Automatisierung der Reaktion auf Vorfälle und Sicherheitsorchestrierung mit SOAR

In diesem Erklärer erläutern wir die Grundlagen der Reaktion auf Vorfälle und stellen eine neue Kategorie von Tools vor – Security Orchestration, Automation and Response (SOAR) –, die die Reaktion auf Vorfälle effizienter, effektiver und im großen Maßstab besser verwaltbar machen.

Was ist Incident Response?

Reaktive Reaktion auf Vorfälle – Die Reaktion auf Vorfälle ist ein organisatorischer Prozess, der es Sicherheitsteams ermöglicht, Sicherheitsvorfälle oder Cyberangriffe einzudämmen, Schäden zu verhindern oder zu kontrollieren. Durch die Reaktion auf Vorfälle können Teams auch die Folgen des Angriffs bewältigen – Wiederherstellung, Behebung von durch den Angriff aufgedeckten Sicherheitslücken, Forensik, Kommunikation und Prüfung. Dies wird als reaktive Reaktion auf Vorfälle bezeichnet.

Proaktive Reaktion auf Vorfälle – Viele Sicherheitsvorfälle werden erst Wochen oder Monate nach ihrem Auftreten entdeckt – während andere nie entdeckt werden. Viele Organisationen entwickeln proaktive Fähigkeiten zur Reaktion auf Vorfälle. Dabei werden Unternehmenssysteme aktiv nach Anzeichen eines Cyberangriffs durchsucht.

Bedrohungsjagd – Die Bedrohungssuche ist die Kernaktivität der proaktiven Reaktion auf Vorfälle, die von erfahrenen Sicherheitsanalysten durchgeführt wird. Dabei handelt es sich typischerweise um die Abfrage von Sicherheitsdaten mithilfe eines Sicherheitsinformations- und Ereignissystems (SIEM) und das Ausführen von Schwachstellenscans oder Penetrationstests für Organisationssysteme. Ziel ist es, verdächtige Aktivitäten oder Anomalien zu entdecken, die einen Sicherheitsvorfall darstellen.

Was ist Case-Management?

Das Fallmanagement umfasst das Sammeln, Verteilen und Analysieren von Daten im Zusammenhang mit bestimmten Sicherheitsvorfällen, damit Teams effektiv reagieren können.

Case-Management-Lösungen helfen dem Sicherheitspersonal:

• Eröffnen Sie einen Fall für einen bestätigten Sicherheitsvorfall
• Fassen Sie alle relevanten Daten schnell zu einer digitalen Darstellung des Falles zusammen
• Ermöglichen Sie eine schnelle Priorisierung von Fällen zur Beantwortung
• Untersuchen Sie den Fall und fügen Sie Informationen hinzu
• Zeichnen Sie Aktivitäten nach einem Angriff auf und schließen Sie den Fall ab

3 wichtige SOAR-Funktionen

SOAR-Tools bieten die folgenden vier Funktionen, die Security Operation Centers (SOC) dabei helfen, effektiver auf Vorfälle zu reagieren.

Besetzung

Unter Orchestrierung versteht man die Fähigkeit, die Entscheidungsfindung zu koordinieren und auf der Grundlage einer Bewertung von Risiken und Umgebungszuständen entsprechende Maßnahmen zu automatisieren.

SOAR-Tools können dies erreichen, indem sie sich so in andere Sicherheitslösungen integrieren, dass sie Daten „abrufen“ und auch proaktive Maßnahmen „anstoßen“ können. SOAR bietet eine generische Schnittstelle, die es Analysten ermöglicht, Aktionen für Sicherheitstools und IT-Systeme zu definieren, ohne Experten für diese Systeme oder ihre APIs zu sein.

Ein Beispiel für Orchestrierung: Verarbeiten Sie eine verdächtige E-Mail

1. Ein SOAR-Tool kann mithilfe von Threat Intelligence untersuchen, ob der Absender einen schlechten Ruf hat, und mithilfe von DNS-Tools den Ursprung bestätigen.
2. Das Tool kann Hyperlinks automatisch extrahieren und anhand der URL-Reputation validieren, die Links in einer sicheren Umgebung detonieren oder Anhänge in einer Sandbox ausführen.
3. Wenn dann ein Vorfall bestätigt wird, wird ein Playbook ausgeführt. Das Playbook sucht im E-Mail-System nach allen Nachrichten desselben Absenders oder mit denselben Links oder Anhängen und stellt sie unter Quarantäne.

Automation

Automatisierung hängt mit Orchestrierung zusammen – es handelt sich um die maschinengesteuerte Ausführung von Aktionen auf Sicherheitstools und IT-Systemen als Teil einer Reaktion auf einen Vorfall. Mit SOAR-Tools können Sicherheitsteams standardisierte Automatisierungsschritte und einen Entscheidungsworkflow mit Durchsetzungs-, Statusverfolgungs- und Prüffunktionen definieren.

Die Automatisierung basiert auf Sicherheits-Playbooks, die Analysten mithilfe einer visuellen Benutzeroberfläche oder einer Programmiersprache wie Python programmieren können.

Ein Beispiel für ein Automatisierungs-Playbook: das Malware-Playbook von Exabeam

1. Das SOAR-Tool scannt die Malware-Datei und detoniert die Datei mithilfe externer Dienste in einer Sandbox.
2. Das SOAR-Tool prüft die Datei anhand von Reputationsdiensten wie VirusTotal auf Richtigkeit.
3. Das SOAR-Tool identifiziert die Geolokalisierung der Quell- oder Ursprungs-IP-Adresse.
4. Das System benachrichtigt den Benutzer über die Malware und führt nach der Analyse eine Bereinigung durch.

Vorfallmanagement und Zusammenarbeit

Diese SOAR-Funktion hilft Sicherheitsteams, Sicherheitsvorfälle zu verwalten, zusammenzuarbeiten und Daten auszutauschen, um den Vorfall effizient zu lösen.

Alarmverarbeitung und Triage – Ein SOAR-Tool sammelt und analysiert Sicherheitsdaten, die normalerweise aus dem SIEM stammen, korreliert Daten, um Priorität und Kritikalität zu identifizieren, und generiert automatisch Vorfälle zur Untersuchung. Der Vorfall enthält bereits relevante Kontextinformationen, sodass Analysten weitere Untersuchungen durchführen können. Dadurch entfällt die Notwendigkeit, dass ein Mensch die relevanten Sicherheitsdaten wahrnimmt, sie als Sicherheitsvorfall identifiziert und manuell einen Vorfall im System einrichtet.

Journaling und Beweisunterstützung – Ein SOAR-Tool bietet einen Untersuchungszeitplan zum Sammeln und Speichern von Artefakten des Sicherheitsvorfalls für aktuelle und zukünftige Analysen. Artefakte können sich auf bekannte Aktivitäten des Angreifers beziehen, die über einen längeren Zeitraum durchgeführt werden können. Zusätzliche Artefakte können herangezogen werden, um zu untersuchen, ob sie mit dem laufenden Vorfall in Zusammenhang stehen.

Case Management – Das Tool kann Aktionen und Entscheidungen des Sicherheitsteams aufzeichnen und sie so für die gesamte Organisation sowie für externe Prüfer sichtbar machen. Im Laufe der Zeit erstellt das SOAR-Tool eine organisatorische Wissensbasis mit Stammwissen – Bedrohungen, Vorfälle, historische Reaktionen und Entscheidungen und deren Ergebnisse.

Management von Bedrohungsinformationen – Ein SOAR-Tool bringt Bedrohungsdaten aus Open-Source-Datenbanken, Branchenführern, koordinierten Reaktionsorganisationen und kommerziellen Anbietern von Bedrohungsinformationen ein. Das SOAR-Tool verknüpft die relevanten Bedrohungsinformationen mit bestimmten Vorfällen und macht Bedrohungsinformationen für Analysten bei der Untersuchung eines Vorfalls leicht zugänglich.

Dashboards und Berichterstellung

SOAR-Tools sind nicht nur für die Koordinierung und Automatisierung der Reaktion auf Vorfälle verantwortlich, sondern ermöglichen auch die zentrale Messung der SOC-Aktivität.

STEIGEN Tools generieren Berichte und Dashboards, einschließlich:

• Reporting auf Analystenebene B. Anzahl und Art der Vorfälle, durchschnittliche Erkennungs- und Reaktionszeit pro Analyst usw.
• Berichte des SOC-Managers – Berichterstattung über die Anzahl der Analysten, die pro Analyst bearbeiteten Vorfälle und die durchschnittliche Zeit für bestimmte Phasen des Vorfallreaktionsprozesses, um Engpässe zu identifizieren.
• Berichte auf CISO-Ebene – Abgleich von Risiken mit IT-Kennzahlen, um die Auswirkungen von Vorfällen auf die Geschäftsleistung und Vorschriften zu erkennen; Effiziente Messung durch Betrachtung von MTTD und MTTR im gesamten Unternehmen und Reduzierung des Arbeitsaufwands durch Automatisierung.

Wie passt SOAR zu SIEM?

SOAR-Tools arbeiten eng mit SIEM, dem zentralen Informationssystem des SOC, zusammen. SOAR-Tools nutzen die Integration mit SIEM, um:

• Erhalten Sie Warnungen und zusätzliche Sicherheitsdaten, um Sicherheitsvorfälle zu identifizieren
• Erfassen Sie Daten, die Analysten zur weiteren Untersuchung eines Vorfalls benötigen
• Unterstützen Sie Analysten bei der proaktiven Reaktion auf Vorfälle und der Bedrohungssuche, die auf der Abfrage und Untersuchung organisationsübergreifender Daten beruht

SOAR als Teil von SIEM-Lösungen der nächsten Generation

Laut Gartner Kritische Funktionen für SIEM 2017 Bericht zufolge muss die SIEM-Lösung der nächsten Generation eine native Komponente enthalten, die die Bearbeitung und Reaktion auf erkannte Vorfälle über automatisiertes und manuelles Fallmanagement, Workflow und Orchestrierung sowie Funktionen für eine erweiterte Bedrohungsabwehr ermöglicht.

Während sich SOAR-Tools als eigenständige Kategorie weiterentwickeln, sollte SOAR nach Gartners Vision ein integrierter Bestandteil des SIEM sein.

Die Security Intelligence-Plattform von Exbeam ist ein Beispiel für diesen neuen Hybrid. Exabeam ist eine SIEM-Lösung, die auf moderner Data-Lake-Technologie basiert und erweiterte Analysen und User Entity Behavioral Analytics ermöglicht. Darüber hinaus verfügt Exabeam über zwei Komponenten, die die volle SOAR-Funktionalität bieten:

• Exabeam Incident Responder – bietet Sicherheitsfallmanagement, Integration mit Tools von Drittanbietern, zentralisierte Sicherheitsorchestrierung und automatisierte Reaktion auf Vorfälle über Sicherheitsreaktions-Playbooks.
• Exabeam Threat Hunter - eine Point-and-Click-Oberfläche, mit der SOC-Analysten schnell Suchvorgänge durchführen können, um Muster in riesigen Mengen historischer Sicherheitsdaten zu identifizieren. Es bietet außerdem Zugriff auf vollständige Zeitpläne für vergangene und aktuelle Sicherheitsvorfälle.