Status des SOC und Nutzung von SIEM

Vergangenheit, Gegenwart und Zukunft von SOAR Teil 1

Security Operations Center (SOCs) müssen in der Lage sein, schnell und effektiv auf jede Art von Alarm, Angriff oder Vorfall zu reagieren, und das mit schlanken Teams und dem Nachweis des ROI gegenüber dem Management. Dies erfordert hochqualifiziertes und geschultes Personal, gut dokumentierte Prozesse und fein abgestimmte Technologien. Leider verfügen nur wenige SOCs über diese ideale Kombination. Stattdessen müssen sie täglich eine Flut von Alarmen aus einer sich ständig weiterentwickelnden Bedrohungslandschaft und von raffinierten Angreifern bewältigen – und das mit ständiger Personalfluktuation sowie uneinheitlichen Tools und Prozessen. In diesem typischen Umfeld dauert es zu lange, bis ein Analyst einen Alarm erhält, die wichtigsten Details liest und versteht, die Daten in andere Tools kopiert, um zu überprüfen, ob es sich nicht um einen Fehlalarm handelt, und schließlich Maßnahmen zur Abwehr des Angriffs und zur Behebung des Problems ergreift. Unternehmen können es sich nicht leisten, so lange angreifbar zu sein.

Aber wir haben ein SIEM-System.

A Sicherheitsinformations- und Ereignismanagementsystem (SIEM) Dies ist das, was die meisten SOCs mittlerweile einsetzen, um die oben beschriebenen gravierenden Probleme zu bekämpfen. Das Problem bei einem SIEM-System ist, dass es typischerweise eine enorme Datenmenge generiert, wodurch es für SOCs schwierig wird, den Überblick zu behalten. Tatsächlich, laut aktuelle Forschungsergebnisse von Enterprise Management Associates (EMA)., 64% der täglich generierten Sicherheitstickets werden aufgrund von Personalmangel nicht untersucht.

Eine SIEM-Lösung erfasst zwar Alarmdaten, ist aber kein Big-Data-Tool. Sicherheitsteams benötigen Big-Data-Tools, um die großen Datenmengen, die mit SIEM-Alarmen einhergehen, zu analysieren und so schnelle Entscheidungen zu treffen sowie Muster und Trends zu erkennen. Unternehmen prüfen ihre vorhandenen Tools und Ressourcen – sei es Datenmanagement, Datenpipelines oder Cloud Computing – und fragen sich, warum ihnen vergleichbare Tools im Sicherheitsbereich fehlen. Da Unternehmen immer mehr Ressourcen – insbesondere Log-Aggregation, Log-Management und Datenanalyse – in die Cloud verlagern, betrachten sie SIEM und die in diesen Infrastrukturen nativ verfügbaren Tools. Idealerweise nutzen Teams für den Sicherheitsbetrieb denselben Technologie-Stack und dieselben Ressourcen, die ihnen intern aus Entwicklungs- und Engineering-Perspektive zur Verfügung stehen.

Hier kommt die Automatisierung ins Spiel.

Um mit SIEM-Warnmeldungen Schritt zu halten, setzen SOCs auf Automatisierung. Teams automatisieren Aufgaben wie die Protokollstandardisierung, das Protokollmanagement, die Protokollaggregation sowie die Untersuchung und Auswertung von Protokolldaten anhand korrelierter Warnmeldungen, um nur einige zu nennen. Natürlich ist es nicht möglich, jede einzelne Protokollwarnung zu überprüfen. Ziel ist vielmehr die Automatisierung der Aggregation und Analyse dieser Protokollinformationen. Und ja, Unternehmen haben in den letzten zehn Jahren die Automatisierung auf diesem Niveau relativ erfolgreich implementiert.

Dies führte jedoch lediglich zu einer Reduzierung des Arbeitsaufwands für die Mitarbeiter, da die Automatisierung der personellen Komponente im Bereich Security Operations (SecOps) bisher begrenzt war. Durch die weitestgehende Automatisierung konzentrierten sich Unternehmen hauptsächlich auf Priorisierung und Deduplizierung. Um die Vorteile der Automatisierung voll auszuschöpfen, müssen wir unseren Ansatz überdenken und Chancen früher im Lebenszyklus eines Angriffs erkennen. Gibt es beispielsweise frühzeitig erkennbare Leistungsindikatoren, die ohne Korrelation oder Analyse direkt Maßnahmen ermöglichen? Unternehmen erkennen zunehmend, dass die Technologien, die ihre SIEM-Systeme oder Data Lakes speisen, bereits im Originalzustand hochpräzise und nutzbar sind und daher weniger Verarbeitungsaufwand erfordern.

Das heutige SOC benötigt also eine bessere Automatisierung. Ist das alles?

Wenn eine Organisation ihre Ressourcen skaliert, stellt sich die Frage: Was geschieht bei der Erkennung von Sicherheitsvorfällen und dem Erfordernis von Maßnahmen? Angesichts der ständig hinzukommenden Cloud-basierten und anderen Ressourcen: Wo sollten Erkennungen und Maßnahmen behandelt werden? Die Angriffsfläche wächst rasant durch eine Vielzahl neuer IoT-Geräte, Virtualisierung, mobiler Geräte, Containerisierung und anderer Änderungen und Ergänzungen, die überwacht werden müssen. Jede dieser Technologien hat ihre eigenen Anforderungen an Infrastruktur, Überwachung, Sicherheit, Patching und Schwachstellenanalyse. Wenn wir die prognostizierte Anzahl von bis zu 100 Milliarden IP-fähigen Geräten in den nächsten 5–10 Jahren betrachten, ist der Aufwand für deren Sicherheit schier unvorstellbar. Die Flexibilität und Skalierbarkeit über diese gesamte Angriffsfläche hinweg ist für Organisationen, die zukunftsorientierte Sicherheitsoperationen aufbauen wollen, von entscheidender Bedeutung. Kurz gesagt: Die Antwort lautet “Nein”. Die Verbesserung der Automatisierung im SOC ist nicht alles.

In den nächsten beiden Teilen dieser dreiteiligen Blogserie werden wir uns ansehen, wie Security Orchestration, Automation and Response (SOAR) dazu beiträgt, die hier beschriebenen Probleme im aktuellen Zustand des SOC zu beheben, und was Organisationen für ein neues Jahrzehnt der SecOps beachten sollten.