Security Testing
Tomaso Vasella
So automatisieren Sie Ihre Security richtig
In Bezug auf die Marktentwicklung befindet sich das Gebiet der Security Automation in einer eher frühen Phase, in der vor allem grössere Organisationen die Chancen der Security Automation erkennen und entsprechende Projekte vorantreiben. Grössere Unternehmen verfügen über umfangreichere und komplexere IT-Infrastrukturen und sehen sich dadurch mit einer grösseren Anzahl von Bedrohungen und einhergehenden Risiken konfrontiert. Mit zunehmendem Risiko steigt der Bedarf an Ressourcen, die aber meistens nicht ausreichend zur Verfügung stehen. Hier liegt das wahrscheinlich grösste Automatisierungspotential und es überrascht deshalb nicht, dass der Fokus auf Security Automation in der Regel mit steigender Organisationsgrösse zunimmt.
Die Anzahl und die Durchschlagskraft von Cyberangriffen nehmen stetig zu, dies in einer zunehmend digitalisierten und technisch immer komplexer werdenden Welt. Es ist deshalb davon auszugehen, dass mittelfristig kein Unternehmen an der Automatisierung von Prozessen im Bereich der Cybersecurity vorbeikommen wird.
Der Begriff Security Orchestration, Automation and Response (SOAR) wurde von einem bekannten Marktforschungsunternehmen geprägt und bezeichnet im weitesten Sinn das Zusammenspiel verschiedener (technischer) Sicherheitskomponenten zur automatischen Abwicklung von Sicherheitsvorgängen. Im Unterschied zu anderen Sicherheitsthemen wird die Sicherheitsautomatisierung vielfach heute schon als wichtig oder gar notwendig verstanden. Häufig aber bedeutet die Entscheidung, wann, wo und wie automatisiert werden soll eine Herausforderung. Auch wenn die beiden Themen Automatisierung und Orchestrierung eng zusammenhängen und häufig in einem Zug genannt werden, zeigen sich bei genauerer Betrachtung wichtige Unterschiede, die es in der praktischen Umsetzung zu berücksichtigen gilt.
Sicherheitsautomatisierung ist die automatische Ausführung sicherheitsrelevanter Aufgaben und Abläufe. Aufgaben werden ausgeführt, ohne dass menschliches Eingreifen erforderlich ist, oft im Bereich der Security Operations, also dem täglichen Sicherheitsbetrieb einer Organisation. Häufig wird Security Automation im Zusammenhang mit automatisierter Detektion, Analyse und Reaktion bei sicherheitsrelevanten Ereignissen genannt. Dies kann von relativ einfachen Aufgaben wie automatischen Schwachstellenscans oder der simplen Korrelation einzelner Loginformationen bis hin zu komplexen, technisch fortgeschrittenen Anwendungen wie der automatischen Detektion von Sicherheitsvorfällen reichen.
Das Hauptziel der Security Automation besteht in der Reduktion des manuellen Aufwands und in der Geschwindigkeitssteigerung von Abläufen.
Ein modernes SOC nutzt eine Vielzahl von Tools, die aber regelmässig wenig bis gar nicht integriert sind und deshalb aufwendige, manuelle Abläufe nach sich ziehen. Ohne geeignete Integration und konzertierte Nutzung von Werkzeugen und Informationsquellen werden wertvolle Ressourcen verschwendet und die Extraktion von nutzbaren Informationen aus den vorhandenen Daten ist unnötig schwierig. Typische Anwendungsgebiete der Security Orchestration finden sich deshalb im Anreichern von Daten mit Kontextinformationen, im Bereich von Incident Response Playbooks oder bei der Einführung von Zero Trust Architekturen.
Das Hauptziel der Security Orchestration besteht in der Steigerung der Effektivität und des Nutzens durch geschicktes Zusammenspiel von Sicherheitskomponenten und -Technologien.
Im Kontext des Sicherheitsbetriebs sind die Time to Detection und die Time to Response wichtige Messgrössen. Sie bezeichnen die Zeit, die zwischen dem Eintreten eines Sicherheitsvorfalls und dessen Entdeckung und der Reaktion darauf verstreicht. Diese Zeitspannen sind gleichzeitig enorm wichtig bezüglich des möglichen Schadensausmasses bei einem Sicherheitsvorfall und in besonderem Mass von den verfügbaren Ressourcen und Skills abhängig. Deren Reduktion steht deshalb häufig im Fokus von Automatisierungsvorhaben.
Folgende Herausforderungen bieten erfolgversprechende Ansatzpunkte zur Automatisierung und sind gleichzeitig gute Indizien dafür, dass sich mehr Automatisierung und Orchestrierung wahrscheinlich stark lohnt:
Viele Aufgaben im Sicherheitsbetrieb sind anfällig für menschliche Fehler. Im Vergleich zu Maschinen beherrscht der Mensch die Analyse von Situationen und Problemen relativ gut, nicht aber das Verarbeiten grosser Datenmengen und das darauf basierende rasche und treffsichere Fällen von Entscheidungen. Dies ist besonders bedeutsam im Kontext individueller, voneinander getrennter und nicht integrierter Sicherheitssysteme, zwischen denen sich Sicherheitsexperten bewegen müssen, um relevante Ereignisse zu entdecken und zu analysieren.
Vor diesem Hintergrund werden die oben genannten Problemkreise typischerweise mit Automatisierungsbestrebungen in folgenden Bereichen angegangen:
In vielen Umgebungen herrscht ein Mangel an IT-Security Kompetenzen. Es ist daher wie eingangs erwähnt naheliegend, auch in diesem Zusammenhang an Automatisierung zu denken. Allerdings dürfte die Auffassung, mittels Automatisierung fehlende Kompetenzen völlig ausgleichen zu können ein Irrtum sein. Erstens braucht es schon für die Gestaltung und Umsetzung der Automatisierung Kompetenzen und zweitens kann man in den seltensten Fällen fehlende Qualität durch Quantität ersetzen. Mit anderen Worten, einen Mangel an Ressourcen kann man mit Automatisierung lindern, aber einen Mangel an nötigem Know-How nur zu einem kleinen Grad.
Hingegen ist es durchaus angebracht, repetitive, langweilige Arbeiten zu automatisieren, um die ohnehin knappen Ressourcen für wichtigere und anspruchsvollere Probleme einsetzen zu können. Ausserdem ist es ratsam, erfahrene Fachexperten mit interessanten Arbeiten zu betrauen und sie soweit möglich nicht mit langweiligen und repetitiven Aufgaben auszulasten.
Die Vorteile und Chancen der Security Automatisierung müssen den potenziellen Nachteilen gegenübergestellt werden. Automatisierte Prozesse können zwar die definierten Aufgaben ohne manuelle Interaktionen bewältigen, sind aber in der Regel nicht in der Lage, mit unerwarteten Situationen umzugehen. Beispielsweise kann ein automatisiertes Patchen Zeit und Aufwand sparen, birgt aber die Gefahr von unerwünschten Effekten, Inkompatibilitäten oder gar Serviceausfällen.
Um Abläufe zu automatisieren, müssen die zur Automatisierung verwendeten Werkzeuge über die nötigen Rechte in Systemen, Anwendungen und Services verfügen. Je komplexer eine Automatisierung ist und je mehr Schritte automatisiert werden, desto grösser die Anzahl an nötigen Rechten. Dies birgt entsprechende Risiken und Missbrauchspotential und es muss sichergestellt werden, dass mit der Automatisierung keine grösseren Probleme geschaffen als gelöst werden. Entscheidungen über Umfang und Einsatzzweck der Security Automatisierung müssen deshalb im Rahmen eines risikobasierten Ansatzes getroffen werden.
In den meisten Umgebungen sind viele verschiedene Sicherheitslösungen und Tools im Einsatz mit dem Resultat, dass nur schon die Toollandschaft an sich komplex ist. Eine der grössten Herausforderungen bei der Umsetzung einer wirksamen Security-Automation-Architektur liegt in der Integration dieser unterschiedlichen Sicherheitstechnologien. Bereits heute stellen viele Tools dafür API-Schnittstellen zur Verfügung, die dann von Automatisierungswerkzeugen angesprochen werden können. Ältere Sicherheitssysteme und Legacy-Anwendungen verfügen aber nicht immer über APIs; ein nicht zu unterschätzendes Hindernis, das signifikanten Mehraufwand bedeuten kann.
Organisationen auf der Suche nach geeigneten Security-Automation-Lösungen sehen sich häufig mit Angeboten konfrontiert, die versprechen, das gesamte Spektrum von SOAR abzudecken. Die Einführung einer vollständigen SOAR-Lösung ist ein enormes Unterfangen, das strategische Planung und ausreichend Zeit zur Umsetzung erfordert. Meistens ist man besser beraten, mit kleinen und überschaubaren Schritten zu beginnen und die Automatisierung auf dieser Basis schrittweise voranzutreiben als alles auf einmal anzupacken.
Es besteht kein Zweifel, dass Automatisierung und Orchestrierung den Ressourceneinsatz und den Sicherheitszustand einer Umgebung signifikant verbessern können. Es sollte aber immer ein klarer Blick dafür bewahrt werden, welche Ziele damit erreicht werden sollen, denn die Automatisierung darf kein Selbstzweck sein, sondern soll Probleme lösen. Sobald diese klar formuliert sind, kann die zur Lösung am besten geeignete Technologie gesucht werden.
Am Anfang von Automatisierungsvorhaben ist es ratsam, mit sorgfältig definierten, einfachen Anwendungsfällen zu beginnen, die sich relativ einfach umsetzen lassen und raschen Nutzen erzielen. Auch wenn das finale Ziel darin besteht, so viel wie möglich zu automatisieren, sollte man besser mit kleinen Schritten anfangen und einen Ansatz der kontinuierlichen Weiterentwicklung und Verbesserung anwenden.
Schliesslich ist es erfahrungsgemäss kaum zielführend, im Zusammenhang mit Automatisierungsvorhaben hauptsächlich personelle Ressourcen einsparen zu wollen. Solchermassen motivierte Automatisierungsprojekte können für eine Weile erfolgreich sein, werden aber langfristig selten den gewünschten Nutzen bringen. Vielmehr lohnt es sich die Frage zu stellen, wie man personelle Ressourcen, Skills und maschinelle Möglichkeiten so miteinander verbindet, dass damit neue und vorher unlösbare Probleme erfolgreich angegangen werden können.
Unsere Spezialisten kontaktieren Sie gern!
Tomaso Vasella
Tomaso Vasella
Tomaso Vasella
Tomaso Vasella
Unsere Spezialisten kontaktieren Sie gern!