Im Schatten sitzende Entwickler hocken in einem düsteren Büro über leuchtenden Monitoren, Codezeilen flackern in der Dunkelheit wie eine unsichtbare digitale Bedrohung, die Gestalt annimmt.

Rüsten Sie Ihr Security Operations Center mit SOAR aus

Benutzeravatar
Katie Bykowski
3 Leseminute

 

Covid-19 hat die ohnehin schon schwierige Bedrohungslage für moderne Security Operations Center (SOCs) weiter verschärft, und Cyberkriminelle nutzen das entstandene Chaos aus. Zu den damit verbundenen Schwachstellen zählen vermehrte Phishing-Angriffe, fragwürdige Domainregistrierungen und der Bedarf an verstärkter VPN-Überwachung.

Eine SOAR-Lösung (Security Orchestration, Automation and Response) optimiert die Fähigkeiten eines SOC (Security Operations Center), indem sie zeitaufwändige Aufgaben der Reaktion auf Sicherheitsvorfälle automatisiert und gleichzeitig die Mitarbeiter, Prozesse und Technologien des Unternehmens orchestriert. Drei Anwendungsfälle für SOAR, die in dieser beispiellosen Zeit zunehmend an Bedeutung gewonnen haben, sind Phishing-Abwehr, Domänenüberwachung und VPN-Überwachung. Im folgenden Beitrag werden wir jeden dieser Anwendungsfälle genauer betrachten und einen Blick auf die … werfen. Infografik Am Ende!

Phishing

Laut einem Aktueller Bericht über CIO Dive, Zwischen Februar und März 2020 gab es einen Anstieg von 6671.030 Phishing-Angriffen mit Bezug zu Viren. Aktueller Bericht von Forbes wurde ein starker Anstieg von 350% auf zugehörigen Phishing-Websites festgestellt.

Bei der Automatisierung der Phishing-Priorisierung folgen Organisationen häufig einem dokumentierten Prozess wie diesem:

  1. Eine SOAR-Lösung wird eingerichtet, um die Postfächer einer Organisation zu überwachen, in die Benutzer mutmaßliche Spam- und Phishing-E-Mails senden.
  2. Eingehende E-Mails werden automatisch analysiert.
  3. Details wie Kopfzeile, Betreff, Nachrichtentext und E-Mail-Adressen werden in Datenfeldern eines Falldatensatzes gespeichert.
  4. Weitere potenzielle Indikatoren wie IP-Adresse, URL und Domainnamen werden ebenfalls aus der E-Mail extrahiert und den entsprechenden Datensatzfeldern hinzugefügt.
  5. Durch die Integration mit anderen Tools der SOAR-Plattform werden die Daten angereichert und es wird geholfen zu bestimmen, wie der Fall zu bearbeiten ist.

In einem Phishing-Anwendungsfall Wird eine E-Mail als schädlich eingestuft, kann eine Quarantäne-Meldung oder die Isolierung des Hostsystems mithilfe eines Endpoint Detection and Response-Tools (EDR) oder eines Endpoint Policy Management-Tools (EPM) sinnvoll sein. Die SOAR-Lösung kann das Security Operations Center (SOC) und den Absender der E-Mail umgehend über Messenger wie Slack, SMS oder E-Mail benachrichtigen. Die Nutzer werden über den Status des automatisierten Workflows informiert und für ihre Meldung und ihre Unterstützung bei der Erkennung potenzieller Bedrohungen gedankt. Schädliche E-Mails können zudem aus allen Postfächern der Nutzer gelöscht werden, um jegliches weitere Risiko zu minimieren. Auch harmlose E-Mails können Benachrichtigungen an die Nutzer auslösen, um ihnen für die Meldung zu danken und das Ergebnis mitzuteilen. Darüber hinaus sind viele weitere Maßnahmen möglich.

Domänenüberwachung

Domänenüberwachung Kann verwendet werden, um andere Domains zu erkennen und zu blockieren, die mit einer aktuellen Notfallsituation in Zusammenhang stehen. Beispielsweise Namen wie “COVID” oder “Impfstoff” oder alle anderen Namen, die eine Organisation überprüfen möchte.

A ein aktueller Bericht aus dem Computer Business Review Eine Untersuchung ergab, dass von 6.000 innerhalb einer Woche registrierten Domains mehr als ein Drittel als verdächtig eingestuft wurden. 93 dieser bereits als verdächtig eingestuften Domains wurden zum Zeitpunkt der Veröffentlichung des Berichts als schädlich bestätigt. Es ist wichtig zu beachten, dass Angreifer eine Domain nicht immer sofort aktivieren oder für Angriffe missbrauchen. Eine Domain kann eine Zeit lang ungenutzt bleiben und erst dann schädlich werden. Letztendlich könnten deutlich mehr als 93 Domains missbräuchlich verwendet worden sein.

Mithilfe von SOAR kann ein SOC-Team eine Reihe überwachter Domains definieren, um potenzielle Domain-Squattings aufzudecken. In einem anpassbaren Intervall – typischerweise einmal täglich – lädt die SOAR-Lösung die neu registrierten Domains herunter und vergleicht sie mit der Liste der überwachten Domains auf Musterähnlichkeiten.

SOC-Teams können Datensätze prüfen und feststellen, ob es sich um tatsächliche Domain-Squatting-Versuche handelt. Nicht auflösbare Domains bleiben in der Warteschlange, und die SOAR-Plattform versucht regelmäßig, eine Verbindung herzustellen. Sobald die Website aktiv wird, wird ein Snapshot erstellt und in die Analystenwarteschlange aufgenommen. Analysten können die Domains bei der Prüfung der Datensätze als schädlich, harmlos oder unbekannt kennzeichnen.

VPN-Überwachung

Von diversen IoT-Geräten bis hin zu Mitarbeitern mit mangelndem Cybersicherheitsbewusstsein – SOC-Teams müssen seit dem Umzug der meisten Mitarbeiter ins Homeoffice zahlreiche Schwachstellen im Auge behalten. Zusätzlich versuchen Unternehmen, über VPNs einen sicheren Fernzugriff auf Büroressourcen zu gewährleisten.

VPN-Überwachung Mit SOAR können Mitarbeiter den VPN-Status schnell überprüfen, Ausfälle erkennen und grundlegende Fehlerbehebungen durchführen, z. B. Dienste neu starten. In vielen Fällen kann die SOAR-Plattform den Dienst entweder automatisch wiederherstellen oder Benutzern ermöglichen, VPN-Probleme zu identifizieren, eine erste Fehlerbehebung vorzunehmen und verbleibende Probleme zu eskalieren.

Die Vorteile von SOAR reichen weit über diese drei Anwendungsfälle hinaus. SOAR ermöglicht dem SOC die effiziente Nutzung vorhandener Ressourcen. Das Personal ist nicht mehr an manuelle, repetitive und zeitaufwändige Aufgaben gebunden, da Orchestrierung, Automatisierung und Reaktion in Echtzeit erfolgen. Darüber hinaus integriert sich eine echte SOAR-Lösung nahtlos in bestehende Tools und bildet so ein einheitliches, leistungsstarkes System für ein optimiertes SOC.

Swimlane-Infografik mit dem Titel “Ausrüstung Ihres SOC mit Security Orchestration, Automation and Response (SOAR)”, die eine aus Puzzleteilen geformte, schattenhafte menschliche Silhouette zeigt und vor Angreifern warnt, die menschliche Schwächen ausnutzen, sowie vor einem Anstieg von Phishing-Websites um 350%, der von Google gemeldet wurde.

Statten Sie Ihr SOC mit Sicherheitsorchestrierung, Automatisierung und Reaktion aus

Angreifer nutzen die aktuelle Situation aus und greifen bestehende und neue Schwachstellen von Unternehmen an. Für Sicherheitsteams ist es daher unerlässlich, ihre vorhandenen Ressourcen optimal einzusetzen. Hier kann eine SOAR-Lösung (Security Orchestration, Automation and Response) helfen. Laden Sie diese Infografik herunter, um mehr zu erfahren!

Jetzt herunterladen

Tags

STEIGEN

7. Februar 2019
Partnerschaften unterstützen Ihr Security Operations Center-Ökosystem
Mehr lesen
14. Dezember 2022
Was ist ein Security Operations Center (SOC)? SOC-Leitfaden
Mehr lesen
19. März 2024
Wie man ein modernes Security Operations Center (SOC) aufbaut
Mehr lesen

Fordern Sie eine Live-Demo an