18. Oktober 2017
RSA NetWitness-Warnmeldungen, verwaltet mit Sicherheitsautomatisierung und -orchestrierung (SAO)
Mehr lesen
Der Cybersicherheitsrahmen des Nationalen Instituts für Standards und Technologie (NIST) Das Cybersecurity Framework wurde als Reaktion auf eine präsidiale Anordnung aus dem Jahr 2013 entwickelt, um Regierungs- und Privatorganisationen beim besseren Schutz ihrer kritischen Infrastruktur vor Cyberangriffen zu unterstützen. Es liegt nun in der zweiten Version (1.1) vor und bietet Organisationen eine flexible Möglichkeit, kosteneffektive und gleichzeitig umfassende Cybersicherheitsstrategien zu entwickeln und umzusetzen. Das Framework deckt das gesamte Spektrum der Sicherheit ab – von der Identifizierung und Erkennung von Bedrohungen bis hin zu Reaktion und Wiederherstellung.
Das NIST Cybersecurity Framework unterstützt Organisationen mit einer flexiblen Möglichkeit, eine kosteneffektive, aber ganzheitliche Cybersicherheitsstrategie zu entwickeln und umzusetzen.
Sicherheitsautomatisierung und -orchestrierung (SAO) unterstützt Unternehmen bei der Implementierung von Kontrollmechanismen, die mit dem Framework übereinstimmen. SAO umfasst Tools und Methoden zur Automatisierung der Sicherheitserkennung und der Reaktion auf Sicherheitsvorfälle sowie zur Orchestrierung von Sicherheitssystemen. Mit SAO steigern Unternehmen die Produktivität und Effektivität ihrer Sicherheitsteams bei der Reaktion auf Sicherheitsvorfälle gemäß dem Framework.
Was beinhaltet das NIST Cybersecurity Framework?
Das NIST Cybersecurity Framework bietet umfassende Leitlinien für die Entwicklung, Implementierung und kontinuierliche Verbesserung eines Cybersicherheitsprogramms. Sein Kern besteht aus fünf Funktionen: Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen. Jede Funktion ist in Kategorien unterteilt, die wiederum Unterkategorien für spezifische Aspekte der Absicherung kritischer Infrastrukturen gegen Cyberangriffe enthalten.
Es bietet außerdem eine Reihe von Implementierungsstufen, anhand derer Organisationen bewerten können, wie gut sie Cybersicherheitsrisiken managen. Eine Organisation der Stufe 1 (“teilweise”) reagiert informell und reaktiv auf Cyberbedrohungen. Stufe 2 ist “risikoinformiert”, Stufe 3 “wiederholbar”. Stufe 4 repräsentiert eine “adaptive” Organisation, die in der Lage ist, wiederholbare Prozesse flexibel an veränderte Risiken anzupassen.
Wie Sicherheitsautomatisierung und -orchestrierung die Reaktion auf Sicherheitsvorfälle verbessern
Die Reaktion auf Sicherheitsvorfälle umfasst mehr als nur die Behebung eines Problems. Im Cybersecurity Framework beinhaltet sie die Kernfunktionen Erkennen, Reagieren und Wiederherstellen. Alle drei sind notwendig, um angemessen auf einen Sicherheitsvorfall reagieren zu können.
Tabelle 1 zeigt die elf Kategorien dieser drei Funktionen, jede mit einer eindeutigen Kategoriekennung. Beispielsweise steht DE.AE in der Erkennungsfunktion für “Anomalien und Ereignisse”. Um die Anforderungen des Frameworks zu erfüllen, muss eine Organisation ein Verfahren zur Erkennung von Anomalien oder verdächtigen Ereignissen entwickeln, die auf einen Sicherheitsvorfall hindeuten könnten. Dies kann beispielsweise durch die Kombination von DE.CM (“Kontinuierliche Sicherheitsüberwachung”) und DE.DP (“Erkennungsprozesse”) erfolgen.
| Funktionskennung | Funktion | Kategorie: Einzigartig Kennung | Kategorie |
| DE | Erkennen | DE.AE | Anomalien und Ereignisse |
| DE.CM | Kontinuierliche Sicherheitsüberwachung | ||
| DE.DP | Detektionsprozesse | ||
| RS | Antworten | RS.RP | Reaktionsplanung |
| RS.CO | Kommunikation | ||
| RS.AN | Analyse | ||
| RS.MI | Minderung | ||
| RS.IM | Verbesserungen | ||
| RE | Genesen | RC.RP | Wiederherstellungsplanung |
| RC.IM | Verbesserungen | ||
| RC.CO | Kommunikation |
Tabelle 1 – Die Funktionen zum Erkennen, Reagieren und Wiederherstellen aus dem NIST Cybersecurity Framework
Integration von Sicherheits- und Kommunikationstechnologien mit SAO
Viele Organisationen nutzen Technologien wie Intrusion-Detection-Systeme (IDS) und Security-Incident- und Event-Monitoring-Lösungen (SIEM), um die Erkennungsfunktion des Frameworks zu implementieren. Um optimale Ergebnisse zu erzielen, sollten SAO-Integrationen zwischen SIEM, IDS und anderen Sicherheitstools, die Sicherheitswarnungen generieren, möglich sein. Die Integration ermöglicht eine produktivitätssteigernde Orchestrierung und die Automatisierung der einzelnen Schritte im Erkennungs-Workflow.
Das Framework empfiehlt daher einen vorab geplanten Reaktionsprozess. Entsprechend den Reaktionskategorien sollten strenge Kommunikationsprozesse etabliert sein, um den Fortschritt der Bedrohungsanalyse und der Maßnahmen zur Bedrohungsabwehr zu verfolgen. Ein solcher Kommunikationsprozess erfordert zudem Integration. Die Integration relevanter Kommunikationssysteme wie E-Mail und Ticketing in SAO ermöglicht die Automatisierung der Kommunikation und entlastet die Teammitglieder von der sich wiederholenden Aufgabe, Alarmstatus zu übermitteln. Die im Framework beschriebene Reaktion wird anschließend in der Wiederherstellungsphase fortgesetzt.
Den Fachkräftemangel im Bereich Cybersicherheit mit SAO lösen
Die Herausforderung bei der Anwendung des NIST Cybersecurity Frameworks für die Reaktion auf Sicherheitsvorfälle liegt in den begrenzten verfügbaren Ressourcen. Da Cybersecurity-Teams nur über eine bestimmte Anzahl qualifizierter Mitarbeiter verfügen und der Fachkräftemangel im Bereich Cybersecurity weiter zunimmt, können Teams durch Fehlalarme überfordert und durch den Aufwand für routinemäßige Benachrichtigungen und Ticketbearbeitung unproduktiv werden. Verfügt das Team nicht über die richtigen Werkzeuge, kann es die Kriterien des Cybersecurity Frameworks nicht effektiv erfüllen.
Sicherheitsautomatisierung und -orchestrierung bieten eine Lösung für das Problem begrenzter Ressourcen, indem sie jeden Schritt des Erkennungs-, Reaktions- und Wiederherstellungszyklus beschleunigen. Stellen Sie sich beispielsweise vor, ein Sicherheitsteam erhält von einer SIEM-Lösung eine Warnung über ein anomales Ereignis im Netzwerk. Reagiert das Team manuell auf die Warnung, muss es die mühsame und zeitaufwändige Arbeit des Ticket-Erstellens, der Bedrohungsanalyse und der Kommunikation mit den Beteiligten durchführen.
Mit SAO werden diese Schritte automatisiert. Die Interaktionen zwischen relevanten Systemen werden gemäß definierter Prozessschritte orchestriert. Die SAO-Lösung kann die Details der Warnung automatisch an ein Bedrohungsanalysesystem übermitteln und eine entsprechende Meldung öffnen. Fallmanagement Erstellen Sie ein Ticket in einem System wie JIRA und senden Sie E-Mails an die relevanten Stakeholder.
| Funktion | Kategorie | Unterkategorie | Wie SAO den Prozess verbessert |
| Erkennen (DE) | Anomalien und Ereignisse (DE.AE): Anomale Aktivitäten werden rechtzeitig erkannt und die potenziellen Auswirkungen der Ereignisse werden verstanden. |
DE.AE-1: Es wird eine Basislinie für den Netzwerkbetrieb und die erwarteten Datenflüsse für Benutzer und Systeme erstellt und verwaltet. | Mithilfe von Protokollen aus verschiedenen Sicherheitstools und SAO kann das Team die Baseline kontinuierlich kalibrieren, um seine Fähigkeiten zur Reaktion auf Sicherheitsvorfälle zu verbessern. |
| DE.AE-2: Die erkannten Ereignisse werden analysiert, um Angriffsziele und -methoden zu verstehen. | SAO kann den Analyseprozess automatisieren, wodurch Zeit gespart und die Produktivität der Teammitglieder gesteigert wird. | ||
| DE.AE-3: Ereignisdaten werden aus verschiedenen Quellen und Sensoren zusammengeführt und korreliert. | SAO kann die für die Aggregation und Korrelation von Daten aus verschiedenen Quellen erforderlichen Schritte automatisieren. Eine SAO-Lösung kann zudem die an den Analyse- und Korrelationsprozessen beteiligten Systeme orchestrieren. | ||
| DE.AE-4: Die Auswirkungen von Ereignissen werden ermittelt | Eine SAO-Lösung beschleunigt den Prozess der Ermittlung der Auswirkungen des Ereignisses und der Benachrichtigung wichtiger Interessengruppen. | ||
| DE.AE-5: Schwellenwerte für die Alarmierung von Vorfällen werden festgelegt | Die SAO-Lösung kann aus Vorfallsmeldungen “lernen” und die Festlegung von Schwellenwerten für Vorfallsmeldungen verbessern. SAO kann außerdem Vorfallsberichte automatisieren, um die Ursachen eines Angriffs besser zu verstehen. |
Abbildung 2 – Die Unterkategorien der Kategorie „Erkennen: Anomalien und Ereignisse (DE:AE)“ in der Erkennungsfunktion des NIST Framework Core.
Tabelle 2 beschreibt, wie eine SAO-Lösung bei den spezifischen Details der Reaktion auf Vorfälle hilft. Anhand der Erkennungsfunktion in der Kategorie „Anomalien und Ereignisse“ (DE:AE) wird die Rolle der SAO in verschiedenen Unterkategorien aufgeschlüsselt. Beispielsweise fordert die Unterkategorie DE.AE-3 Folgendes: “Ereignisdaten werden aus verschiedenen Quellen und Sensoren aggregiert und korreliert”, und SAO kann die für die Aggregation und Korrelation aus verschiedenen Quellen erforderlichen Schritte automatisieren. Sicherheitsorchestrierung kann auch die an den Analyse- und Korrelationsprozessen beteiligten Systeme integrieren.
SAO hat das Potenzial, die Arbeitsabläufe bei der Reaktion auf Sicherheitsvorfälle grundlegend zu verändern. Die richtige SAO-Lösung ermöglicht es Cybersicherheitsteams, effizienter zu arbeiten und stets über eingehende Warnmeldungen und Vorfälle informiert zu sein. Das Team kann SAO zudem nutzen, um die Reaktion auf Sicherheitsvorfälle kontinuierlich zu verbessern. So unterstützt SAO Unternehmen dabei, innerhalb des Frameworks aufzusteigen und wiederholbare sowie adaptive Prozesse zur Reaktion auf Sicherheitsvorfälle zu entwickeln.
SAO unterstützt Organisationen bei der Orchestrierung von Systemen und ermöglicht ihnen so die Entwicklung wiederholbarer und adaptiver Prozesse zur Reaktion auf Sicherheitsvorfälle.
Swimlane und das NIST Cybersecurity Framework zur Verbesserung der Reaktion auf Sicherheitsvorfälle
Swimlane bietet Sicherheitsautomatisierung und -orchestrierung, die Ihr Unternehmen bei der Einhaltung des Cybersecurity Frameworks und der Verbesserung der Reaktion auf Sicherheitsvorfälle unterstützt. Swimlane ist einfach zu implementieren, zu verwenden, zu verwalten und zu skalieren und nutzt objektorientierte Methoden, die es Sicherheitsteams ermöglichen, die Funktionen ihrer bestehenden Sicherheitstools optimal zu nutzen.
Möchten Sie mehr darüber erfahren, wie Sicherheitsautomatisierung Ihrem Unternehmen helfen kann? Laden Sie unser E-Book herunter – 8 Anwendungsfälle aus der Praxis für Sicherheitsorchestrierung, -automatisierung und -reaktion.
Demo anfordern
Falls Sie noch keine Gelegenheit hatten, Swimlane Turbine auszuprobieren, fordern Sie eine Demo an.
English 
Français 
Deutsch 
日本語 
한국어 
Português 
Español