Automatisierte Reaktionen auf Sicherheitsvorfälle und Sicherheitsorchestrierung mit SOAR

In diesem Tutorial erläutern wir die Grundlagen der Reaktion auf Sicherheitsvorfälle und stellen eine neue Kategorie von Tools vor – Security Orchestration, Automation and Response (SOAR) –, die die Reaktion auf Sicherheitsvorfälle effizienter, effektiver und besser handhabbar im großen Maßstab machen.

Was ist Incident Response?

Reaktive Reaktion auf Vorfälle– Die Reaktion auf Vorfälle ist ein organisatorischer Prozess, der es Sicherheitsteams ermöglicht, Sicherheitsvorfälle oder Cyberangriffe einzudämmen und Schäden zu verhindern oder zu begrenzen. Sie ermöglicht es den Teams auch, die Folgen des Angriffs zu bewältigen – Wiederherstellung, Behebung der durch den Angriff aufgedeckten Sicherheitslücken, Forensik, Kommunikation und Auditing. Dies wird als reaktive Reaktion auf Vorfälle bezeichnet.

Proaktive Reaktion auf Vorfälle– Viele Sicherheitsvorfälle werden erst Wochen oder Monate nach ihrem Auftreten entdeckt – manche sogar nie. Viele Unternehmen entwickeln daher proaktive Maßnahmen zur Reaktion auf Vorfälle. Dabei werden Unternehmenssysteme aktiv nach Anzeichen eines Cyberangriffs durchsucht.

Bedrohungssuche– Die Bedrohungssuche ist die Kernaktivität der proaktiven Reaktion auf Sicherheitsvorfälle und wird von erfahrenen Sicherheitsanalysten durchgeführt. Sie umfasst in der Regel die Abfrage von Sicherheitsdaten mithilfe eines Security Information and Event Systems (SIEM) und die Durchführung von Schwachstellenscans oder Penetrationstests an Unternehmenssystemen. Ziel ist es, verdächtige Aktivitäten oder Anomalien zu entdecken, die einen Sicherheitsvorfall darstellen.

Tipps vom Experten

Steve Moore ist Vice President und Chief Security Strategist bei Exabeam. Er entwickelt Lösungen zur Bedrohungserkennung und berät Kunden zu Sicherheitsprogrammen und der Reaktion auf Sicherheitsverletzungen. Er ist Moderator des „The New CISO Podcast“, Mitglied des Forbes Tech Council und Mitbegründer von TEN18 bei Exabeam.

Meiner Erfahrung nach lassen sich die Vorteile von SOAR-Tools optimal nutzen und effektiv in Ihre Sicherheitsabläufe integrieren. Hier einige Tipps:

Verbessern Sie die Bedrohungssuche mit erweiterten Abfragen
Nutzen Sie die SOAR-Integration mit SIEM, um historische und Echtzeitdaten effektiv abzufragen. So können Sie Trends oder Anomalien erkennen, die auf Advanced Persistent Threats (APTs) oder ruhende Malware hinweisen könnten.

Definieren Sie klare Anwendungsfälle für die Automatisierung
Identifizieren Sie wiederkehrende, hochvolumige Aufgaben (z. B. die Triage von Phishing-E-Mails oder die Eindämmung von Malware) und priorisieren Sie diese für die Automatisierung. Konzentrieren Sie sich auf Bereiche, in denen Automatisierung die Reaktionszeiten verkürzen und Analysten für strategische Aufgaben freisetzen kann.

Entwickeln Sie modulare Playbooks
Erstellen Sie modulare und anpassbare Playbooks, die in verschiedenen Szenarien wiederverwendet werden können. Beispielsweise lässt sich ein Playbook zur Phishing-Erkennung erweitern, um Malware-Anhänge oder schädliche Links zu verarbeiten, ohne dass es von Grund auf neu entwickelt werden muss.

Priorisieren Sie die Integration mit Ihren bestehenden Tools.
Stellen Sie sicher, dass Ihre SOAR Lösung nahtlos in Ihr SIEM-System, Ihre Firewalls, Ihre EDR-Systeme (Endpoint Detection and Response) und Ihre Threat-Intelligence-Plattformen integriert ist. Dies ermöglicht durchgängige Transparenz und einheitliches Incident-Management.

Automatisierte Beweiserfassung
Nutzen Sie SOAR um Beweismittel während eines Vorfalls automatisch zu erfassen und zu zentralisieren. Die Automatisierung dieses Prozesses minimiert den Kontrollaufwand und stellt sicher, dass alle relevanten Daten für forensische Untersuchungen und das Fallmanagement verfügbar sind.

Messen und optimieren Sie MTTD/MTTR
Verfolgen Sie regelmäßig die Metriken „Mean Time To Detect“ (MTTD) und „Mean Time To Response“ (MTTR). Nutzen Sie die Reporting-Tools von SOAR, um Engpässe zu identifizieren und Workflows anzupassen, um die Effizienz zu steigern.

Was ist Fallmanagement?

Beim Fallmanagement geht es darum, Daten zu bestimmten Sicherheitsvorfällen zu sammeln, zu verteilen und zu analysieren, damit die Teams effektiv reagieren können.

Fallmanagementlösungen helfen Sicherheitspersonal:

• Eröffnen Sie einen Fall für einen bestätigten Sicherheitsvorfall
• Fassen Sie alle relevanten Daten schnell in einer digitalen Darstellung des Falls zusammen
• Ermöglichen Sie eine schnelle Priorisierung der Fälle für die Beantwortung
• Untersuchen Sie den Fall und fügen Sie Informationen hinzu
• Aktivitäten nach einem Angriff aufzeichnen und den Fall abschließen

3 wichtige SOAR Fähigkeiten

SOAR Tools bieten die folgenden vier Funktionen, die Security Operation Centers (SOC) dabei unterstützen, effektiver auf Vorfälle zu reagieren.

Orchestrierung

Orchestrierung ist die Fähigkeit, Entscheidungen zu koordinieren und Reaktionsmaßnahmen auf der Grundlage einer Bewertung von Risiken und Umgebungszuständen zu automatisieren.

SOAR Tools erreichen dies durch die Integration mit anderen Sicherheitslösungen, indem sie Daten abrufen und proaktive Maßnahmen auslösen können. SOAR bietet eine generische Schnittstelle, die es Analysten ermöglicht, Aktionen für Sicherheitstools und IT-Systeme zu definieren, ohne Experten für diese Systeme oder deren APIs sein zu müssen.

Ein Beispiel für Orchestrierung: Verarbeiten Sie eine verdächtige E-Mail

1. Ein SOAR Tool kann mithilfe von Bedrohungsdaten untersuchen, ob der Absender einen schlechten Ruf hat, und DNS-Tools verwenden, um den Ursprung zu bestätigen.
2. Das Tool kann Hyperlinks automatisch extrahieren und sie über die URL-Reputation validieren, die Links in einer sicheren Umgebung detonieren lassen oder Anhänge in einer Sandbox ausführen.
3. Wenn ein Vorfall bestätigt wird, wird ein Playbook ausgeführt. Das Playbook sucht im E-Mail-System nach allen Nachrichten desselben Absenders oder mit denselben Links oder Anhängen und stellt sie unter Quarantäne.

Automatisierung

Automatisierung ist eng mit Orchestrierung verwandt – sie bezeichnet die maschinengesteuerte Ausführung von Aktionen auf Sicherheitstools und IT-Systemen im Rahmen der Reaktion auf einen Sicherheitsvorfall. SOAR Tools ermöglichen es Sicherheitsteams, standardisierte Automatisierungsschritte und einen Entscheidungsworkflow mit Funktionen zur Durchsetzung, Statusverfolgung und Überprüfung zu definieren.

Die Automatisierung basiert auf Sicherheits-Playbooks, die Analysten mithilfe einer visuellen Benutzeroberfläche oder einer Programmiersprache wie Python codieren können.

Ein Beispiel für ein Automatisierungs-Playbook: Das Malware-Playbook von Exabeam

1. Das SOAR Tool scannt die Malware-Datei und detoniert die Datei in einer Sandbox mithilfe externer Dienste.
2. Das SOAR Tool überprüft die Datei anhand von Reputationsdiensten wie VirusTotal auf Richtigkeit.
3. Das SOAR Tool ermittelt den geografischen Standort der Quell- oder Ursprungs-IP-Adresse.
4. Das System benachrichtigt den Benutzer über die Malware und führt nach der Analyse eine Bereinigung durch.

Vorfallmanagement und Zusammenarbeit

Diese SOAR Funktionalität unterstützt Sicherheitsteams bei der Bewältigung von Sicherheitsvorfällen, der Zusammenarbeit und dem Datenaustausch, um den Vorfall effizient zu lösen.

Alarmverarbeitung und -priorisierung– Ein SOAR Tool erfasst und analysiert Sicherheitsdaten, typischerweise aus dem SIEM-System, korreliert diese, um Priorität und Kritikalität zu ermitteln, und generiert automatisch Vorfälle zur Untersuchung. Der Vorfall enthält bereits relevante Kontextinformationen, sodass Analysten weitere Untersuchungen durchführen können. Dadurch entfällt die Notwendigkeit, dass ein Mitarbeiter die relevanten Sicherheitsdaten bemerkt, sie als Sicherheitsvorfall identifiziert und manuell einen Vorfall im System anlegt.

Protokollierung und Beweissicherung– Ein SOAR Tool erstellt einen Untersuchungszeitplan, um Artefakte des Sicherheitsvorfalls für aktuelle und zukünftige Analysen zu sammeln und zu speichern. Diese Artefakte können sich auf bekannte Aktivitäten von Angreifern beziehen, die sich über einen längeren Zeitraum erstrecken können. Weitere Artefakte können zur Untersuchung herangezogen werden, sofern sie mit dem laufenden Vorfall in Zusammenhang stehen.

Fallmanagement– Das Tool kann Aktionen und Entscheidungen des Sicherheitsteams protokollieren und sie so für die gesamte Organisation sowie externe Prüfer transparent machen. Mit der Zeit schafft das SOAR Tool eine organisationsweite Wissensdatenbank mit Informationen zu Bedrohungen, Vorfällen, bisherigen Reaktionen und Entscheidungen sowie deren Folgen.

Management von Bedrohungsintelligenz– Ein SOAR Tool bezieht Bedrohungsdaten aus Open-Source-Datenbanken, von Branchenführern, koordinierten Reaktionsorganisationen und kommerziellen Anbietern von Bedrohungsdaten. Das SOAR Tool verknüpft die relevanten Bedrohungsinformationen mit spezifischen Vorfällen und stellt Analysten die Bedrohungsdaten während der Untersuchung eines Vorfalls leicht zugänglich zur Verfügung.

Dashboards und Reporting

SOAR Tools sind nicht nur für die Koordinierung und Automatisierung der Reaktion auf Sicherheitsvorfälle zuständig, sondern ermöglichen auch die zentrale Messung der SOC-Aktivitäten.

SOAR Tools generieren Berichte und Dashboards, darunter:

• Berichte auf Analystenebene über die Aktivitäten jedes Analysten, wie etwa Anzahl und Art der Vorfälle, durchschnittliche Zeit zum Erkennen und Reagieren pro Analyst usw.
• SOC-Manager-Berichte– Berichterstattung über die Anzahl der Analysten, die pro Analyst bearbeiteten Vorfälle und die durchschnittliche Zeit für bestimmte Phasen des Vorfallreaktionsprozesses, um Engpässe zu identifizieren.
• Berichte auf CISO-Ebene– Abgleich von Risiken mit IT-Kennzahlen, um die Auswirkungen von Vorfällen auf die Geschäftsleistung und Vorschriften zu erkennen; effiziente Messung durch Betrachtung von MTTD und MTTR im gesamten Unternehmen und Reduzierung des Arbeitsaufwands durch Automatisierung.

Wie passt SOAR in das SIEM-System?

SOAR-Tools arbeiten eng mit SIEM, dem zentralen Informationssystem des SOC, zusammen. SOAR Tools nutzen die Integration mit SIEM, um:

• Erhalten Sie Warnmeldungen und zusätzliche Sicherheitsdaten, um Sicherheitsvorfälle zu identifizieren
• Erfassen Sie die Daten, die Analysten zur weiteren Untersuchung eines Vorfalls benötigen
• Unterstützen Sie Analysten bei der proaktiven Reaktion auf Vorfälle und der Bedrohungssuche, die auf der Abfrage und Untersuchung unternehmensübergreifender Daten beruht.

SOAR als Teil von SIEM-Lösungen der nächsten Generation

Laut Gartners Bericht „Critical Capabilities for SIEM 2017“ muss die SIEM-Lösung der nächsten Generation eine native Komponente enthalten, die die Handhabung und Reaktion auf erkannte Vorfälle über automatisiertes und manuelles Fallmanagement, Workflow und Orchestrierung sowie Funktionen zur erweiterten Bedrohungsabwehr ermöglicht.

Während sich SOAR Tools also als separate Kategorie weiterentwickeln, sollte SOAR nach Gartners Vision ein integrierter Bestandteil des SIEM sein.

Exbeams Sicherheitsintelligenzplattform Exabeam ist ein Beispiel für diese neue Hybridlösung. Es handelt sich um eine SIEM-Lösung, die auf moderner Data-Lake-Technologie basiert und erweiterte Analysen sowie Verhaltensanalyse von Benutzerentitäten ermöglicht. Darüber hinaus umfasst Exabeam zwei Komponenten, die die volle SOAR Funktionalität bieten:

• Exabeam Incident Responder– bietet Sicherheitsfallmanagement, Integration mit Tools von Drittanbietern, zentralisierte Sicherheitsorchestrierung und automatisierte Vorfallreaktion über Sicherheitsreaktions-Playbooks.
• Exabeam Threat Hunter–eine Point-and-Click-Oberfläche, mit der SOC-Analysten schnell Suchvorgänge durchführen und Muster in riesigen Mengen historischer Sicherheitsdaten erkennen können. Darüber hinaus bietet sie Zugriff auf vollständige Zeitleisten vergangener und aktueller Sicherheitsvorfälle.