Effizienzsteigerung des SOC mithilfe eines Orchestrators - DEEP
Bei einer möglichen Cyber-Bedrohung ist schnelles Handeln von größter Bedeutung. Der Einsatz eines Orchestrators auf Ebene des SOC erleichtert dank der Automatisierungsmöglichkeiten dieses Tools die Verfolgung von Warnungen und beschleunigt die Entscheidungsfindung bei möglichen Cyberrisiken.
Ein Security Operations Center (SOC) unterstützt die Sicherung von IT-Systemen, indem die Aktivitäten einer IT-Umgebung kontinuierlich einer Analyse unterzogen werden. Diese ermöglicht es, in Echtzeit Anomalien zu erkennen sowie Warnungen zu generieren und diese zu bearbeiten. Der Einsatz einer solchen Lösung verleiht den Nutzern größere Gelassenheit in dem Wissen, dass die Vermögenswerte ihrer Organisation und deren Sicherheit kontinuierlich überwacht werden.
Eine bessere Verwaltung etwaiger Warnungen
Zur Verwaltung einer etwaigen Warnung werden Untersuchungen durchgeführt, um sie bewerten zu können.
Nicht jeder Alarm deutet zwangsläufig auf eine Bedrohung hin und bedarf eines Eingriffs auf Systemebene.
Wichtigste Aufgabe der SOC-Teams im Falle einer Anomalie ist es, so viele Informationen wie möglich zu sammeln, um herauszufinden, ob das Unternehmen Opfer eines Angriffs ist und von einem möglichen Datenleck oder -verlust betroffen ist oder ob es sich im Gegenteil um einen Fehlalarm handelt. War Letzteres der Fall, wird die Warnung archiviert.
Die entsprechenden Informationen müssen aus Threat-Intelligence-Datenbanken (z. B. Daten zu öffentlichen IP-Adressen, der Hash einer Datei usw.) oder direkt aus den Protokollen (um zu überprüfen, welche Aktionen vor oder nach der Warnung durchgeführt wurden) abgerufen werden.
Eine kürzere Reaktionszeit bei Bedrohungen
Die Überprüfungen, die nach einer Warnung durchgeführt werden müssen, sind personalintensiv und können zeitaufwändig sein. Oftmals müssen sie von den Mitarbeitenden manuell durchgeführt werden. Zudem ist die Fähigkeit, auf ein Risiko schnell zu reagieren, von entscheidender Bedeutung.
Daher ist es sinnvoll, einen Orchestrator einzusetzen, um die Reaktionszeit zu verkürzen.
Dieses Tool erlaubt vor allem die Automatisierung von Suchvorgängen und bestimmten Aufgaben, die ansonsten die Mitarbeitenden nach einer Warnung manuell ausführen. Der Orchestrator ermöglicht insbesondere die Erweiterung von Warnungen, indem er automatisch Informationen abfragt, die dann in einer E-Mail, einer Team-Benachrichtigung oder auf einem anderen vordefinierten Kommunikationskanal wiedergegeben werden, um sie direkt der Person zur Verfügung zu stellen, die für die Einstufung der Gefahr verantwortlich ist.
So wird kostbare Zeit gespart und es werden Entscheidungen vermieden, welche die Aktivitäten der Organisation stören könnten, z. B. die Sperrung des Rechners oder Terminals eines Benutzers aufgrund einer potenziellen Bedrohung, die sich schließlich als falsch-positiver Befund erweist.
Leichtere Bewertung etwaiger Warnungen
Ein „Playbook“ ist eine Aufstellung von Maßnahmen, die in einer bestimmten Reihenfolge auszuführen sind, welche in einem Entscheidungsbaum definiert werden kann.
Mithilfe solcher „Playbooks“ können bestimmte Aufgaben direkt unter Einsatz des Orchestrator automatisiert werden, sei es die Suche nach Informationen in Abhängigkeit von einem bestimmten Kontext oder andere Aufgaben wie die Sammlung von Daten oder gegebenenfalls sogar die Einstufung eines Alarms als falsch-positiv. Man kann den Grad der Automatisierung tatsächlich sehr weit treiben.
Durch ein Interface des Orchestrators mit Ticketing-Tools ist es möglich, automatisch Tickets zu erstellen und diese mit allen erforderlichen Informationen direkt dem für die Bearbeitung der jeweiligen Warnung am besten geeigneten Team zuzuweisen. So kann der Techniker das Ticket viel schneller schließen, wenn es sich aufgrund der übermittelten verfügbaren Daten herausstellt, dass es sich um einen falsch-positiven Alarm handelt, oder andernfalls die notwendigen Maßnahmen ergreifen.
Wenn die Faktoren, die zu einer falsch-positiven Einstufung führen, bekannt sind, können diese auf Ebene des Orchestrators definiert werden, damit das Ticket automatisch geschlossen wird, wenn diese Faktoren entdeckt werden.
Die Aufgaben, die an den Orchestrator delegiert werden, damit er eine echte Unterstützung für die Mitarbeitenden des SOC bietet, werden in Abhängigkeit davon, welche für eine Automatisierung geeigneten Fälle auftreten, schrittweise erweitert. Dies ermöglicht eine kontinuierliche Verbesserung des Dienstes, da die Mitarbeitenden die Zeit, die sie für überflüssige Aufgaben einsparen für spezifischere Aufgaben wie „threat hunting“ oder zur Technologieüberwachung nutzen können.
Automatisierung der Entscheidungsfindung zur Eindämmung der Bedrohung
Wenn der Vorgang dies erfordert, kann der Orchestrator im Anschluss an eine automatische Datenanalyse auch Maßnahmen zur Sperrung eines Nutzers, einer Maschine oder eines anderen Objekts, das Teil der Systemumgebung ist, einleiten, um eine Kontamination der Systeme zu verhindern.
Eine Automatisierung auf dieses Niveau zu führen, erfordert allerdings, dass man die Analyseelemente gut beherrscht und sicherstellt, dass die automatische Sperrung auch tatsächlich ausschließlich auf echte Bedrohungen erfolgt.
Eine Sperrung infolge einer Fehleinstufung des Alarms durch den Orchestrator kann zu Produktionsunterbrechungen im gesamten Unternehmen führen.
… oder Unterstützung der Entscheidungsfindung
Um solche Situationen zu vermeiden, kann eine halbautomatische Sperrung in Betracht gezogen werden. In diesem Fall sammelt der Orchestrator die Informationen, die er dann – etwa per E-Mail – an eine entscheidungsbefugte Person sendet. In dieser elektronischen Nachricht wird der Empfänger aufgefordert, per einfacher Bestätigung die Sperrung zu genehmigen oder eben nicht. Der Orchestrator führt, sobald die Entscheidung bestätigt wurde, den Prozess aus, um die Bedrohung einzudämmen.
Erstellt von
Thomas Profeta