Threat-Intelligence-Datenbanken in einem SOAR: Die richtigen Spielzüge gegen Hacker

Foto: JoeSAPhotos – shutterstock.com

Der Begriff Playbook ist vor allem aus dem American Football bekannt und steht für eine Sammlung von Spielzügen, die von einem Trainer zusammengestellt wird. Das Team lernt das Playbook auswendig und weiß, was es zu tun hat, wenn der Coach einen bestimmten Zug ansagt. Die Spielzüge sind dabei so angelegt, dass eine Mannschaft möglichst effektiv auf Aktionen des Gegners reagieren kann.

Auch Security-Verantwortliche müssen auf die Aktionen der Hacker reagieren. Beim Football beobachtet der Quarterback (Chef der Offensive) die gegnerische Defensive. Auf Basis der Beobachtung wählt er Spielzüge aus, die möglichst effektiv gegen die gegnerische Formation sein sollen. In Unternehmen überwacht ein Security Information and Event Management System (SIEM) die IT-Infrastruktur. Es sammelt Logdaten angeschlossener Security-Systeme, korreliert sie und meldet festgestellte Anomalien. Die IT-Abteilung leitet dann im nächsten Schritt entsprechende Gegenmaßnahmen ein. Dieser Prozess kann auch automatisiert über eine Security Orchestration Automation and Response (SOAR)-Lösung passieren. Hierfür hinterlegen Security-Spezialisten Workflows und Logiken in Playbooks, auf die das System zur Feststellung von Incidents zurückgreift.

Wie genau funktioniert die Automation?

Größere Unternehmen haben in der Regel ein SOC (Security Operations Center) eingerichtet. Hier werten spezialisierte Security-Mitarbeiter die Warnmeldungen aus dem SIEM aus. Ein SOAR-System filtert die Meldungen des SIEM vor, um Analysten zu entlasten. Denn im Gegensatz zu einem Menschen kann das System tausende Datensätze in Sekunden prüfen.

Hierfür orientiert es sich an Playbooks. Sie verweisen unter anderem auf Informationen aus Threat-Intelligence-Datenbanken, die Daten zu Angriffsmethoden auf IT-Systeme sammeln. Ende 2021 wurde zum Beispiel eine Sicherheitslücke in der Log4j-Library von Javascript entdeckt. Diese Schwachstelle bietet Hackern ein Einfallstor, um Systeme zu infiltrieren. Sobald klar ist, wie man Angriffe über diese Sicherheitslücke erkennt und abwehrt, sollten IT-Abteilungen diese Informationen in Threat-Intelligence-Datenbanken aufnehmen. Mit ihnen lässt sich dann ein “Spielzug” erstellen, den ein SOAR-System nutzen kann, um einen Angriff abzuwehren.

Bei der automatisierten Reaktion auf digitale Bedrohungen steht am Anfang der initiale Alarm. Das SIEM hat beispielsweise eine E-Mail-Adresse identifiziert, die bekannt für Phishing-Versuche ist. Im Anschluss werden dem SOAR mehrere Reaktionsmöglichkeiten angeboten. Es kann andere Anwendungen der Security-Infrastruktur hinzuziehen. Und beispielsweise die potenzielle Phishing-Mail in die Quarantäne verschieben und von einem Virenscanner überprüfen lassen. Dann folgt eine Entscheidung: Das System bestimmt, ob es sich wirklich um eine Gefährdung handelt, oder um ein False Positive.

Ist eine echte Bedrohung erkannt, werden weitere Handlungen eingeleitet, die im ausgewählten Playbook festgelegt sind. Das System arbeitet entweder automatisch weiter daran das Problem zu lösen oder zieht einen Menschen hinzu. Ist letzteres der Fall, entscheidet der Spezialist wie es weitergeht. Er kann beispielsweise die betroffenen User informieren und sie davor warnen, die Mail zu öffnen oder das Systeme anweisen, die Mail-Adresse zu sperren.

Die Grenzen von SOAR

Playbooks sind nicht statisch. Wenn sich Angriffsszenarien weiterentwickeln, sollten IT-Verantwortliche auch die Spielzüge zu ihrer Abwehr anpassen. Es lassen sich Zwischenschritte einbauen, oder zusätzliche Entscheidungen einfügen. Auch der Initialalarm kann angepasst werden. Diese Anpassungen sind allerdings nur möglich, wenn die Threat-Intelligence-Datenbank aktuell ist. Automatisierte Schadensabwehr ist dadurch begrenzt, dass es immer etwas dauern wird, bis die Datenbanken auf dem neuesten Stand sind. Selbst wenn eine Schwachstelle oder eine neue Angriffsmethode bekannt ist, gibt es nicht unbedingt sofort ein Gegenmittel. Hundertprozentige Sicherheit bietet ein SOAR auch mit den besten Playbooks nicht.

Vollkommen autonom sollte die digitale Schadensabwehr in naher Zukunft jedoch auch nicht ablaufen. Die Automatisierung in der Produktion nimmt dem Menschen repetitive und zeitraubende Tätigkeiten ab, damit er sich auf das konzentriert, was die Maschine nicht leistet. Bei SOAR ist das ähnlich: Das System ist bei der Datenauswertung zwar schneller als je ein Mensch sein wird. Aber es weiß nur, was ihm seine Programmierung und Berechtigungen zu wissen erlauben. Eine automatische Reaktion des Systems könnte Auswirkungen auf einen produktionskritischen Teil der digitalen Infrastruktur haben.

Wenn eine Maschine unkontrolliert herunterfährt, kann auch physischer Schaden entstehen. Ein Mensch denkt frei sowie kreativ und stellt Zusammenhänge anders her als ein Computerprogramm. Vielleicht ist die KI-Technik irgendwann so weit fortgeschritten, dass das auch ein Programm kann. Doch in absehbarer Zukunft ist nur die Teilautomatisierung sinnvoll. Wie effektiv ein teilautonomes SOAR-System ist, hängt zudem von den Personen ab, die es bedienen. Grundsätzlich kann das jeder IT-Mitarbeiter übernehmen. Je erfahrener und fähiger diese Person im Bereich Security ist, desto zuverlässiger arbeitet die Gesamtlösung. Da IT-Abteilungen in KMU meistens über das Tagesgeschäft ausgelastet sind, bleibt für digitale Sicherheit allerdings oft nur wenig Zeit.

Externe Dienstleister können an dieser Stelle mit Managed Detection & Response (MDR) entlasten. Sie betreuen das SOAR und stellen spezialisierte Security-Analysten bereit, die sich um den Betrieb der Lösung kümmern, Log-Quellen anbinden und modellieren. Auch für die Weiterentwicklung der Playbooks übernehmen sie die Verantwortung.

Ohne gute Threat Intelligence kein gutes Playbook

Wie beim American Football auch, hängt die Qualität des Playbooks davon ab, wie gut man den Gegner kennt und versteht. Was beim Football die Game-Intelligence ist, ist in der IT-Security die Cyber-Threat-Intelligence. Unternehmen, die ihre IT-Sicherheit (teil)automatisieren wollen, müssen mit digitalen Bedrohungen Schritt halten und stets im Hinterkopf behalten, dass eine Maschine nur so gut ist, wie die Daten, mit der sie arbeitet. (jm)