IT Security September/Oktober 2023

More documents

Recommendations

Info

68 | IT SECURITY Security Orchestration perfektioniert SOC, SIEM, SOAR, PLAYBOOKS, MDRS SORGEN FÜR EINEN BESSEREN SCHUTZ Das Feld der Informationssicherheit hat sich in den letzten Jahren stark gewandelt und ist heutzutage komplexer denn je. Zusammen mit der stark gewachsenen Bedrohungslage ist auch die Anzahl und Komplexität der eingesetzten Security-Produkte gestiegen. In vielen Unternehmen haben sich daher interne Security Operations Centern (SOC) als zentrale Stelle zur Sicherstellung der Informationssicherheit und Eindämmung aufkommender Vorfälle etabliert – oder es wird auf die Dienstleistung Dritter zurückgegriffen. Es verwundert nicht, dass SOC-Mitarbeiter heute mit vielen verschieden Produkte arbeiten. Sie müssen dabei auf eine Vielzahl von Informationsquellen zurückgreifen und in der Lage sein, Sachverhalte schnell korrekt zu bewerten. Eine der größten Herausforderungen besteht darin, sicherheitsrelevante Ereignisse mit der angemessenen Priorität zu bearbeiten und wertvolle Kapazitäten nicht für Events mit geringer Relevanz zu binden. Trotzdem muss man Security ständig hinterfragen und neu denken. Kampf gegen die Alarmmüdigkeit Um die anfallende Daten- und Ereignisflut nicht vollständig manuell analysieren zu müssen, haben sich zentrale Security Information and Event Management (SIEM)-Systeme etabliert. Solche SIEM-Systeme sammeln Daten aus verschiedenen Quellen innerhalb einer IT- Umgebung, etwa Logdaten und Ereignisdaten von Windows und Linux-Systemen, Firewalls, Anti-Virus-Lösungen und Anwendungen. Die besondere Stärke eines SIEM-Systems ist die Korrelation dieser Daten aus den unterschiedlichsten Quellen. Anhand vorher festgelegter Parameter sind SIEM-Systeme sogar in der Lage, Alarme zu generieren. SOC-Mitarbeiter werden aufgrund solcher Alarme tätig und bearbeiten diese Ereignisse, nach den im Unternehmen festgelegten Verfahrensabläufen. Werden die Parameter zu lose definiert, können sicherheitsrelevante Ereignisse unerkannt bleiben. Eine zu enge Definition wiederum kann zu einer hohen Anzahl von Fehlalarmen führen. Das große Problem dabei: Fehlalarme binden Arbeitskraft und können dazu führen, dass echte kritische Ereignisse nicht rechtzeitig die notwendige Aufmerk- September/Oktober 2023 | www.it-daily.net
IT SECURITY | 69 samkeit erfahren, oder dass ein Event nicht als kritisch eingestuft wird, weil sich diese Art von Ereignis zuvor als Fehlalarm herausgestellt hat. Doch selbst legitime Alarme können zu kritischen Zuständen in einem SOC führen. Das ist etwa dann der Fall, wenn die aufkommende Ereignismenge die Kapazitäten des SOC überschreitet. Ereignisse können dann nicht mehr zeit- und sachgerecht bewältigt werden. Ein neuer Ansatz: SOAR Über die letzten Jahre hat sich deshalb ein neuer Ansatz in der Informationssicherheit entwickelt: Security Orchestration, Automation and Response (SOAR). Ein SOAR kann nicht nur die aufkommenden Ereignisse automatisch mit zusätzlichen Informationen anreichern, sondern bisher manuell zu erledigende Aufgaben teilweise oder sogar vollständig automatisieren. Durch ein SOAR können also erhebliche Effizienzsteigerungen erzielt werden. Die Reaktionsund Lösungszeit für auftretende Ereignisse wird dadurch wesentlich verbessert. Doch ein SOAR steigert nicht nur die Effizienz, sondern ermöglicht auch die Umsetzung vieler zusätzlicher Prozesse, die die Informationssicherheit im Unternehmen weiter erhöhen. Ein zusätzlicher positiver Effekt ergibt sich durch den Wegfall repetitiver Standardaufgaben. Das reduziert das Risiko für die gefürchtete Alarmmüdigkeit und erhöht die Motivation der Mitarbeiter. Fähigkeiten. Im Zentrum einer SOAR-Lösung stehen vordefinierte Ablaufpläne, sogenannte Playbooks. Diese Playbooks können durch unterschiedliche Auslöser gestartet werden: zeitgesteuert, bei einem bestimmten Ereignis oder manuell durch einen SOC-Mitarbeiter, um nur einige von vielen denkbaren Möglichkeiten zu nennen. Ein einzelnes Playbook kann dabei sehr einfach aufgebaut sein oder eine Vielzahl von Aktionen enthalten. Dabei muss ein Playbook nicht statisch definiert werden. Auch vielfältig verzweigte Aktionspfade, bei denen je nach Resultat eines Zwischenschritts einem anderen Pfad gefolgt wird, sind möglich. Moderne SOAR-Lösungen bieten bereits von Haus aus Unterstützung gängiger Security-Produkte, können aber auch auf Speziallösungen adaptiert werden. Ein einfaches Beispiel für ein Playbook sehen wir in Bild 1. Eine IoC (Indicator of compromise)- Quelle [3] wird regelmäßig [1] automatisiert auf kategorisierte IoCs vom Typ IP-Adresse, überprüft. Alternativ kann dieses Playbook von einem Analysten aus einem SOC-Dashboard heraus, ausgelöst werden. [2] Schlägt die Aufgabe fehlt, wird ein Ticket im angebundenen Ticketsystem generiert. [6] Werden zutreffende IoCs erkannt, erfolgt eine Blockierung dieser IP-Adressen an einer Perimeter Firewall. [4] Gleichzeitig wird eine Suche im SIEM auf Kommunikation interner Systeme mit den erkannten IP-Adressen ausgelöst. [5] Bei Treffern wird ein Scan der Endgeräteschutzsoftware auf den entsprechenden Clients gestartet [7] und gleichzeitig ein Ticket mit den entsprechenden Informationen generiert. [8] Fördert der automatisch gestartete Scan Malware zutage, wird die Netzwerkkommunikation des Gerätes unterbunden [9] und das Ticket mit den zusätzlichen Informationen aktualisiert. [10] Bleibt der Scan hingegen ohne Treffer, wird das Ticket mit diesen Informationen aktualisiert und geschlossen. [11] Playbooks: Herzstück einer SOAR-Lösung Eine SOAR-Lösung erweitert nicht nur die Fähigkeiten eines SIEM-Systems erheblich, sondern ergänzt die gesamte Informationssicherheit mit wertvollen Bild 1: Ein einfaches Playbook wie dieses zeigt bereits die Möglichkeiten der Automatisierung. (Bild: SECUINFRA / Swimlane) www.it-daily.net | September/Oktober 2023
Page 1 and 2:
Detect. Protect. Respond. September
Page 3 and 4:
INHALT | 3 Inhalt 04 COVERSTORY 4 T
Page 5 and 6:
COVERSTORY | 5 interpretiert werden
Page 7 and 8:
THOUGHT LEADERSHIP | 7 Security Ser
Page 9 and 10:
THOUGHT LEADERSHIP | 9 haben, die s
Page 11 and 12:
IT-SA SPEZIAL | 11 the place to be
Page 13 and 14:
IT-SA SPEZIAL | 13 bei Organisation
Page 15 and 16:
IT-SA SPEZIAL ADVERTORIAL | 15 Acce
Page 17 and 18: IT-SA SPEZIAL | 17 werden. Brieskor
Page 19 and 20: IT-SA SPEZIAL ADVERTORIAL | 19 Rans
Page 21 and 22: IT-SA SPEZIAL | 21 it security: Wor
Page 23 and 24: IT-SA SPEZIAL | 23 an, fällt ein T
Page 25 and 26: IT-SA SPEZIAL | 25 Außerdem erkenn
Page 27 and 28: IT-SA SPEZIAL ADVERTORIAL | 27 Mobi
Page 29 and 30: IT-SA SPEZIAL | 29 obwohl der Onboa
Page 31 and 32: IT-SA SPEZIAL ADVERTORIAL | 31 Die
Page 33 and 34: IT-SA SPEZIAL | 33 Carina Mitzschke
Page 35 and 36: IT-SA SPEZIAL | 35 Bild: ESET verd
Page 37 and 38: IT-SA SPEZIAL ADVERTORIAL | 37 Vers
Page 39 and 40: IT-SA SPEZIAL | 39 Auf dem macmon S
Page 41 and 42: IT-SA SPEZIAL ADVERTORIAL | 41 it-s
Page 43 and 44: 19.09.22 12:34 IT-SA SPEZIAL ADVERT
Page 45 and 46: IT-SA SPEZIAL | 45 cherheitsproblem
Page 47 and 48: IT-SA SPEZIAL | 47 Arbeitswelt der
Page 49 and 50: IT-SA SPEZIAL | 49 Directory-Konto
Page 51 and 52: IT-SA SPEZIAL ADVERTORIAL | 51 Sich
Page 53 and 54: IT-SA SPEZIAL | 53 durchführen, wo
Page 55 and 56: IT-SA SPEZIAL | 55 Cyberresilienz M
Page 57 and 58: IT SECURITY | 57 einander. Das Schw
Page 59 and 60: ADVERTORIAL | 59 Ganzheitliche mobi
Page 61 and 62: IT SECURITY | 61 müssen entspreche
Page 63 and 64: ADVERTORIAL | 63 Cloud-PAM WENN PRI
Page 65 and 66: IT SECURITY | 65 protekt 2023 KRITI
Page 67: ADVERTORIAL | 67 Die eigene Sicherh
Page 71 and 72: IT SECURITY | 71 Schritt sollten An
Page 73 and 74: IT SECURITY | 73 PDCA ZYKLUS • Ve
Page 75 and 76: IT SECURITY | 75 Krypto-Agilität D
Page 77 and 78: IT SECURITY | 77 Organisation Daten
Page 79 and 80: Data Lake: Die etwas ANDERE ART des
show all

IT Security September/Oktober 2023

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?