelt werden konnte.
Für das Sicherheitsteam war dieser Mechanismus ein wichtiges Tool, um festzustellen, ob das Konnektivitätsproblem des Endpunkts auf eine Firewall-Regel oder etwas anderes zurückzuführen war. Dieses einfache Webformular reduzierte den Troubleshooting-Aufwand erheblich, als es zu Konnektivitätsproblemen kam.
Ressourcen für den Einstieg in Automatisierung
Eine Option, um mit Automation zu beginnen, ist die Nutzung von Apache, MySQL und PHP auf der Plattform Ihrer Wahl: Linux (LAMP), Windows (WAMP) oder Mac (MAMP). Sie können auch Kubernetes und Docker verwenden, um ein schnelles Spin-up und Spin-down von Serverressourcen zur Automatisierung zu ermöglichen. Das kann zusätzlichen Lernaufwand bedeuten, könnte aber zu einem besseren Prozess führen, ganz gleich, ob Sie PHP oder Python einsetzen. Die verwendete Sprache ist weniger wichtig, als schnell mit den ersten Schritten zu beginnen. Python sollten Sie ernsthaft in Betracht ziehen, denn es ist tendenziell die Sprache, die die meisten Entwickler für Netzwerk-Automatisierungs-Tasks wählen.
Diese Beispiele sind hervorragende Möglichkeiten, um mit Automation anzufangen. Die Tasks sind rein lesend und erfordern keine Konfigurationsänderungen. Infolgedessen besteht kein Risiko für das Netzwerk, was Befürchtungen entkräftet, es könne dadurch zu einem Ausfall kommen.
Sie sollten ähnliche Automatisierungs-Tools in ihrem Netzwerk in Erwägung ziehen. Identifizieren Sie einen vergleichbaren rein lesenden Task, wählen Sie eine Plattform, und fangen Sie einfach an.
