Hackerangriffe werden immer ausgeklügelter, Cyberkriminelle automatisieren ihre Angriffe und die Anzahl der Attacken steigt immer weiter. Die Datenmengen, die auf verdächtige Inhalte hin untersucht werden müssen, nehmen derart rasant zu, dass man ohne Automatisierung kaum noch in der Lage ist, die Masse an Sicherheitsmeldungen auszuwerten. Doch selbst damit lässt sich der Aufwand für mittelständische Unternehmen nicht auf einfache Weise selbst bewältigen. Warum auch? Schließlich gibt es diese Leistung auch als Managed Detection and Response Service.
SIEM: Vom Mittel der Wahl zum Log-Grab
Lange Zeit galt ein Security Information and Event Managemet (SIEM) als Mittel der Wahl, um bösartige Aktivitäten schnellstmöglich zu erkennen und zu stoppen, bevor sie großen Schaden anrichten. Viele Unternehmen haben daher in den vergangenen Jahren in eine solche Lösung investiert – häufig auch aus Compliance-Gründen. Doch es reicht nicht aus, sich ein SIEM ins Rechenzentrum zu stellen und es einmal zu konfigurieren. Man muss es auch kontinuierlich pflegen, Quellen anbinden und immer wieder nachjustieren. Vor allem aber benötigt man Security-Analysten, um die Informationen, die das System ausgibt, nachzuverfolgen und zu bewerten. Kaum ein mittelständisches Unternehmen hat dafür genug Fachkräfte und Expertise im eigenen Haus. Häufig dient das SIEM daher schon nach kurzer Zeit nur noch als Logspeicher. Das ist hilfreich bei einer forensischen Untersuchung, bringt aber wenig, um einen Cyberangriff zu erkennen und zu stoppen.
Das SIEM Dilemma
Ein SIEM sammelt die Logdaten angeschlossener Security Systeme, korreliert sie und sucht nach Anomalien. Entdeckt es ungewöhnliches Verhalten, gibt es eine Warnmeldung aus. Das Problem dabei: Das SIEM kann zwar Auffälligkeiten identifizieren, erkennt aber nicht, ob sie sicherheitsrelevant sind. Dadurch überflutet es Mitarbeiter geradezu mit Alerts. Ein Großteil davon sind False Positives, die oft ganz harmlose Ursachen haben – etwa eine Software-Installation, die Hashwerte von Dateien ändert, oder ein Backup, das außer der Reihe läuft.
Um solche False Positives auszusortieren und tatsächliche Bedrohungen zu erkennen, müssen Security-Teams die Warnmeldungen genauer untersuchen. Weil das angesichts der Datenflut kaum jemand schafft, laufen die Alerts häufig einfach in einem Postfach auf und werden nur kurz überflogen. Dadurch bleiben allerdings auch kritische Hinweise unbemerkt.
SOC-Analysen erfordern aufwändige manuelle Arbeit
Um das Problem der Alerts-Überflutung zu lösen, ist für größere Unternehmen meist die Einrichtung eines SOC (Security Operations Center) das Mittel der Wahl. Hier sind spezialisierte Security-Mitarbeiter damit beschäftigt, die Warnmeldungen aus dem SIEM auszuwerten. Das erfolgt in zwei Stufen. In der ersten Stufe untersuchen Level-1-Analysten zuerst, ob es Hinweise darauf gibt, dass ein Log-Event gefährlich ist. Dafür werden Daten gegen Informationen aus der Vergangenheit geprüft. Stand ein ähnlicher Alert schon einmal im Zusammenhang mit einem Sicherheitsvorfall oder ist ein Code-Schnipsel oder eine URL schon als bösartig bekannt? Auf der Suche nach Antworten durchforsten die Analysten die Threat-Intelligence-Datenbanken der Security Anbieter und müssen bei jeder Recherche die aktuellen Bedrohungsinformationen von Neuem abrufen. Denn Anzeichen wie bösartige DNS-Einträge können sich laufend ändern. Stoßen die Level-1-Analysten auf Anzeichen für einen Angriff, übernehmen die Level-2-Analysten mit tiefergehenden Untersuchungen. Sie verfolgen gemeinsam mit dem IT-Personal vor Ort die Spuren und ermitteln, ob es sich tatsächlich um einen Angriff handelt.
SOAR optimiert SOC-Prozesse
Die Untersuchung der Sicherheitsmeldungen ist aufwendig und erfordert Expertenwissen. Ein SOC zu betreiben ist daher ziemlich teuer. Insbesondere Level-1-Analysen benötigen viel Zeit mit manueller Fleißarbeit, dieser Job wird daher von kaum einem Security-Mitarbeiter besonders gerne ausgeübt. Auf dem ohnehin leergefegten Arbeitsmarkt erschwert dies den Unternehmen, geeignete Fachkräfte zu finden. Hinzu kommt, dass manuelle Level-1-Analysen langwierig sind und schon einmal mehrere Stunden dauern können. So verstreicht wertvolle Zeit, während der ein Cyberangriff im Ernstfall unbehindert weiter voranschreitet.
Moderne SOCs setzen daher auf eine Lösung für Security Orchestration, Automation and Response (SOAR). Sie kann Mitarbeiter erheblich entlasten und Prozesse beschleunigen, indem sie Level-1-Analysen automatisiert durchführt. Ein SOAR ist in der Lage, riesige Datenmengen in wenigen Sekunden zu verarbeiten und Informationen mit den verschiedensten Threat-Intelligence-Quellen zu überprüfen. Es bereitet die Recherche-Ergebnisse so intelligent und übersichtlich auf, dass SOC-Mitarbeiter schnell ein komplettes Bild von einem Angriffsvektor erhalten. Die Automatisierung im SOAR erfolgt mithilfe sogenannter Playbooks, in denen Workflows und Logiken hinterlegt sind, die das System abarbeitet. SOC-Mitarbeiter können sowohl auf eine Vielzahl an vorgefertigten Playbooks für verschiedene Incidents zurückgreifen als auch neue definieren und mit anderen teilen. Im Laufe der Zeit wird immer mehr Kow-how angesammelt und je mehr Playbooks bereits verfügbar sind, desto effizienter wird die Arbeit im SOC. Dadurch kann ein SOAR die Alarme, die die Mitarbeiter noch überprüfen müssen, erheblich reduzieren und die Reaktion auf einen Sicherheitsvorfall deutlich beschleunigen.
Managed Detection and Response: Geschwindigkeit ist keine Hexerei
Der Vorteil eines SOAR besteht darin, Angriffe und deren Vektoren so schnell wie möglich aufzudecken und zu stoppen. Der eigenständige Betrieb eines SOARs ist jedoch aufwändig und kostenintensiv, denn solche Lösungen wurden zumeist für große SOCs entwickelt – inklusive hoher Hardware-Anforderungen, der Notwendigkeit von direkten Datenbankanbindungen und komplexer Bedienbarkeit. Auch wenn Unternehmen sich entscheiden, in leistungsstarke SOC-Technologie zu investieren – der Fachkräftemangel macht ihnen bei der Suche nach SOC-Mitarbeitern und Security-Analysten einen Strich durch die Rechnung. Zum Glück gibt es aber eine sinnvolle Alternative zum Eigenbetrieb, schließlich können die entsprechenden Leistungen auch als Service bezogen werden – schon bald auch von indevis. Mit Managed Detection & Response geht bei der Jagd und Reaktion auf Bedrohungen keine wertvolle Zeit verloren.
Bildquelle: stock.adobe.com-shane