4. April 2018

Security-Automation: Lasst die Maschinen ran

Cyber-Security ist immer auch ein Wettrennen zwischen Angriff und Verteidigung. Verbringt die Verteidigung viel Zeit mit lähmenden, sich stets wiederholenden Aufgaben, ist sie immer im Hintertreffen. Abhilfe verspricht Security-Automation: Die Maschine erledigt Aufgaben ohne menschliches Zutun mit dem ihr eigenen Tempo – und verkürzt so das Zeitfenster zwischen dem erfolgreichen Angriff und dessen Entdeckung. Kurz: Ohne Automatisierung ist das Rennen verloren.

Motherboard zoom Der Einsatz von automatisierten Sicherheitssystemen ist notwendig, um die immensen Datenmengen zu kontrollieren und somit unerwünsche Netzwerkzugriffe zu vermeiden

Warum jetzt investieren und warum in diese Produktkategorie? Jeder Geschäftsführer, jeder CIO und CISO im Unternehmen kennt diese Fragestellung. Im Fall von Tools zur Security-Automation sind die Antworten schnell gegeben: „Jetzt“, weil es an sich eh schon sehr spät ist, sollte die eigene Organisation noch nicht automatisieren. „Warum“: Weil Automatisierung zwingend nötig ist. Andernfalls geraten Cyber-Sicherheitsteams heillos ins Hintertreffen.

Cyber-Security ist schon seit langem eine Materialschlacht: Riesige, komplexe Netzwerke mit einer gewaltigen Zahl an möglichen Einfallstoren treffen auf einen Mix aus gezielt arbeitenden Angreifern sowie automatisierten Schwachstellenscannern, die das ganze Internet binnen weniger Stunden abklopfen können. Zumeist gibt es bereits in jeder Organisation Sicherheitskomponenten wie (Next Generation) Firewalls, Intrusion-Detection- / Intrusion-Prevention-Systeme (IDS/IPS), Proxys und so weiter.

Was vielen kaufmännischen Verantwortlichen nicht klar ist: All diese Komponenten erzeugen gigantische Mengen an Log-Dateien, in denen irgendwo der Hinweis auf ein Abklopfen oder ein erfolgreiches Eindringen verborgen sein kann. Für menschliche Cyber-Sicherheitsexperten ist das Durchforsten solcher Logs immens ermüdend. Davon abgesehen, dass die wenigsten Unternehmen überhaupt genügend solcher Fachleute in den eigenen Reihen haben. Dazu kommt, dass die Systeme oft nicht zusammenarbeiten und es dem Menschen obliegt, Daten per Copy & Paste von einer Management-Software in die andere zu kopieren – eine zeitraubende und fehleranfällige Aufgabe.

Von daher muss sich der Mensch die Maschine an die Seite holen. Sie schaufelt sich ohne Ermüdungserscheinung durch die Logs und Threat-Intelligence-Datenströme. Im Idealfall erkennt sie erfolgreiche Angriffe – also die, die es bereits hinter die Firewall und auf einen Rechner geschafft haben – selbständig. Je nach Reifegrad der Automatisierungslösung versprechen deren Hersteller zudem das Bereinigen der Folgen des Angriffs ohne menschliches Zutun (Incident Response, Notfallreaktion). Ist das Tool hierzu aus welchem Grund auch immer nicht in der Lage, so bewerten die moderneren Vertreter der Gattung das Vorkommnis zumindest und sagen dem menschlichen Mitstreiter, worauf er sich zuerst konzentrieren sollte.

Außerdem können sich menschliche Analysten von vornherein auf die nicht ganz eindeutigen Verdachtsfälle stürzen und so die Zahl der falschen Positiv-Meldungen reduzieren. Zudem verschafft die Automatisierung den Sicherheitsmannschaften die Zeit, die zum Beobachten von Angreifern in flagranti nötig ist. Nur durch solches Auf-die-Finger-Schauen lässt sich überhaupt ermitteln, wer sich da woran im Netzwerk zu schaffen macht, welche Teile der Infrastruktur noch betroffen sind und welche Daten abgeflossen sind.

Eines müssen sich Geschäftsführer, CIOs und CISOs bei aller Automatisierungseuphorie aber bewusst machen: Das Konzept der automatisierten Notfallreaktion steckt noch in den Kinderschuhen. Um Betriebsunterbrechungen zu vermeiden, sollte die Maschine keinesfalls allein ans Isolieren oder gar Neuaufsetzen betroffener Systeme gelassen werden. Der Mensch sollte es sein, der das Ganze per Mausklick vom Stapel lässt.

Auf der Command Control 2018 wurde das Thema Security Automation in der Themenwelt Integrated Risk Management beleuchtet.


Foto: pexels.com