Security Automation ist die Zukunft – aber noch mit Vorsicht zu genießen
Automatisierung löst nicht alle Sicherheitsprobleme: ein Kommentar von Wolfgang Kurz, Geschäftsführer des Managed Security Service Provider indevis
“Konzerne betreiben längst eigene Security Operations Center (SOCs). Hier fokussieren sich die Mitarbeiter darauf, wie sie ihre Daten und Prozesse vor Manipulationen von außen schützen können. Die Mittelständler würden hier gerne mithalten. Doch selbst wenn sie die finanziellen Mittel dafür aufbringen, macht ihnen der leer gefegte Fachkräftemarkt und der sehr Ressourcen-intensive Aufbau eines SOCs meist einen Strich durch die Rechnung.
Automatisierte Gegenmaßnahmen: zu schön, um wahr zu sein
Stand der Technik auf dem Cybersecurity-Markt bilden Systeme und Verfahren zur Security Orchestration, Automation and Response, kurz SOAR. Sie bieten Werkzeuge für die Analyse von Cyber-Bedrohungen sowie Unterstützung bei der aktiven Bekämpfung von Sicherheitsvorfällen. Darüber hinaus ermöglichen sie, wie der Buchstabe R für „Response“ signalisiert, automatisierte Gegenmaßnahmen.
Das klingt zu schön, um wahr zu sein. Suggeriert es doch: Im Falle des Security Incidents greifen automatisch und dynamisch-implementierte Regeln und stoppen den Angriff schneller, als ein menschlicher Spezialist jemals reagieren könnte. Blitzschnelle automatisierte Gegenmaßnahmen halten angeblich den Angreifer in Schach und das Fehlen von IT-Security-Experten fällt offensichtlich kaum ins Gewicht. Aber wenn etwas zu schön klingt, um wahr zu sein, ist es meist nicht wahr – zumindest nicht uneingeschränkt. Sich allein auf automatische Reaktionen zu verlassen, ist in der Praxis meist nicht empfehlenswert.
Dazu ein Beispiel: Tatsächlich ist eine SOAR-Lösung in der Lage, aus den Ergebnissen der Bedrohungsentdeckung („Detection“) eine Anpassung der Firewall-Regeln abzuleiten – und sie automatisch zu implementieren. Das bedeutet aber eine Operation am offenen Herzen: Während des laufenden Geschäfts würde massiv in den Netzbetrieb eingegriffen. Dabei kann es leicht passieren, dass wichtige Services plötzlich nicht mehr zur Verfügung stehen oder ein kompletter Produktionsstandort ohne Vorwarnung gekappt wird. Der so entstandene Schaden ist unter Umständen größer als der durch den Cyberangriff.
Kleinere Betriebe sind im Nachteil
Die Idee eines automatisierten Gegenschlags mit einer Detection & Response-Lösung ist sicher nicht falsch. Aber die Bedingungen, unter denen er geschieht, und die Maßnahmen, die dabei angewendet werden, müssen sorgfältig abgewogen werden. Die Hoffnung, menschlichen Sachverstand gänzlich durch automatisierte Prozesse zu ersetzen, wird über kurz oder lang enttäuscht. Nach wie vor sind erfahrene Expertinnen und Experten gefragt, die Gefahrensituationen mit all ihren Konsequenzen abschätzen können, geeignete (Re-)Aktionen vorschlagen und die Unternehmensführung miteinbeziehen. Ob ein System vom Netz genommen werden soll, entscheidet in den meisten Fällen dann das Topmanagement.
Wer ein SOC betreibt, wird sich sicher früher oder später mit einer SOAR-Lösung beschäftigen und diese in den SOC-Betrieb integrieren. In letzter Konsequenz wird man auch versuchen, automatische Gegenmaßnahmen zu implementieren. Dabei wird aber in den allermeisten Fällen die Funktion vor Sicherheit gehen. Mit der aktuellen Technik kann das SOC-Team entlastet aber nicht ersetzt werden.
Das Beste aus beiden Welten kombinieren
Doch auch mittelständische Betriebe können von einer solchen Lösung profitieren. Immer mehr Unternehmen nutzen die Dienste eines Managed Security Services Providers (MSSP), der ein virtuelles SOC bereitstellt und Managed Detection and Response, kurz MDR, offeriert. Er übernimmt den Betrieb der SOAR-Umgebung und verknüpft sie mit den kundenspezifischen Log-Quellen. Zudem stellt er die notwendigen IT-Security-Experten und entwickelt Playbooks, an denen sich eine automatisierte Cyberbekämpfung orientiert.
Weil ein MSSP viele Kunden bedient, hat er meist einen guten Überblick über die aktuelle Bedrohungslandschaft und kann im Ernstfall schnell entscheiden, ob und in welcher Form ein Eingreifen sinnvoll ist. Er weiß die optimierten Automatisierungsprozesse zu nutzen, verlässt sich aber nicht alleine darauf, sondern zieht zu gegebenem Zeitpunkt Spezialisten, beispielsweise IT-Forensiker, hinzu. Vor allem aber stimmt er alle Maßnahmen mit den Kunden ab. Im Wechselspiel von Automatisierung und menschlichem Know-how liefert er quasi das Beste aus beiden Welten.”