Anforderungen an einen Cyber Fusion Center Analyst

Eine Security Orchestration, Automation and Response (SOAR)-Lösung ermöglicht es, auf Automatisierung zu setzen, sagt Gastautor Erik van Buggenhout.

Kaum ein Tag vergeht, an dem ein Unternehmen unfreiwillig Schlagzeilen damit macht, dass die Webseite nicht mehr erreichbar, der E-Mail-Server und die Telefonanlagen lahmgelegt sowie Mitarbeiter nach Hause geschickt wurden. Der Grund: Ransomware – sowie im Laufe des Aufklärungsprozesses auch noch weitere Malware, die von eiligst beauftragten Experten aufwändig gefunden und entfernt werden. Je nach Ausmaß des Schadens kommt es auch dazu, dass nahezu alle befallenen Systeme komplett neu aufgesetzt werden müssen, bevor der Betrieb wieder aufgenommen werden kann.

Nach dem Aufräum- und Wiederherstellungsprozess geht es im nächsten Schritt darum, Maßnahmen zu ergreifen, damit sich ähnliches nicht wiederholt. Das Unternehmen steht nun vor der Entscheidung, welche Schritte eingeleitet werden müssen, um sich besser vorzubereiten und für die Zukunft aufzustellen. Trotz der angespannten Wirtschaftslage ist der Fachkräftemangel im Sinne eines Qualifikationsmangels in der IT- und Informationssicherheit hoch. Der Dreiklang aus Menschen, Prozessen und Technologien (PPT) zum Schutz vor Cyberattacken gelingt zumeist nur durch die Auslagerung von Prozessen und Technologien an externe Dienstleister, die das nötige geschulte Personal haben. Bei der Auswahl des Service-Partners gilt es jedoch einige Schritte zu beachten.

Traditionelles SOC vs. Cyber Fusion Center

In der Vergangenheit sind überall Security Operation Center (SOC) aus dem Boden geschossen. Sie vereinen die Vorteile, dass sie einerseits über das nötige Fachpersonal verfügen, das aufgrund der vielschichtigen Betreuungsanforderungen auch schnell über die nötige Erfahrung verfügt, um Organisationen abzusichern. Andererseits setzen sie auch die dafür nötigen Technologien ein, die auf dem aktuellen Stand gehalten werden. Beides zusammen ergibt nicht nur qualitativ Sinn, sondern gestattet auch eine bessere Kosten-Nutzen-Rechnung für das outsourcende Unternehmen.

Doch nicht jedes SOC verfügt über die benötigten Services und ist spezialisiert genug, um einen wirksamen Schutz zu gewährleisten.  Die Kosten für das Personal sind auch bei einem externen Dienstleister hoch und bei fehlender Automatisierung kann die sogenannte „Alert-Fatigue“ eintreten. Eine überwältigende Anzahl von Warnungen, sorgt dafür, dass potenziell gefährliche Ereignisse übersehen, ignoriert oder zu spät erkannt werden.

Automatisierung zur Verringerung von Warnmeldungen

Hier kommt der Ansatz des Cyber Fusion Centers (CFC) ins Spiel. Im Kern findet hier deutlich mehr Automatisierung statt, und zwar auf den Feldern, auf denen es Mehrwerte erzielen kann. Nach Angaben aus der Industrie hat die Automatisierung die Arbeitsbelastung durch die Analyse um 97,42 Prozent verringert. In einem Beispiel von 5.790 Warnmeldungen wurden im SOC in 7 Tagen nur 145 manuell analysiert. Dies reduzierte die Kosten auf 1.483 EUR im Vergleich zu 59.251 EUR.

Für diese Effekte ist der Einsatz einer Security Orchestration, Automation and Response (SOAR)-Lösung nötig. Sie ermöglicht es den Betreibern eines CFCs auf die Automatisierung langwieriger Aufgaben zu setzen. Die Technologie bietet die Möglichkeit einer umfassenden Anreicherung und Korrelation von Bedrohungsdaten aus den verschiedenen Bereichen und Komponenten der IT-Architektur des Auftraggebers. Der Schwerpunkt liegt in dieser Einrichtung auf der Automatisierung, weshalb in der Regel weniger Personal benötigt wird, was die anfallenden Betreuungskosten reduziert.

SOAR-zentrierter Ansatz

Beispiel für den SOAR-zentrierten Ansatz bietet der folgende Ablauf:

  • Ein Benutzer meldet eine mutmaßliche Phishing-E-Mail (z. B. über die Outlook-Schaltfläche).
  • Eine automatische Prüfung auf URLs und Indikatoren für eine Gefährdung (Indicators of Compromise, IoCs) folgt.
  • Auf der Grundlage der verfügbaren Daten bzw. des Kontexts wird entschieden, ob die E-Mail gutartig oder bösartig ist.
  • Bei der Bestätigung, dass es sich um eine bösartige E-Mail handelt, wird der Endpunkt des Benutzers auf Malware gescannt.
  • Eingehende E-Mails mit ähnlichen Eigenschaften (URLs, Absender, Betreff,…) werden fortan geblockt.
  • Zusätzlich erfolgt eine automatische Entfernung bereits zugestellter E-Mails aus Postfächern und eine Rückmeldung an denjenigen, der den Fall gemeldet hat sowie Warnungen an andere Mitarbeiter vor diesem Phishing-Versuch.

Weitere Differenzierungen finden in der Fokussierung auf die einzelnen Gefahren und dem Aufstellen von Purple-Teams statt. Für die Bedrohungszentrierung wird das MITRE ATT@CK-Framework hinzugezogen, und zwar so weit, dass alle mit der IT-Sicherheit Vertrauten damit arbeiten. Letzteres findet vor allem bei der „Adversary emulation“, der „Threat Intelligence“, der „Erkennungsfähigkeit“ und der Analyse der Prioritäten für die Gefahrenabwendung Verwendung.

Cyber Fusion Centers ähneln aus personeller Sicht in der Regel traditionellen SOC-Umgebungen. Der qualitative Unterschied ergibt sich bei den Aufgaben der Mitarbeiter – die starke Konzentration auf die Automatisierung erfordert einen erweiterten Aufwand an Technik, Datenanalyse und Programmierung. Dies schlägt sich in Positionen wie „SOAR Engineer“, „Data Analyst“ und dem typischen „Security Engineer“ nieder. Dies sind Rollen, die in traditionellen SOCs nicht so häufig bekleidet werden.

Purple-Teaming

Der besondere Fokus liegt darüber hinaus auf dem Purple-Teaming. Purple Teaming ist aus der Erkenntnis entstanden, dass bei Red und Blue Teaming Trainings, beide Seiten wenig Interesse daran haben miteinander die IT-Sicherheit zu verbessern. Jede Seiten achtet vor allem auf sich selbst und versucht die eigenen Ziele zu erreichen. Der Ansatz des Purple Teamings bringt beide Seiten zusammen und fördert das Miteinander, weil das Ziel nicht für die eine Seite ist, möglichst viele Schwachstelle zu finden und Alerts zu produzieren sowie auf der anderen Seite möglichst wenig Schwachstellen und Alerts gemeldet zu bekommen, sondern die wichtigsten und kritischsten Schwachstellen gemeinsam aufzudecken und zu beheben. In einem CFC wird dann das gesamte Potenzial eines Red-Teaming-Einsatzes genutzt, um Lücken bei der Erkennung zu bewerten, Anwendungsfälle für die Erkennung zu erstellen und die allgemeine Verteidigungsbereitschaft zu beurteilen.

Purple Teaming ist das Herzstück eines Cyber Fusion Centers. Es geht nicht nur darum, ein- oder zweimal im Jahr die Gelegenheit für Purple Teaming zu nutzen – Purple Teaming sollte kontinuierlich durchgeführt werden. Bei NVISO werden beispielsweise Playbooks für die Emulation von Angriffen ständig neu entwickelt bzw. verbessert, die es ermöglichen, Erkennungs- und Abhilfemaßnahmen kontinuierlich anhand realer Szenarien zu testen.

Zusammenfassend lassen sich die folgenden Anforderungen an Purple Teams feststellen:

  • Sie müssen das MITRE ATT&CK-Framework als gemeinsame Sprache in der Organisation einsetzen.
  • Eine eigene Sandbox-Lösung zur Analyse von Workloads aufbauen.
  • Effektive Gruppenrichtlinien zur Verbesserung der Skriptausführung einführen (einschließlich PowerShell, Windows Script Host, VBA, HTA, usw.).
  • Wichtige Umgehungsstrategien für Skriptkontrollen beherrschen (nicht verwaltete Powershell, AMSI-Umgehungen usw.).
  • Zero-Day-Exploits stoppen und Anwendungs-Whitelisting forcieren.
  • Die wichtigsten Umgehungsstrategien beim Whitelisting von Anwendungen einsetzen.
  • Die Persistenz von Malware erkennen und verhindern.
  • Laterale Bewegungen mit Ereignisüberwachung und Gruppenrichtlinien stoppen.
  • Die Command & Control-Prozesse durch eine Analyse des Netzwerkverkehrs blockieren und erkennen.
  • Bedrohungsdaten zur Verbesserung ihrer Sicherheitslage nutzen.
Fazit

Die  Auslagerung von IT-Sicherheitsservices an spezialisierte Cyber Fusion Center oder traditionelle SOC-Betreiber hat sich angesichts der Marktbedingungen als richtig erwiesen, doch verschiedene Rahmenbedingungen haben sich mittlerweile geändert. Der traditionelle Ansatz nur Fachpersonal und Technologie einzukaufen und sich nicht selbst um die Security kümmern zu müssen, trübt den Blick. Die Folge können hohe Kosten bei im Zweifel ungenügendem Schutz sein. Aus diesem Grund sollten Verantwortliche darauf achten, welche Möglichkeiten die Betreiber für Automatisierung von Alerts, bei der Anwendung und Ausführung des MITRE ATT@CK-Frameworks und von regelmäßigen und im besten Fall kontinuierlichen Purple Teaming zur Verfügung stellen können.

 

Erik van Buggenhout

ist Co-Gründer von NVISO, Senior Instruktor und Kursautor beim SANS Institute.