Bessere Sicherheitsentscheidungen schneller treffen
24. März 2020In den vergangenen zwölf Monaten sahen sich Unternehmen weiterhin einem weiteren Ansturm von Sicherheitsdaten aus unterschiedlichen Systemen, Plattformen und Anwendungen ausgesetzt, die den Zustand des Netzwerks, potenzielle Bedrohungen und verdächtiges Verhalten betreffen. Dies stellt nach wie vor eine Herausforderung für alle Teams der Sicherheits-Betriebszentrale (SOC) und der Incident Response (IR) dar, da sie die Auswirkungen auf den Sicherheitsbetrieb, das Schwachstellenmanagement und die Reaktion auf Vorfälle mit einer besseren und schnelleren Entscheidungsfindung angehen wollen.
Um eine bessere und schnellere Entscheidungsfindung umzusetzen, bringen viele Unternehmen mehr Daten-Feeds ein – sowohl für Bedrohungen, als auch für Schwachstellen – und investieren in analytische Verhaltenserkennungs-Tools. Leider führt dies in den meisten Fällen nicht zu einer besseren Entscheidungsfindung.
Stattdessen wird das Personal unter den Daten begraben. Das Endergebnis ist eine abnehmende Entscheidungsfähigkeit aufgrund von fehlender Wachsamkeit. Um dem entgegenzuwirken, sollten Unternehmen fünf einfache Schritte befolgen, um eine bessere und schnellere Entscheidungsfindung zu ermöglichen.
- Erster Schritt: Priorisierung. Die Trennung des Wahrscheinlichen vom Möglichen mit dem Kontext ermöglicht es Analysten, eine Warnung mit hoher Priorität von einer anderen zu unterscheiden, wodurch sie in die Lage versetzt werden, Prioritäten zu setzen. Die Priorisierung ist entscheidend. Das National Institute of Standards and Technology (NIST) stellt in seinem Leitfaden zur Behandlung von Computersicherheitsvorfällen fest, „die Priorisierung der Behandlung des Vorfalls ist vielleicht der kritischste Entscheidungspunkt bei der Behandlung des Vorfalls“.
Die Priorisierung bezieht sich nicht nur auf die Reaktion auf Vorfälle, sondern auf alle kritischen Alarme. Die Fähigkeit, Prioritäten zu setzen, gibt den Analysten den nötigen Spielraum, um sich auf das Wesentliche zu konzentrieren, wobei die Alarme mit der höchsten Priorität zuerst behandelt werden. - Zweiter Schritt: Kontext ist wichtig. Die Alert-Triage reduziert die Anzahl der Fehlalarme. Sie erleichtert eine schnelle Unterscheidung zwischen den Alarmen mit hoher und niedriger Priorität. Die beste Methode, diese Unterscheidung zu erreichen, ist die Einbeziehung von Kontextinformationen. Der richtige Kontext ermöglicht es den Analysten die Alarme mit unmittelbarem Risiko von denen zu trennen, die ein hohes Risiko bergen, aber nicht ganz so schnell bearbeitet werden müssen.
Die Aggregation und Authentifizierung von Indicators of Compromise, also Informationen über externe Bedrohungen sind für den Kontext umso wichtiger. Leider beziehen die meisten Unternehmen Bedrohungsinformationen erst dann mit ein, wenn sie ein Ereignis als verdächtig klassifizieren. Bedrohungsinformationen liefern einen wertvollen Kontext, lange bevor ein Ereignis als verdächtig eingestuft wird und sollten deshalb mehr Gewicht in der Analyse erhalten. Der richtige Kontext hilft dem SOC und den IR-Teams, das Mögliche vom Wahrscheinlichen zu trennen. Ansonsten ist alles möglich, so dass alle Alarme mit hoher Priorität gleichwertig sind.
Zum Beispiel ist ein anomaler Alarm über ausgehende Aktivitäten vom Development Server einer Bank möglicherweise bösartig und erfordert weitere Untersuchungen, unabhängig davon, ob es sich um ein bösartiges oder ein gutartiges Ereignis handelt. Im Gegensatz dazu weist die Integration von Bedrohungsinformationen, darauf hin, wann eine Warnung wahrscheinlich auch ein Alarmzeichen ist und eine sofortige Blockierung und Reaktion auf den Vorfall erfordert. Ein Beispiel sind IP-Adressen von Command & Control (C&C)-Websites, die sich explizit an Finanzdienstleistungsunternehmen richten. - Schritt drei: Bessere Entscheidungen treffen. Die Reduzierung dieser falschen Alarme und die Möglichkeit, ein Event von hoher Priorität von einem anderen zu unterscheiden, erlaubt Security Analysts, sich auf dieses Event zu konzentrieren. Und wenn Analysten sich konzentrieren, treffen sie bessere Entscheidungen. An dieser Stelle kommt die Team-Orchestrierung ins Spiel.
Jedes Mitglied des Teams muss sicherstellen, dass es die Situation, die Risiken, die Auswirkungen und die nächsten Schritte gleichermaßen verstanden und verinnerlicht hat. Die Teamkoordination ist eine der größten Herausforderungen für Security- und Risk Manager. Um dem zu begegnen, führen einige Unternehmen sogenannte Playbooks in ihre SOC- und IR-Aktivitäten ein.
In diesen Büchern werden die kritischen Schritte vom Erkennen eines verdächtigen Ereignisses bis hin zur Klassifizierung, Analyse und Reaktion dargelegt. Ein Playbook dient als Flussmodell für die Ausführung wiederholbarer Schritte, um auf einen Sicherheitsvorfall zu reagieren. Diese Modelle sind äußerst hilfreich für die Abbildung und in einigen Fällen für die Automatisierung verschiedener Phasen des Prozesses. Playbooks sind jedoch statisch und begrenzt in der Entscheidungsfindung im Team. Es fehlt ihnen eine Schlüsselkomponente: situationsbezogene Echtzeit-Intelligenz. - Vierter Schritt: Effektivität steigern durch Situationsanalyse. Es ist ein Unterschied, ob alle auf den gleichen Stand gebracht werden oder sichergestellt wird, dass alle die Informationen haben, die sie für ihre Arbeit benötigen. Ein Threat Researcher sucht beispielsweise nach Informationen über aktive Bedrohungen, bekannte Bedrohungen für das Unternehmen und alle einzigartigen Indikatoren über den potenziellen Angreifer. Der Schwerpunkt liegt auf den Schritten Aufklärung, Waffenarsenal, Auslieferung und Ausnutzung der Cyber-Kill-Chance (CKC).
Ein IR-Analytiker wird sich dagegen auf die Indicators of Compromise (IoC) in Bezug auf Schwachstellen-Ausnutzung, Installation, C&C und Maßnahmen zu den Schritten der CKC-Ziele konzentrieren. Beide Teammitglieder arbeiten am selben Problem, aber ihre Bedürfnisse an Informationen sind unterschiedlich, aber dennoch miteinander verbunden. Situative Intelligenz entsteht durch die Zusammenführung der Maschinendaten, die von allen Sicherheitsvorrichtungen (z.B. SIEM, IDS/IPS, Endpunkt, HIDS und FW) erzeugt werden, und deren Integration mit der Bedrohungsintelligenz.
Ziel ist es, dem Teammitglied, das die Daten analysiert, situationsbedingt relevante Erkenntnisse zu liefern. Situationsbezogene Erkenntnisse geben dem Teammitglied die verwertbaren Informationen, die es benötigt, um im Rahmen einer Teamarbeit effizienter und effektiver arbeiten zu können. Wenn allen Teammitgliedern die richtigen Informationen zur richtigen Zeit zur Verfügung stehen und das Team auf dem gleichen Stand ist, nennen wir das ein universelles Verständnis. Das universelle Verständnis ist ein Kipppunkt in der Teamdynamik, wenn das Team mit voller Effektivität arbeitet. - Schritt fünf: Zusammenarbeit für bessere Entscheidungsfindung. Wie können Unternehmen nun bessere Entscheidungen schneller treffen? Als Antwort auf diese Fragestellung nimmt ein kollaborativer Untersuchungsbereich das Playbook-Konzept auf, setzt es aber dynamisch um. Ziel ist die Entscheidungsfindung im Team in Echtzeit, was nur durch Automatisierung gelingt. Das zugrunde liegende Framework und der Ablauf werden dargelegt, wobei die Aktionen und die Interaktion des Teams in Echtzeit verfolgt werden. Der Arbeitsbereich für die nahtlose Zusammenarbeit ermöglicht es den Teammitgliedern, bessere Entscheidungen zu treffen, indem diese schneller zur Verfügung stehen:
Eine globale Sicht – Eine universelle Perspektive, die alle an der Untersuchung beteiligten Teams und Teammitglieder und ihre Aktivitäten in der gesamten Organisation, aufgeteilt nach Region oder Schwerpunkt, zeigt.
Fokussiertes Wissen – Das große Ganze im Auge behalten mit konsistentem, geteiltem globalem Wissen, aber dennoch die lokale Konzentration unterstützen.
Fähigkeit testen, dann reden – Teammitglieder können ihre Hypothesen parallel durcharbeiten, ihre Theorien testen und dann dem breiteren Team berichten.
Die Sicherheitsteams sehen sich nach wie vor einer erheblichen Ermüdung durch eine ständige Flut von Alarmsignalen hoher Priorität gegenüber. Die sich ausweitende Bedrohungslandschaft und die zunehmend dynamische Natur des IT-Betriebs tragen in erster Linie zu dieser Alarm-Eskalation bei. Die einzige Möglichkeit für SOC- und IR-Teams, die Anzahl der Alarme auf die sinnvollen zu reduzieren, ist die Einführung von Bedrohungsinformationen, um diesen Kontext hinzuzufügen, was die Priorisierung und die Einteilung der Prioritäten erleichtert.
Dies hilft, bessere Entscheidungen zu treffen, aber das Team muss sich auch abstimmen und synchronisieren. Dies ist für viele Teams eine Herausforderung, da sie an unterschiedlichen Standorten sitzen. Sie brauchen eine konsistente Arbeitsweise und müssen sich dennoch auf ihre Rolle im Entscheidungsprozess konzentrieren können. Um dies zu erreichen, sind situationsbezogene Intelligenz und die Arbeit in einer nahtlosen Kooperationsumgebung erforderlich. Letztendlich müssen alle oben genannten Schritte für ein universelles Verständnis schneller umgesetzt werden.
Markus Auer ist Regional Sales Manager CE bei ThreatQuotient.