Der vielzitierte Fachkräftemangel in der IT betrifft besonders jene Bereiche, die spezialisiertes Wissen und breitgefächerte Erfahrung erfordern. Cybersecurity gehört damit zu den am stärksten betroffenen Gebieten – ein Umstand, der sich künftig noch verschärfen wird. Anders ausgedrückt: Die Herausforderungen in der Cybersecurity nehmen rascher zu, als Unternehmen ihnen begegnen können. Es ist deshalb naheliegend, fehlende Manpower und zu knapp verfügbare Kompetenzen mit technischen Mitteln auszugleichen.

In Bezug auf die Marktentwicklung befindet sich das Gebiet der Security Automation in einer eher frühen Phase, in der vor allem grössere Organisationen die Chancen der Security Automation erkennen und entsprechende Projekte vorantreiben. Grössere Unternehmen verfügen über umfangreichere und komplexere IT-Infrastrukturen und sehen sich dadurch mit einer grösseren Anzahl von Bedrohungen und einhergehenden Risiken konfrontiert. Mit zunehmendem Risiko steigt der Bedarf an Ressourcen, die aber meistens nicht ausreichend zur Verfügung stehen. Hier liegt das wahrscheinlich grösste Automatisierungspotential und es überrascht deshalb nicht, dass der Fokus auf Security Automation in der Regel mit steigender Organisationsgrösse zunimmt.

Security Automation und Orchestrierung

Die Anzahl und die Durchschlagskraft von Cyberangriffen nehmen stetig zu, dies in einer zunehmend digitalisierten und technisch immer komplexer werdenden Welt. Es ist deshalb davon auszugehen, dass mittelfristig kein Unternehmen an der Automatisierung von Prozessen im Bereich der Cybersecurity vorbeikommen wird.

Der Begriff Security Orchestration, Automation and Response (SOAR) wurde von einem bekannten Marktforschungsunternehmen geprägt und bezeichnet im weitesten Sinn das Zusammenspiel verschiedener (technischer) Sicherheitskomponenten zur automatischen Abwicklung von Sicherheitsvorgängen. Im Unterschied zu anderen Sicherheitsthemen wird die Sicherheitsautomatisierung vielfach heute schon als wichtig oder gar notwendig verstanden. Häufig aber bedeutet die Entscheidung, wann, wo und wie automatisiert werden soll eine Herausforderung. Auch wenn die beiden Themen Automatisierung und Orchestrierung eng zusammenhängen und häufig in einem Zug genannt werden, zeigen sich bei genauerer Betrachtung wichtige Unterschiede, die es in der praktischen Umsetzung zu berücksichtigen gilt.

Security Automation

Sicherheitsautomatisierung ist die automatische Ausführung sicherheitsrelevanter Aufgaben und Abläufe. Aufgaben werden ausgeführt, ohne dass menschliches Eingreifen erforderlich ist, oft im Bereich der Security Operations, also dem täglichen Sicherheitsbetrieb einer Organisation. Häufig wird Security Automation im Zusammenhang mit automatisierter Detektion, Analyse und Reaktion bei sicherheitsrelevanten Ereignissen genannt. Dies kann von relativ einfachen Aufgaben wie automatischen Schwachstellenscans oder der simplen Korrelation einzelner Loginformationen bis hin zu komplexen, technisch fortgeschrittenen Anwendungen wie der automatischen Detektion von Sicherheitsvorfällen reichen.

Das Hauptziel der Security Automation besteht in der Reduktion des manuellen Aufwands und in der Geschwindigkeitssteigerung von Abläufen.

Security Orchestration

Ein modernes SOC nutzt eine Vielzahl von Tools, die aber regelmässig wenig bis gar nicht integriert sind und deshalb aufwendige, manuelle Abläufe nach sich ziehen. Ohne geeignete Integration und konzertierte Nutzung von Werkzeugen und Informationsquellen werden wertvolle Ressourcen verschwendet und die Extraktion von nutzbaren Informationen aus den vorhandenen Daten ist unnötig schwierig. Typische Anwendungsgebiete der Security Orchestration finden sich deshalb im Anreichern von Daten mit Kontextinformationen, im Bereich von Incident Response Playbooks oder bei der Einführung von Zero Trust Architekturen.

Das Hauptziel der Security Orchestration besteht in der Steigerung der Effektivität und des Nutzens durch geschicktes Zusammenspiel von Sicherheitskomponenten und -Technologien.

Anwendungsbereiche

Im Kontext des Sicherheitsbetriebs sind die Time to Detection und die Time to Response wichtige Messgrössen. Sie bezeichnen die Zeit, die zwischen dem Eintreten eines Sicherheitsvorfalls und dessen Entdeckung und der Reaktion darauf verstreicht. Diese Zeitspannen sind gleichzeitig enorm wichtig bezüglich des möglichen Schadensausmasses bei einem Sicherheitsvorfall und in besonderem Mass von den verfügbaren Ressourcen und Skills abhängig. Deren Reduktion steht deshalb häufig im Fokus von Automatisierungsvorhaben.

Folgende Herausforderungen bieten erfolgversprechende Ansatzpunkte zur Automatisierung und sind gleichzeitig gute Indizien dafür, dass sich mehr Automatisierung und Orchestrierung wahrscheinlich stark lohnt:

• Ressourcenknappheit
• Ein Übermass and Informationen, Meldungen und Alarmen (“Alert Fatigue”)
• Häufige aufwendige und zeitraubende Abklärungen, die wertvolle Ressourcen binden
• Betriebliche Ineffizienzen durch heterogene, isolierte Sicherheitssysteme
• Keine freien Kapazitäten, um Integration und Automatisierung voranzutreiben

Viele Aufgaben im Sicherheitsbetrieb sind anfällig für menschliche Fehler. Im Vergleich zu Maschinen beherrscht der Mensch die Analyse von Situationen und Problemen relativ gut, nicht aber das Verarbeiten grosser Datenmengen und das darauf basierende rasche und treffsichere Fällen von Entscheidungen. Dies ist besonders bedeutsam im Kontext individueller, voneinander getrennter und nicht integrierter Sicherheitssysteme, zwischen denen sich Sicherheitsexperten bewegen müssen, um relevante Ereignisse zu entdecken und zu analysieren.

Vor diesem Hintergrund werden die oben genannten Problemkreise typischerweise mit Automatisierungsbestrebungen in folgenden Bereichen angegangen:

• Monitoring und Detektion sicherheitsrelevanter Ereignisse: Das Zusammenführen, Korrelieren und Analysieren grosser Mengen von Daten bietet viel Automatisierungspotential und kann nicht nur dabei helfen, rascher zu Erkenntnissen zu gelangen, sondern auch solche Informationen zu entdecken, die ohne automatische Datenanalyse in der enormen Datenmenge untergehen würden.
• Anreicherung von Daten mit Kontextinformationen: Die manuelle Anreicherung von Daten mit Kontextinformationen erfordert meistens das aufwendige und mühsame Abfragen unterschiedlicher und isolierter Systeme. Dies zu automatisieren steigert die Effizienz und ermöglicht einen effektiveren Ressourceneinsatz.
• Verwalten von Benutzerrechten und Rollen: Die Rechte- und Rollenverwaltung ist ebenfalls eine jener Tätigkeiten, die zwar sehr wichtig aber inhaltlich langweilig und aufwendig sind. Je mehr Ressourcen davon befreit werden können, desto mehr stehen für anspruchsvollere Tätigkeiten zur Verfügung.
• Patch- und Vulnerability-Management: Obschon die Wichtigkeit aktueller Software hinreichend bekannt ist, werden immer wieder Sicherheitsvorfälle bekannt, die durch Ausnützen bekannter Schwachstellen möglich wurden. Die Automatisierung von Abläufen im Patch- und Vulnerability-Management kann dazu beitragen, diese Angriffsoberfläche zu reduzieren und das Zeitfenster des verletzbaren Zustandes zu verkleinern.
• Reaktion auf Sicherheitsvorfälle (Incident Response): Bei der Reaktion auf Sicherheitsvorfälle stehen sich vielfach die Schnelligkeit der Reaktion und die Sorgfalt der Situationsanalyse gegenüber. Bei beidem können eine gut gewählte Automatisierung und Orchestrierung entscheidende Vorteile bringen.
• IT Service Continuity: In Bezug auf die Aufrechterhaltung und Wiederherstellung von IT Services bei Störungen und Sicherheitsvorfällen können automatisierte Abläufe die Verfügbarkeit und Widerstandsfähigkeit gegenüber Störungen signifikant erhöhen.

Herausforderungen und Gefahren

Fachkräftemangel

In vielen Umgebungen herrscht ein Mangel an IT-Security Kompetenzen. Es ist daher wie eingangs erwähnt naheliegend, auch in diesem Zusammenhang an Automatisierung zu denken. Allerdings dürfte die Auffassung, mittels Automatisierung fehlende Kompetenzen völlig ausgleichen zu können ein Irrtum sein. Erstens braucht es schon für die Gestaltung und Umsetzung der Automatisierung Kompetenzen und zweitens kann man in den seltensten Fällen fehlende Qualität durch Quantität ersetzen. Mit anderen Worten, einen Mangel an Ressourcen kann man mit Automatisierung lindern, aber einen Mangel an nötigem Know-How nur zu einem kleinen Grad.

Hingegen ist es durchaus angebracht, repetitive, langweilige Arbeiten zu automatisieren, um die ohnehin knappen Ressourcen für wichtigere und anspruchsvollere Probleme einsetzen zu können. Ausserdem ist es ratsam, erfahrene Fachexperten mit interessanten Arbeiten zu betrauen und sie soweit möglich nicht mit langweiligen und repetitiven Aufgaben auszulasten.

Risiken und Nebenwirkungen

Die Vorteile und Chancen der Security Automatisierung müssen den potenziellen Nachteilen gegenübergestellt werden. Automatisierte Prozesse können zwar die definierten Aufgaben ohne manuelle Interaktionen bewältigen, sind aber in der Regel nicht in der Lage, mit unerwarteten Situationen umzugehen. Beispielsweise kann ein automatisiertes Patchen Zeit und Aufwand sparen, birgt aber die Gefahr von unerwünschten Effekten, Inkompatibilitäten oder gar Serviceausfällen.

Um Abläufe zu automatisieren, müssen die zur Automatisierung verwendeten Werkzeuge über die nötigen Rechte in Systemen, Anwendungen und Services verfügen. Je komplexer eine Automatisierung ist und je mehr Schritte automatisiert werden, desto grösser die Anzahl an nötigen Rechten. Dies birgt entsprechende Risiken und Missbrauchspotential und es muss sichergestellt werden, dass mit der Automatisierung keine grösseren Probleme geschaffen als gelöst werden. Entscheidungen über Umfang und Einsatzzweck der Security Automatisierung müssen deshalb im Rahmen eines risikobasierten Ansatzes getroffen werden.

Heterogene Toollandschaften und Legacy-Systeme

In den meisten Umgebungen sind viele verschiedene Sicherheitslösungen und Tools im Einsatz mit dem Resultat, dass nur schon die Toollandschaft an sich komplex ist. Eine der grössten Herausforderungen bei der Umsetzung einer wirksamen Security-Automation-Architektur liegt in der Integration dieser unterschiedlichen Sicherheitstechnologien. Bereits heute stellen viele Tools dafür API-Schnittstellen zur Verfügung, die dann von Automatisierungswerkzeugen angesprochen werden können. Ältere Sicherheitssysteme und Legacy-Anwendungen verfügen aber nicht immer über APIs; ein nicht zu unterschätzendes Hindernis, das signifikanten Mehraufwand bedeuten kann.

Zu viel auf einmal

Organisationen auf der Suche nach geeigneten Security-Automation-Lösungen sehen sich häufig mit Angeboten konfrontiert, die versprechen, das gesamte Spektrum von SOAR abzudecken. Die Einführung einer vollständigen SOAR-Lösung ist ein enormes Unterfangen, das strategische Planung und ausreichend Zeit zur Umsetzung erfordert. Meistens ist man besser beraten, mit kleinen und überschaubaren Schritten zu beginnen und die Automatisierung auf dieser Basis schrittweise voranzutreiben als alles auf einmal anzupacken.

Fazit

Es besteht kein Zweifel, dass Automatisierung und Orchestrierung den Ressourceneinsatz und den Sicherheitszustand einer Umgebung signifikant verbessern können. Es sollte aber immer ein klarer Blick dafür bewahrt werden, welche Ziele damit erreicht werden sollen, denn die Automatisierung darf kein Selbstzweck sein, sondern soll Probleme lösen. Sobald diese klar formuliert sind, kann die zur Lösung am besten geeignete Technologie gesucht werden.

Am Anfang von Automatisierungsvorhaben ist es ratsam, mit sorgfältig definierten, einfachen Anwendungsfällen zu beginnen, die sich relativ einfach umsetzen lassen und raschen Nutzen erzielen. Auch wenn das finale Ziel darin besteht, so viel wie möglich zu automatisieren, sollte man besser mit kleinen Schritten anfangen und einen Ansatz der kontinuierlichen Weiterentwicklung und Verbesserung anwenden.

Schliesslich ist es erfahrungsgemäss kaum zielführend, im Zusammenhang mit Automatisierungsvorhaben hauptsächlich personelle Ressourcen einsparen zu wollen. Solchermassen motivierte Automatisierungsprojekte können für eine Weile erfolgreich sein, werden aber langfristig selten den gewünschten Nutzen bringen. Vielmehr lohnt es sich die Frage zu stellen, wie man personelle Ressourcen, Skills und maschinelle Möglichkeiten so miteinander verbindet, dass damit neue und vorher unlösbare Probleme erfolgreich angegangen werden können.

Über den Autor

Tomaso Vasella hat seinen Master in Organic Chemistry an der ETH Zürich abgeschlossen und ist seit 1999 im Bereich Cybersecurity aktiv. Positionen als Berater, Engineer, Auditor und Business Developer zählen zu seinen Erfahrungen. (ORCID 0000-0002-0216-1268)