Im Kontext der „Verteidigung“ von Unternehmen – in Bezug auf IT-Sicherheit – ist Zeit einer der kritischsten Faktoren.
„Es ist nicht die Frage, ob man angegriffen wird – sondern wann!“
Diese Aussage werden Sie so oder in ähnlicher Form schon häufiger vernommen haben. In der Tat: Die Anzahl der Cyberangriffe auf Unternehmen hat in den letzten Jahren deutlich zugenommen. Durch die zunehmende Digitalisierung ist es nur eine Frage der Zeit, bis gewisse Akteure versuchen Unternehmen in ihren digitalen Bereichen anzugreifen. Dies haben wir bereits in den ersten beiden Beträgen unserer Reihe zum Thema Cloud-Sicherheit verdeutlicht, wir Ihnen am Ende des Beitrags nochmals verlinken.
Zeit ist ein entscheidender Faktor bei einem Angriff auf ein Unternehmen. Warum?
Je schneller ein Angriff erkannt wird und je schneller erste Eindämmungsmaßnahmen durchgeführt werden, desto schneller/ besser können negative Folgen für das Unternehmen minimiert werden. Hier gilt es zwei Begrifflichkeiten zu unterscheiden: „Mean time to detect“ (MTTD) und „Mean time to respond“ (MTTR).
MTTD und MTTR: zwei wichtige Kernfaktoren
Ein Faktor im Kontext der Minimierung der „Mean time to detect“ ist natürlich die Abdeckung der IT-Landschaft mit Services, welche Angriffe erkennen. Hier entwickeln sich sowohl die Branche als auch die „bösartigen Akteure“ (Blackhats) sehr schnell weiter. Services, wie XDR-Plattformen, SIEM-Systeme aber auch klassische Lösungen zur Absicherung von Netzwerken (Firewall, WAF etc.) sind bereits weit verbreitet und unterstützen viele Unternehmen bei der Angriffserkennung.
Sobald ein Angriff erkannt wurde, muss sofort eine Reaktion auf den Vorfall erfolgen. Die Zeit bis zur Reaktion auf einen Vorfall wird als „Mean Time to Respond“ (MTTR) bezeichnet: Wie lange brauche ich, bis ich eine Reaktion auf die Erkennung eines Angriffes durchführe/ einleite? Hier erhalten Sie weitere Informationen.
Reaktionen und Gegenmaßnahmen über Systemgrenzen hinweg
Viele Services zur Erkennung von Angriffen bieten mittlerweile Möglichkeiten, gewisse Gegenmaßnahmen auszuführen. Diese Maßnahmen werden zumeist nur isoliert auf ein Ökosystem angewendet. z.B. kann eine Endpoint Protection einen Server OS-seitig isolieren. Die Angriffe gehen jedoch weiter: oft wird von einer ganzen „cyber kill chain“ gesprochen. Ein Angriff findet selten nur über ein System statt. In der Regel bewegt sich ein Angreifer über verschiedene Systeme und Services hinweg, um sein Ziel zu erreichen. Spätestens jetzt wird ersichtlich: ein einzelnes System allein reicht nicht mehr für Gegenmaßnahmen aus.
Hier kommt SOAR ins Spiel, welches wir im Folgenden genauer betrachten. Dabei orientieren wir uns an diesen beiden Fragen:
- Was bedeutet SOAR?
- Was kann SOAR leisten?
Was bedeutet SOAR?
SOAR steht für Secure Orchestrated Automated Response: eine sichere, organisierte automatisierte Reaktion auf Vorfälle und Angriffe. Dies kann z.B. die automatisierte Sperrung von User Accounts oder das Durchführen von automatischen Scans von Clients oder Servern sein.
Was kann SOAR?
SOAR verschafft Security Teams einen Zeitvorteil und ermöglicht es zeitgleich Gegenmaßnahmen über Ökosystemgrenzen hinweg zu orchestrieren sowie zu automatisieren. Die Gegenmaßnahmen laufen nach vordefinierten Abfolgen, welche wiederum Aktionen durch verschiedene Systeme steuern. Gerade im Zeitalter des Fachkräftemangels genießen Automatisierungen, die 24/7 arbeiten, großes Interesse.
In üblichen Kundenprojekten lässt sich SOAR in drei Bereiche untergliedern: Gegenmaßnahmen, Anreicherung und Benachrichtigungen. Im Idealfall kommen für einen möglichst optimierten Einsatz alle drei Szenarien im Verbund zum Einsatz.
Gegenmaßnahmen:
Der wohl populärste Bereich von SOAR. Hierunter fallen die konkreten Aktionen, die ausgeführt werden, um den Eingriff aktiv einzudämmen: z.B. das Sperren von Accounts, die Isolation von Servern (Netzwerk und Endpunkt) oder die Erstellung von Firewall-Regeln.
Folgendes Anwendungsbeispiel:
Ein User gibt unbedacht auf einer Website die Login-Daten zu seinem Mail-Account ein. Der Angreifer versucht sich von einem seiner Systeme mit dem abgefangenen Zugangsdaten anzumelden. Er stellt sich geschickt an und ist erfolgreich. Er erhält den Zugriff auf das Mail-Postfach sowie den Onlinespeicher des Users. In diesem wurden vertrauliche interne Dokumente abgelegt. Der Angreifer startet den Download einiger vertraulicher Dokumente auf einen Schlag. Die Sicherheitstools erkennen dieses ungewöhnliche Verhalten. Noch bevor sich ein Administrator oder SOC-Operator dem erkannten Vorfall annehmen kann, reagiert die SOAR-Automation, sperrt den User und informiert den Vorgesetzten des regulären Account-Nutzers sowie das SOC-Team über die Einleitung der Gegenmaßnahme. Das SOC-Team profitiert somit von einem Zeitvorteil, da automatisch eine Gegenmaßnahme ausgeführt wurde.
Es handelt sich hierbei um ein simples Szenario. Es ist durchaus denkbar, komplexere Sachverhalte abzubilden.
Anreicherung
Betrachtet man einen Incident innerhalb eines SIEMs, so ist einer der wichtigsten Schritte die Bewertung.
- Liegt die Erkennung richtig (True-Positive)?
- Wurde ein legitimes Verhalten als potenziell bedrohlich erkannt (False-Positive)?
Hier kann das Thema Enrichment unterstützen, indem es bekannte Datenbanken/ Feeds bzgl. der erkannten Entitäten (z.B. IP-Adressen) befragt. „Sind diese Entitäten (IPs, URLs, etc.) bereits negativ in Erscheinung getreten?“ – so könnte eine relevante Frage lauten. Dies bildet Anknüpfungspunkte zum Themenfeld der Threat Intelligence.
Benachrichtigungen
In der heutigen IT-Landschaft sind verschiedenste Tools zur Zusammenarbeit und Kommunikation im Einsatz. Ebenso existieren unterschiedliche Prozesse und Ausgestaltungen dieser. Eine Automatisierung kann durch Plattformunabhängigkeit verschiedenste Plattformen ansteuern. Microsoft Teams kann bspw. genutzt werden, um Teams bzw. Vorgesetzte zu informieren. In Ticketsystemen werden automatisiert Tickets für die Dokumentation des Vorfalls erstellt. Diese Automatisierungen können explizit an die internen Prozesse angepasst werden.
Kennen Sie schon unsere weiteren Blog-Artikel zum Thema Azure Security?
Automatisierung ist ein aufstrebender Player im Bereich IT-Sicherheit – Haben Sie das Thema auf dem Schirm?
Sie sehen schon: das Thema ist sehr weitreichend und oftmals stark an die diversen Security Tools (SIEM XDR etc.) gebunden. Eine Erkennung von Angriffen ist nach wie vor erforderlich.
Wenn wir das Thema SOAR direkt mit einem Service verbinden, so macht dies in Verbindung mit einem SIEM derzeitig am meisten Sinn. Ein bekanntes SIEM ist Microsoft Sentinel, welches SIEM-Funktionalitäten um SOAR-Features erweitert.
In diversen Projekten konnten wir die Stärken von SOAR gemeinsam mit den Kunden beleuchten und bereits erfolgreich zum Einsatz bringen. Wichtig zu erwähnen ist, dass unsere Unterstützung in der Regel hier nicht endet. In vielen Fällen macht eine weitergehende Begleitung gerade auch im Kontext SOAR Sinn.
In der heutigen Zeit – geprägt vom Fachkräftemangel und zunehmenden Angriffen – ist SOAR ein wichtiges Thema, welches Aufgaben im IT-Sicherheitsbereich schneller und automatisiert erfüllt und rund um die Uhr gegen Bedrohungen zur Verfügung steht. Wenn Sie Microsoft Sentinel einsetzen oder über den Einsatz dessen nachdenken, sollten Sie SOAR definitiv ins Auge fassen.
Nutzen Sie die Power der Automatisierung für Ihre Sicherheit
Sie interessieren sich für SOAR oder wünschen einen Beratungstermin? Von der Installation und Verwaltung erstklassiger Sicherheitsservices bis hin zur Durchführung richtlinienbasierter Konfigurationsscans und laufender Penetrationstests zur Bewertung Ihrer Cloud-Sicherheitsbereitschaft – wir helfen Ihrem Team gerne dabei, geschäftskritische Daten zu schützen.
Nutzen Sie die Power der Automatisierung für Ihre Sicherheit
Sie interessieren sich für SOAR oder wünschen einen Beratungstermin? Von der Installation und Verwaltung erstklassiger Sicherheitsservices bis hin zur Durchführung richtlinienbasierter Konfigurationsscans und laufender Penetrationstests zur Bewertung Ihrer Cloud-Sicherheitsbereitschaft – wir helfen Ihrem Team gerne dabei, geschäftskritische Daten zu schützen.