5 SecOps-Funktionen und Best Practices für den SecOps-Erfolg

Was ist SecOps (Security Operations)?

Security Operations (SecOps) ist eine Synergie zwischen Sicherheitsteams und IT-Betrieb. Dabei werden Tools, Prozesse und Technologien integriert, um die Informationssicherheit zu verbessern.

In herkömmlichen Security Operations Centern (SOCs) herrschte oft eine Kluft zwischen Sicherheits- und Betriebsteams. Jedes Team verfolgte unterschiedliche Prioritäten, Verfahren und Tools, was zu konkurrierenden Bemühungen, Ineffizienzen und letztlich zu weniger effektiven Sicherheitsbemühungen führte.

Beispielsweise können Sicherheitstools wie Firewalls oder Intrusion Prevention Systems (IPS), die vom SOC betrieben werden, in manchen Fällen geschäftskritische Anwendungen lahmlegen und so dem Unternehmen Schaden zufügen. Ein ganzheitlicher Sicherheitsansatz berücksichtigt, dass Cyberangriffe und Ausfallzeiten zwei Risiken für das Unternehmen darstellen und keines davon ignoriert werden kann.

Durch die engere Zusammenarbeit von Sicherheits- und IT-Betriebsteams teilen sie sich die Verantwortung für die Prioritäten im Zusammenhang mit der Aufrechterhaltung der Produktivität und Sicherheit der IT-Umgebung. Dies sorgt für mehr Transparenz bei Sicherheitsrisiken und ein gemeinsames Verständnis der IT-Ziele und -Prioritäten sowie deren Unterstützung durch Sicherheitsprozesse. Ein weiterer Vorteil von SecOps ist die Integration von Tools und Automatisierung in Sicherheits- und IT-Betriebsteams, was zu mehr Agilität und Effizienz führt.

Vorteile und Ziele von SecOps

SecOps zielt nicht nur auf die Durchsetzung von Sicherheitsmaßnahmen ab, sondern unterstützt auch reibungslose Entwicklungszyklen. Eine effektive SecOps-Richtlinie sollte klare Ziele setzen, wie z. B. die Förderung der Sicherheitszusammenarbeit aller Teams, die Festlegung von Meilensteinen zur Kennzeichnung des Fortschritts der SecOps-Implementierung und die Sicherstellung, dass alle Best Practices für die Sicherheit befolgen.

Best Practices für die Sicherheit sollten Teil des täglichen Betriebs sein und nicht erst in letzter Minute oder im Notfall berücksichtigt werden. Eine gut geplante SecOps-Strategie bietet mehrere Vorteile:

• Mehr Personal– Durch die Verteilung der Sicherheitsverantwortung auf mehrere Teams wird sichergestellt, dass mehr Personen auf wachsende und sich entwickelnde Bedrohungen reagieren können.
• Sicherheit hat Priorität– DevOps-Teams konzentrieren sich oft auf Geschwindigkeit und vernachlässigen dabei die Sicherheit. Indem SecOps die Sicherheit von Anfang an priorisiert, trägt es dazu bei, sowohl die allgemeine Sicherheit als auch die Geschwindigkeit zu erhöhen.
• Anwendungen weisen weniger Fehler auf –eine gründlichere Implementierung der Sicherheit bedeutet, dass weniger Fehler in die Produktion gelangen.
• Die Sicherheit hält mit der Innovation Schritt– wenn die Innovation die Sicherheit überholt, kann dies zu einer Belastung werden.
• Schnellere Reaktion– Angreifer finden immer schneller Möglichkeiten, Schwachstellen auszunutzen, was sofortiges Handeln erfordert.

Tipps vom Experten

Steve Moore ist Vice President und Chief Security Strategist bei Exabeam. Er entwickelt Lösungen zur Bedrohungserkennung und berät Kunden zu Sicherheitsprogrammen und der Reaktion auf Sicherheitsverletzungen. Er ist Moderator des „The New CISO Podcast“, Mitglied des Forbes Tech Council und Mitbegründer von TEN18 bei Exabeam.

Meiner Erfahrung nach gibt es hier Tipps zur Optimierung von Security Operations (SecOps)-Prozessen und zur Nutzung von Tools wie Exabeam zur Verbesserung der Sicherheit und der IT-Zusammenarbeit:

Priorisieren Sie Tools für die Echtzeit-Zusammenarbeit
Nutzen Sie ITSM-Plattformen wie ServiceNow, die in Ihre Sicherheitstools integriert sind, um eine nahtlose Eskalation von Vorfällen zu ermöglichen. Wenn Exabeam beispielsweise Anomalien erkennt, sollte es ein automatisches Ticket mit Kontextdaten für eine schnelle DevOps-Lösung auslösen.

Fördern Sie die kontinuierliche Zusammenarbeit zwischen SecOps und DevOps
Führen Sie regelmäßige teamübergreifende Meetings und gemeinsame KPIs ein, um sicherzustellen, dass SecOps und DevOps die Sicherheitsziele gemeinsam verfolgen. Nutzen Sie gemeinsame Tools zur Schwachstellenverfolgung und -behebung, wie z. B. integrierte Ticketsysteme, um Silos zu reduzieren.

Implementieren Sie eine abgestufte Automatisierung für die Reaktion auf Vorfälle
Automatisieren Sie Routineaufgaben wie die Protokollaggregation und Bedrohungsanreicherung mit Playbooks. Manuelle Analystenprüfungen sind Vorfällen mit hohem Risiko vorbehalten, um Automatisierungsfehler zu vermeiden und sicherzustellen, dass kritische Bedrohungen effektiv bekämpft werden.

Verwenden Sie Verhaltens-Baselines zur Anomalieerkennung
Nutzen Sie Tools wie Exabeam, um Verhaltens-Baselines für Benutzer, Endpunkte und Anwendungen zu erstellen. Diese Baselines können helfen, subtile Abweichungen zu identifizieren, die auf Advanced Persistent Threats (APTs) oder Insider-Risiken hinweisen.

Einführung einer bedrohungsorientierten Verteidigungsstrategie
Integrieren Sie MITRE ATT&CK-Techniken in Ihre Playbooks zur Bedrohungsmodellierung und Vorfallreaktion. So stellen Sie sicher, dass SecOps-Teams die Taktiken der Angreifer verstehen und proaktiv auf Bedrohungen reagieren können.

5 kritische SecOps-Funktionen

Viele IT-Organisationen verfügen über dedizierte Security Operations Center (SOCs), in denen SecOps-Teammitglieder zusammenarbeiten, um Sicherheitsaktivitäten durchzuführen. Das SOC ist das zentrale Nervensystem der Informationssicherheitsbemühungen eines Unternehmens, und SecOps sorgt dafür, dass es effizienter, automatisierter und besser in andere Teile des Unternehmens integriert wird.

1. Sicherheitsüberwachung

Das SecOps-Team ist in der Regel für die Überwachung der Aktivitäten im gesamten Unternehmen verantwortlich. Dazu gehören Netzwerke, Endpunkte und Anwendungen in privaten, öffentlichen und hybriden Cloud-Umgebungen. Die Überwachung umfasst nicht nur Sicherheitsereignisse, sondern auch den Betriebszustand und die Leistung von Anwendungen und Infrastruktur.

2. Bedrohungsinformationen

Es ist allgemein anerkannt, dass Sicherheitsteams und -tools effektiver arbeiten können, wenn sie wissen, mit welchen Bedrohungsakteuren sie es zu tun haben, deren Hintergrund und Motive sowie deren Taktiken, Techniken und Verfahren (TTP).

SoC-Teams sind dafür verantwortlich, Bedrohungsinformationen zu sammeln, diese von Drittanbietern zu beziehen und in Sicherheitsprozesse zu integrieren. Bedrohungsinformationen sind Daten in standardisierter Form, die Aufschluss über die Cybersicherheitsbedrohungen geben, denen ein Unternehmen ausgesetzt ist.

Bedrohungsinformationen können direkt von menschlichen Analysten genutzt und in andere Sicherheitstools integriert werden. Beispielsweise können sie Kontext zu Warnmeldungen eines SIEM hinzufügen oder eine Liste bekannter schädlicher IP-Adressen bereitstellen, die sofort von der Firewall blockiert werden können.

Bedrohungsinformationen werden in Form von „Feeds“ bereitgestellt. Einige dieser Feeds sind kostenlos, andere sind kommerzielle Angebote von Sicherheitsanbietern oder Sicherheitsforschungsorganisationen. Threat-Intelligence-Plattformen können SecOps-Teams dabei unterstützen, alle relevanten Feeds zu erfassen, zu organisieren und in die entsprechenden Sicherheitstools zu integrieren.

3. Triage und Untersuchung

SecOps-Teams verfügen über immer ausgefeiltere Tools, mit denen sie sicherheitsrelevante Ereignisse analysieren und untersuchen können. In vielen Organisationen sind die Prozesse zur Bedrohungserkennung, -untersuchung und -reaktion (TDIR) jedoch nicht klar definiert. Daher verwenden verschiedene Analysten unterschiedliche Methoden zur Analyse und Erkennung von Bedrohungen. Dies kostet Zeit und führt zu Lücken in der Erkennung (da einige Methoden möglicherweise besser sind als andere).

Eine weitere Herausforderung besteht darin, dass herkömmliche SIEMs keine Erkenntnisse liefern, die Sicherheitsteams sofort nutzen können. Sie unterstützen komplexe Anpassungen, und die Teams investieren großen Aufwand, um das SIEM an ihre individuellen Geschäftsanforderungen anzupassen. Dies verzögert die Wertschöpfung von Sicherheitsinitiativen, und selbst nach der Investition weisen viele Projekte nur eine begrenzte Verbesserung des Schutzes gegen wichtige Bedrohungen auf.

Moderne SIEMs bieten durchgängige Workflows und vorgefertigte Analysepakete, die die Automatisierung und Standardisierung des TDIR-Prozesses ermöglichen. So können Teams vom ersten Tag an ohne komplexe Implementierung von der Lösung profitieren und die kritischsten Bedrohungen effektiver erkennen und einstufen.

4. Reaktion auf Vorfälle

Das SecOps-Team ist für die Implementierung eines Incident-Response-Plans verantwortlich. Dieser definiert, wie das Unternehmen einen Cyberangriff erkennt und darauf reagiert. Incident-Response-Teams innerhalb der SecOps-Organisation sind für folgende Prozesse verantwortlich:

1. Vorbereitung auf Vorfälle durch Aufstellung eines klaren Vorfallreaktionsplans.
2. Erkennen und Analysieren von Vorfällen, um einen Cyberangriff zu bestätigen und dessen Schwere zu verstehen.
3. Eindämmung der Bedrohung, Beseitigung der Bedrohung und Wiederherstellung der betroffenen Systeme.
4. Durchführen von Aktivitäten nach dem Vorfall, um aus dem Vorfall zu lernen und die Sicherheitsprozesse zu verbessern.

5. Forensik und Ursachenanalyse

Forensische Analysen ermöglichen es dem SecOps-Team, Informationen zu sammeln und zu analysieren, die zur Ermittlung der Ursachen von Sicherheitsvorfällen, Leistungsproblemen oder anderen unerwarteten Ereignissen beitragen. Das SecOps-Team nutzt spezielle Softwaretools, um die Geschehnisse auf den betroffenen Systemen zu identifizieren, Ursachenanalysen durchzuführen und auf die Bedrohung oder Störung zu reagieren, bevor weiterer Schaden entsteht.

Best Practices für die SecOps-Implementierung

Definieren Sie den SecOps-Umfang

Der erste Schritt bei der Entwicklung einer SecOps-Strategie besteht darin, deren Umfang anhand unternehmensspezifischer Anforderungen und Anwendungsfälle zu bestimmen. Manche Aufgaben können durch Outsourcing besser erledigt werden, als sich auf das interne Sicherheitsteam zu verlassen. Beispielsweise können und sollten Sicherheitstests in der Entwicklung als Teil der CI/CD-Workflows durchgeführt werden – dies reicht jedoch nicht aus, um zu garantieren, dass die erstellten Anwendungen nicht von böswilligen Akteuren geknackt oder manipuliert werden können.

Wenn neue Schwachstellen und Exploits öffentlich werden, muss außerdem ein klarer, direkter Kommunikationsweg zwischen SecOps und DevOps für Fragen, Informationsaustausch und automatische Eskalationen bestehen. Ein aktuelles Beispiel: Das SecOps-Team kann bei der Beantwortung der Frage „Verwenden wir Log4J in unserer Umgebung?“ helfen und Vorfälle und Tickets automatisch an das DevOps-Team zurückleiten, um Patches oder Updates durchzuführen. Gleichzeitig wird nach Hinweisen auf Kompromittierungen und böswillige Aktivitäten gesucht, die anfällige Instanzen ausnutzen.

Erstellen Sie wiederholbare Workflows

Das SecOps-Team muss sich verschiedenen dynamischen Herausforderungen in der gesamten Unternehmensinfrastruktur stellen. Ops-Teams verfolgen typischerweise einen prozessorientierten Ansatz und wenden umfassende Pipelines auf alle Anwendungen, Server und Umgebungen an. SecOps erweitert diesen Ansatz auf die Sicherheit und implementiert Sicherheitsprozesse über automatisierte Pipelines und IaC-Tools.

Die große Vielfalt und Komplexität von Sicherheitsbedrohungen bedeutet, dass jeder Sicherheitsprozess nur einen Teil der Anforderungen eines Unternehmens abdecken kann. Effektive SecOps-Prozesse müssen breit angelegt sein, die gesamte IT-Infrastruktur umfassen und die meisten Bedrohungen adressieren. Das SecOps-Team muss die Tools möglicherweise regelmäßig für unterschiedliche Bedrohungen neu konfigurieren, SecOps sollte jedoch insgesamt ein einheitlicher Prozess sein.

Führen Sie Rot-Blau-Teamübungen durch

Das SecOps-Team kann seine Expertise im Bereich Bedrohungsaufklärung durch die Durchführung von Red-Blue-Team-Trainings verbessern. Das rote Team versucht, das System anzugreifen, während das blaue Team es verteidigt. Dieser Ansatz hilft Sicherheitsexperten, ihre Fähigkeiten zu verbessern und verschiedene Angriffstechniken zu antizipieren. Außerdem hilft es dem Team, Schwachstellen in den Sicherheitsrichtlinien und -kontrollen des Unternehmens zu erkennen.

Während das rote Team Port-Scanning, Phishing und Pentesting-Techniken einsetzt, um das System zu infiltrieren, übernimmt das blaue Team die etablierten SecOps-Aufgaben und bewertet deren Effektivität. Beide Teams erstellen Berichte mit detaillierten Informationen zu ihren Aktivitäten und Ergebnissen. Manchmal fungiert ein drittes „lila“ Team als Vermittler und überprüft beide Berichte.

Automatisieren Sie die richtigen Prozesse

Automatisierung ist der Schlüssel zur erfolgreichen Implementierung von SecOps, insbesondere in großen, verteilten Umgebungen. Sie ermöglicht Echtzeit-Sicherheitsprozesse wie Schwachstellen-Scans und Aktivitätsüberwachung, um schnelle Reaktionen und reibungslose Entwicklungszyklen zu gewährleisten. Automatisierungspakete können einige Bedrohungen basierend auf Richtlinien zur Reaktion auf Vorfälle ohne menschliches Eingreifen beheben.

Manche Prozesse erfordern jedoch menschliches Eingreifen – insbesondere bei komplexeren oder ungewöhnlichen Aufgaben. Das SecOps-Team kann mithilfe von Incident-Response-Playbooks die meisten Aufgaben automatisieren, insbesondere bei einfachen, wiederholbaren Prozessen. Komplexere Bedrohungen müssen jedoch weiterhin von menschlichen Sicherheitsexperten untersucht und darauf reagiert werden. Das SecOps-Team muss verstehen, was es automatisieren kann und was nicht – viele Prozesse erfordern wahrscheinlich einen hybriden Ansatz.

Integrieren Sie Sicherheit in die gesamte Lieferpipeline

Das SecOps-Team muss Sicherheitsbedrohungen in jeder Phase der Bereitstellungspipeline berücksichtigen. Traditionelle Sicherheitsteams konzentrieren sich in der Regel auf die Bereitstellung von Anwendungen in der Produktion, anstatt gemeinsam mit Entwicklern und Ops-Teams die Sicherheit des Codes vor der Bereitstellung sicherzustellen. Dieser Ansatz führt häufig zu einem höheren Sicherheitsaufwand, erfordert spätere Überarbeitungen und beeinträchtigt die Anwendungsleistung.

Ein modernes SecOps-Team sucht frühzeitig nach Schwachstellen und führt Scans durch, sobald ein Entwickler neuen Code schreibt. Es führt während des gesamten Software-Delivery-Lebenszyklus verschiedene Sicherheitstests durch und überwacht Anwendungen kontinuierlich auf Fehler und Schwachstellen.

Definieren Sie die Verantwortlichkeiten des SOC

Erstellen Sie einen Incident-Response-Plan, der die Rolle des SOC-Teams beim Schutz des Unternehmens definiert. Zu den Aufgaben des SOC gehören:

• Kommunikation— Wissen, wie man mit DevOps interagiert, um Fragen zur Softwarezusammensetzungsanalyse und anderen potenziellen Schwachstellen zu stellen, und wie man ein SLA hin und her erstellt, um den Informationsaustausch zu erleichtern.
• Vorfalluntersuchung– Filtern von Warnungen und Untersuchen von Ereignissen, um echte Sicherheitsvorfälle und Fehlalarme zu identifizieren.
• Priorisierung– Sichtung der erkannten Bedrohungen und Ermittlung der Vorfälle, die größere Risiken bergen.
• Koordinieren des Vorfallreaktionsprozesses– Einbindung verschiedener Interessengruppen und Nutzung von Tools zur Orchestrierung und Überwachung der Vorfallreaktion, insbesondere bei der Zuweisung von Tickets zum Patchen kritischer Schwachstellen oder zur Behebung von Vorfällen durch DevOps.

SecOps mit Exabeam

Exabeam Fusion unterstützt die Standardisierung der Ein- und Ausgaben unterschiedlicher Sicherheitssysteme und Eskalations- bzw. Integrationstools und ermöglicht so eine bidirektionale Kommunikation und Steuerung von Maschine zu Maschine. Eng mit der Automatisierung verknüpft, unterstützt die Orchestrierung Analysten dabei, Indikatoren für Gefährdungen zu erkennen und über IT-Service-Management-Integrationen (ITSM) zu eskalieren, um die richtigen Informationen ohne menschliche Verzögerung in die richtigen Hände zu bekommen.

Die Security Operations-Plattform lässt sich mit über 250 Anbietern und 500 Sicherheitstools integrieren, um Anomalien im Verhalten von Menschen, Entitäten und Servicekonten zu erkennen. Dazu kommen schlüsselfertige Playbooks und eine Eskalation, die das gesamte Untersuchungsverfahren automatisiert. Dabei werden Sicherheitsereignisse aus den verschiedenen Eingaben in Ihrem Ökosystem gefunden und auf konsistente, wiederholbare Weise eskaliert.