Zeit ist Geld! und Sicherheit!: Wie SOAR Sie automatisiert vor Cyberangriffen schützt

Im Kontext der „Verteidigung“ von Unternehmen – in Bezug auf IT-Sicherheit – ist Zeit einer der kritischsten Faktoren.

„Es ist nicht die Frage, ob man angegriffen wird – sondern wann!“

Diese Aussage werden Sie so oder in ähnlicher Form schon häufiger vernommen haben. In der Tat: Die Anzahl der Cyberangriffe auf Unternehmen hat in den letzten Jahren deutlich zugenommen. Durch die zunehmende Digitalisierung ist es nur eine Frage der Zeit, bis gewisse Akteure versuchen Unternehmen in ihren digitalen Bereichen anzugreifen. Dies haben wir bereits in den ersten beiden Beträgen unserer Reihe zum Thema Cloud-Sicherheit verdeutlicht, wir Ihnen am Ende des Beitrags nochmals verlinken.
Zeit ist ein entscheidender Faktor bei einem Angriff auf ein Unternehmen. Warum? 

Je schneller ein Angriff erkannt wird und je schneller erste Eindämmungsmaßnahmen durchgeführt werden, desto schneller/ besser können negative Folgen für das Unternehmen minimiert werden. Hier gilt es zwei Begrifflichkeiten zu unterscheiden: „Mean time to detect“ (MTTD) und „Mean time to respond“ (MTTR).

 

MTTD und MTTR: zwei wichtige Kernfaktoren

Ein Faktor im Kontext der Minimierung der „Mean time to detect“ ist natürlich die Abdeckung der IT-Landschaft mit Services, welche Angriffe erkennen. Hier entwickeln sich sowohl die Branche als auch die „bösartigen Akteure“ (Blackhats) sehr schnell weiter. Services, wie XDR-Plattformen, SIEM-Systeme aber auch klassische Lösungen zur Absicherung von Netzwerken (Firewall, WAF etc.) sind bereits weit verbreitet und unterstützen viele Unternehmen bei der Angriffserkennung.

Sobald ein Angriff erkannt wurde, muss sofort eine Reaktion auf den Vorfall erfolgen. Die Zeit bis zur Reaktion auf einen Vorfall wird als „Mean Time to Respond“ (MTTR) bezeichnet: Wie lange brauche ich, bis ich eine Reaktion auf die Erkennung eines Angriffes durchführe/ einleite? Hier erhalten Sie weitere Informationen.

Reaktionen und Gegenmaßnahmen über Systemgrenzen hinweg

Viele Services zur Erkennung von Angriffen bieten mittlerweile Möglichkeiten, gewisse Gegenmaßnahmen auszuführen. Diese Maßnahmen werden zumeist nur isoliert auf ein Ökosystem angewendet. z.B. kann eine Endpoint Protection einen Server OS-seitig isolieren. Die Angriffe gehen jedoch weiter: oft wird von einer ganzen „cyber kill chain“ gesprochen. Ein Angriff findet selten nur über ein System statt. In der Regel bewegt sich ein Angreifer über verschiedene Systeme und Services hinweg, um sein Ziel zu erreichen. Spätestens jetzt wird ersichtlich: ein einzelnes System allein reicht nicht mehr für Gegenmaßnahmen aus.

Hier kommt SOAR ins Spiel, welches wir im Folgenden genauer betrachten. Dabei orientieren wir uns an diesen beiden Fragen:

• Was bedeutet SOAR?
• Was kann SOAR leisten?

Was bedeutet SOAR?

SOAR steht für Secure Orchestrated Automated Response: eine sichere, organisierte automatisierte Reaktion auf Vorfälle und Angriffe. Dies kann z.B. die automatisierte Sperrung von User Accounts oder das Durchführen von automatischen Scans von Clients oder Servern sein.

Was kann SOAR?

SOAR verschafft Security Teams einen Zeitvorteil und ermöglicht es zeitgleich Gegenmaßnahmen über Ökosystemgrenzen hinweg zu orchestrieren sowie zu automatisieren. Die Gegenmaßnahmen laufen nach vordefinierten Abfolgen, welche wiederum Aktionen durch verschiedene Systeme steuern. Gerade im Zeitalter des Fachkräftemangels genießen Automatisierungen, die 24/7 arbeiten, großes Interesse.

In üblichen Kundenprojekten lässt sich SOAR in drei Bereiche untergliedern: Gegenmaßnahmen, Anreicherung und Benachrichtigungen. Im Idealfall kommen für einen möglichst optimierten Einsatz alle drei Szenarien im Verbund zum Einsatz.

Gegenmaßnahmen:

Der wohl populärste Bereich von SOAR. Hierunter fallen die konkreten Aktionen, die ausgeführt werden, um den Eingriff aktiv einzudämmen: z.B. das Sperren von Accounts, die Isolation von Servern (Netzwerk und Endpunkt) oder die Erstellung von Firewall-Regeln.

Folgendes Anwendungsbeispiel:

Ein User gibt unbedacht auf einer Website die Login-Daten zu seinem Mail-Account ein. Der Angreifer versucht sich von einem seiner Systeme mit dem abgefangenen Zugangsdaten anzumelden. Er stellt sich geschickt an und ist erfolgreich. Er erhält den Zugriff auf das Mail-Postfach sowie den Onlinespeicher des Users. In diesem wurden vertrauliche interne Dokumente abgelegt. Der Angreifer startet den Download einiger vertraulicher Dokumente auf einen Schlag. Die Sicherheitstools erkennen dieses ungewöhnliche Verhalten. Noch bevor sich ein Administrator oder SOC-Operator dem erkannten Vorfall annehmen kann, reagiert die SOAR-Automation, sperrt den User und informiert den Vorgesetzten des regulären Account-Nutzers sowie das SOC-Team über die Einleitung der Gegenmaßnahme. Das SOC-Team profitiert somit von einem Zeitvorteil, da automatisch eine Gegenmaßnahme ausgeführt wurde.

Es handelt sich hierbei um ein simples Szenario. Es ist durchaus denkbar, komplexere Sachverhalte abzubilden.

Anreicherung

Betrachtet man einen Incident innerhalb eines SIEMs, so ist einer der wichtigsten Schritte die Bewertung.

• Liegt die Erkennung richtig (True-Positive)?
• Wurde ein legitimes Verhalten als potenziell bedrohlich erkannt (False-Positive)?

Hier kann das Thema Enrichment unterstützen, indem es bekannte Datenbanken/ Feeds bzgl. der erkannten Entitäten (z.B. IP-Adressen) befragt. „Sind diese Entitäten (IPs, URLs, etc.) bereits negativ in Erscheinung getreten?“ – so könnte eine relevante Frage lauten. Dies bildet Anknüpfungspunkte zum Themenfeld der Threat Intelligence.

Benachrichtigungen

In der heutigen IT-Landschaft sind verschiedenste Tools zur Zusammenarbeit und Kommunikation im Einsatz. Ebenso existieren unterschiedliche Prozesse und Ausgestaltungen dieser. Eine Automatisierung kann durch Plattformunabhängigkeit verschiedenste Plattformen ansteuern. Microsoft Teams kann bspw. genutzt werden, um Teams bzw. Vorgesetzte zu informieren. In Ticketsystemen werden automatisiert Tickets für die Dokumentation des Vorfalls erstellt. Diese Automatisierungen können explizit an die internen Prozesse angepasst werden.