Kategorien
Allgemein

SOAR – Security Orchestration Automation and Response

Geschwindigkeitsprobleme im Security Information und Event Management System SIEM

Ausgangspunkt jedes Events eines Security Information Management sind Eskalationsstufen der Überwachung durch das Monitoring (z.B. sibMonitor), die anhand von Kriterien und Metriken der Informationsquelle festgelegt wurden (z.B. Mail-Queue, CPU-Prozesslast und Speicher), wenn diese zu verarbeitenden Informationen an das Management übergeben werden. Das kann man gut am Beispiel der Validierung von Mails durch einen Mail-Spooler, auch Mail-Queue genannt, verdeutlichen.

Ein überwachter Mailserver überprüft die durch den Mail Transfer Agent empfangenen E-Mails daraufhin, ob die E-Mail-Adresse bei ihm existiert. Ist dies der Fall, wird im Anschluss überprüft, ob ein Postfach für die E-Mail-Adresse existiert und dann wird die E-Mail zugestellt. Ist dies nicht der Fall, bewahrt der Mail-Queue die E-Mail in der Warteschlange so lange auf, bis die E-Mail bzgl. Absender, Empfänger und Inhalt durch eingebaute Mailserverkriterien validiert ist. Wird die Zeit in dieser Warteschlange überschritten, sendet das Monitoring (z.B. sibMonitor) eine Benachrichtigung an das Security Information Management.

Dieses Management ist darauf vorbereitet, das Event jetzt zu prüfen: Hat ein Angreifer diese E-Mail mit validem E-Mail-Inhalt (harmlose allgemeine Worte) erstellt? Verwendet er einen temporären Mailserver mit Einträgen von nicht kompromittierten IP-Adressen? Sendet er massenhafte zufällige E-Mail-Aliase aus einer bereits existierenden Listendatei? Oder verknüpft der Angreifer alle Tricks und versendet massenhaft E-Mails, mit validem, harmlosem Inhalt und mit vorher generiertem E-Mail-Alias, bestimmt für den Zielmailserver?

Empfängt der Server solche Anfragen des Angreifers, dann erscheinen die Adressen korrekt und werden über Port 25 (z.B. sibFireGate) übermittelt. Es ist alles zwischen beiden Mailservern valide. Der Zielmailserver bewahrt die E-Mails im Mail Queue auf, bis die Zeitüberschreitung für den Aufenthalt in der Warteschlange gemeldet wird und das Monitoring (z.B. sibMonitor) einen Event auslöst. Ein Mitarbeitender des Security Information und Event Management System (SIEM) überprüft das ausgelöste Event, stellt den Zusammenhang zwischen Mail Queue und Angriff her, plant eine Gegenmaßnahme und leitet den Vorgang an das Security Operation Center (SOC-Team) weiter.

Dieser am Beispiel erläuterte Prozess lässt sich automatisieren: SOAR steht für ein Ensemble von Verteidigungsszenarien, die von den Mitarbeitenden des Security Information und Event Management Systems zusammengestellt werden. Das SOC-Team lernt diese Verteidigungstaktiken und weiß, was es zu tun hat, wenn das Security Event Management eine bestimmte Reaktion verlangt. Die Techniken sind dabei so angelegt, dass ein Team möglichst effektiv auf den Vorfall reagieren kann.

Daher analysiert das SOC-Team die IT-Infrastruktur mit dem Monitoring sehr genau; in den meisten Unternehmen 24/7. Hier werten spezialisierte Security-Mitarbeitende die Warnmeldungen aus dem Security Information und Event Management System (SIEM) aus. Es sammelt Logdaten eigener, angeschlossener Cloud-Systeme und dem Internet, korreliert sie und meldet festgestellte Anomalien. Auf Grundlage dieser Beobachtung wählt es Taktiken (z.B. sib FireGate) aus, die möglichst effektiv gegen Störfälle wirken. Automatisierung ist vor allem nötig, weil das SOC-Team auf Angriffe oder Störungen schnell reagieren muss.

Verbesserung des SIEM

Man kann die Meldungen des SIEM vorfiltern, um die Analysten zu entlasten. Denn im Gegensatz zu einem Menschen kann ein automatisches System tausende Datensätze in Sekunden prüfen. Es kann zusätzlich auf Informationen aus Threat-Intelligence-Datenbanken, die Daten zu Angriffsmethoden auf IT-Systeme sammeln, zurückgreifen. Ist ein Event detektiert, soll sich der Automat an den vorbereiteten Reaktionen aus dem Security Event Management orientieren. Mit den darin orchestrierten Standards (z.B. sibFireGate) kann ein SOAR installiert werden, um einen Vorfall automatisch zu detektieren und entsprechend zu reagieren.

Vollkommen autonom sollte die digitale Schadensabwehr jedoch auch nicht ablaufen, denn eine automatische Reaktion des Systems könnte unerwünschte Auswirkungen auf einen kritischen Teil der digitalen Infrastruktur haben. Denn wenn eine Maschine unkontrolliert herunterfährt, kann auch physischer und Folgeschaden entstehen. Ein Mensch denkt und stellt Zusammenhänge anders her als ein Computerprogramm. Vielleicht ist die KI-Technik irgendwann so weit fortgeschritten, dass auch ein Programm so etwas kann. Doch in absehbarer Zukunft ist nur die Teilautomatisierung sinnvoll.

Wenn sich Störungsszenarien weiterentwickeln, sollte das SOC-Team seine SIEM-Taktiken anpassen. Zwischenschritte sollen sich einbauen oder zusätzliche Entscheidungen einfügen lassen. Auch der Initialalarm soll anpassbar sein. Die Automatisierung nimmt dem SOC-Team nur repetitive und zeitraubende Tätigkeiten ab, damit es sich auf das konzentriert, was die Maschine nicht leistet. Das SOAR soll bei der Datenauswertung zwar schneller als jeder Mensch sein. Aber es weiß nur, was ihm seine Programmierung und Berechtigungen zu wissen erlauben.

In unserem Beispiel füllen die E-Mails des Angreifers den Mail Queue auf dem Zielmailserver, bis die Zeitüberschreitung für den Aufenthalt in der Warteschlange gemeldet wird. Mit seiner Security Orchestration Automation und Response regiert das SOAR, entsprechend den Szenarien des Security Information und Event Management System (SIEM), löst den Event und teilautomatisierte Workflows aus, sowie entsprechende, automatisierte Gegenmaßnahmen.

Bei der automatisierten Reaktion auf digitale Bedrohungen steht am Anfang der initiale Alarm (Bsp. Mail-Spooler), gefolgt von den hinterlegen Security Event Management Workflows, auf die das System nach Feststellung von Incidents zurückgreift.

Im Anschluss werden dem SOAR  mehrere Reaktionsmöglichkeiten angeboten. Es kann andere Anwendungen der Security-Infrastruktur hinzuziehen, die Mails in die Quarantäne verschieben und von einem Virenscanner überprüfen lassen.

Jetzt trifft das SOAR eine Entscheidung: handelt es sich wirklich um eine Gefährdung oder um ein False Positive? Ist eine echte Bedrohung erkannt, werden weitere Automatismen eingeleitet, die in den Standards festgelegt sind. Das System arbeitet entweder automatisch weiter daran das Problem zu lösen oder zieht einen Menschen hinzu. Ist letzteres der Fall, entscheidet der Spezialist des SOC-Teams, wie es weitergeht. Er kann beispielsweise die betroffenen User informieren und sie davor warnen, die Mail zu öffnen oder das System anweisen, die Mail-Alias zu sperren oder den Mailserver offline zu schalten.

Effektivere & schnellere Vorfallerkennung und Reaktion

Durch die Integration von mehr Daten aus einer breiteren Palette von Tools und Systemen kann mehr Kontext, bessere Analysen und aktuelle Bedrohungsinformationen bieten. Ein stetig verbesserter Datenkontext von einem Security Information Management kann in Kombination mit der Automatisierung zu einer geringeren mittleren Erkennungszeit (mean time to detect) und mittleren Antwortzeit (mean time to response) führen. Durch die schnellere Störfallerkennung und Reaktion können die Auswirkungen verringert werden.

Für eine effektivere Sicherheit konsolidiert eine SOAR-Plattform die Informationen verschiedener Sicherheitssysteme schnell in einer einzigen Oberfläche. Die Vereinheitlichung der Meldungen und deren Analyse ermöglicht bessere Datenverwaltungsprozesse und schnellere Reaktionen auf die Aktualisierung bestehender Sicherheitsrichtlinien und -programme. Sie helfen den SOC-Teams, die Informations- und Datenverarbeitung zu zentralisieren und Reaktionszeit zu sparen.

Das Fokussieren auf zeitaufwändige, manuelle Prozesse kann Mitarbeiter belasten und es verunmöglichen, mit dem wachsenden Volumen von Meldungen Schritt zu halten. Die Orchestrierung, Automatisierung und Standardisierung im SOAR können der aktuellen Datenflut im Security Operation Center leichter Herr werden.

Standardisierte Verfahren, die untergeordnete Aufgaben automatisieren, ermöglichen es SOC-Teams, auf mehr Bedrohungen im gleichen Zeitraum zu reagieren. Diese automatisierten Workflows stellen auch sicher, dass die gleichen standardisierten Abwehrmaßnahmen unternehmensweit über alle Systeme hinweg angewendet werden können. Durch die Automatisierung von Maßnahmen auf niedrigerer Ebene werden die Möglichkeiten des SOC-Teams erweitert, sodass sie Aufgaben effektiver priorisieren und schneller auf Vorfälle reagieren können. In vielen Fällen wird ihre Unterstützung durch das SOAR-System, im Vergleich zur manuellen Durchführung aller Bemühungen zur Bedrohungsanalyse, -erkennung und -reaktion, die Kosten senken.