Managed Detection and Response
Spürhund für die IT
Fortsetzung des Artikels von Teil 1
Grenzen der SOAR-Tools
Warum dann nicht die IT-Sicherheit automatisieren? In vielen anderen Bereichen liegt Automatisierung schließlich voll im Trend. Eine SOAR-Lösung (Security Orchestration, Automation, and Response) kann die Mitarbeiter ebenfalls entlasten: Sie analysiert in Sekunden tausende Datensätze und kann durch diese Analysen Reports zu Angriffsvektoren erstellen. Hersteller solcher Werkzeuge werben damit, dass sie auch automatisch reagieren können – im Namen steckt schließlich „Response“.
Sogenannte Playbooks dienen als Basis für die Reaktion. Digitale Angriffe, zum Beispiel über Ransomware, ähneln sich. Sie entwickeln sich zwar kontinuierlich weiter, aber in den Grundstrukturen sind viele Angriffsszenarien vergleichbar. Die Playbooks geben quasi „Spielzüge“ vor, mit denen Betroffene auf Cyberattacken reagieren können. Wie gut ein SOAR-System ist, hängt von der Datenbank ab, auf die es zugreift. Ist diese Datenbank umfangreich und enthält Informationen zu vielen Angriffsvarianten und möglichen Reaktionen, kann das Security-System mehr leisten.
Je größer das Wissen ist, desto eher kann eine automatisierte Reaktion funktionieren.
Wirklich empfehlenswert ist die automatische Response trotzdem nicht. Die Erfahrung zeigt, dass der eigenständige Eingriff eines digitalen Systems in den Netzbetrieb hohe Risiken mit sich bringt: Wenn das SOAR-Tool ohne Rückkopplung mit verantwortlichen Personen Verbindungen kappt oder Teile der digitalen Infrastruktur herunterfährt, kann das großen wirtschaftlichen Schaden nach sich ziehen. Im schlimmsten Fall geht der ganze Produktionsstandort vom Netz. Auch wenn sich alle Tätigkeiten des SOAR-Systems manuell rückgängig machen lassen: Das kostet Zeit.
Ohne Menschen geht es nicht
Die Gefahrenanalyse lässt sich über ein solches Werkzeug abwickeln. Ebenso bieten Vorschläge aus den Playbooks in der Datenbank gewisse Vorteile. Denn beim Datenabgleich und der Datenreferenzierung ist die Maschine schneller und weniger fehleranfällig als der Mensch. Dieser sollte aber die finale Instanz sein, um eine Maßnahme freizugeben – oder eben nicht. Alles weitere kann dann wieder automatisch ablaufen. Entscheidungen, die möglicherweise Auswirkungen auf Bereiche außerhalb der Zuständigkeit des Programms haben, sollte jemand treffen, dessen Entscheidungsfindung nicht von einer eindeutigen Programmierung abhängt.
Natürlich können Beschäftigte im Unternehmen dies bewerkstelligen. Aber wie beim eigenen SOC schwingt wieder das Personalproblem mit. Bei MDR übernimmt eine Security-Fachkraft, die sich auf diesen Bereich konzentrieren kann, die Bedrohungsanalyse und die Reaktion darauf. Security ist bei MDR schließlich Tagesgeschäft.
Ein eigenes SIEM- oder SOAR-Tool ist keinesfalls unnütz. Doch da sich Bedrohungsszenarien konstant weiterentwickeln, ist es ratsam, die Abwehr einem Experten zu überlassen. Denn die Existenz eines SIEM- oder SOAR-Systems allein reicht nicht aus. Ein Unternehmen sollte Security sollte nicht als Einzelmaßnahme sehen: IT-Sicherheit ist ein Prozess. Gerade Betriebe, die nicht die Zeit oder Ressourcen aufbringen können, um ihre Security-Systeme auf Stand zu halten, tun gut daran, externe Experten damit zu beauftragen.
Anforderungen an MDR-Anbieter
Bei der Auswahl des richtigen MDR-Partners sollten Unternehmen genau hinschauen und sich nicht von den „neuesten“ und „besten“ Technologien blenden lassen: Sie brauchen keinen Supersportwagen, wenn ein Kombi für die Aufgabe besser geeignet ist. Im Fall von MDR sollte der MSSP auf Security spezialisiert sein. Erfahrungsberichte und Referenzen helfen, die Fähigkeiten des potenziellen Partners einzuschätzen. Wenn in den Use Cases ähnliche Unternehmen wie das eigene vertreten sind, ist das ein gutes Zeichen. Wichtig ist, dass die eigenen Systeme mit denen des MSSPs kompatibel sind. Der Dienstleister sollte mit dem vorhandenen Software-Stack arbeiten können.
Normalerweise bieten MSSPs mehrere Service-Pakete. Je nachdem, welche Anforderungen bestehen, sollte der Dienstleister neben Standardangeboten auch individuelle Lösungen zusammenstellen können. Zumindest zu den Arbeitszeiten des Unternehmens sollte er bereitstehen. Außerhalb dieser Zeiten kann zwar auch etwas passieren – aber es hilft wenig, wenn MSSP-Fachleute ein Problem feststellen, während beim Kunden niemand erreichbar ist, der Maßnahmen autorisieren kann.
Mit Profis gegen Profis
Kriminelle, die ernstzunehmende Angriffe durchführen, kennen sich aus. Sie nutzen jede Waffe, die ihnen ihr digitales Arsenal bietet. Haben sie sich erstmal in einer digitalen Infrastruktur festgesetzt, kann sich ihr Einfluss und der Schaden, den sie anrichten können, schnell ausbreiten. Darum ist es wichtig, die Eindringlinge aufzuspüren. Ein Security-Dienstleister, der die Systeme durchkämmt, Schädlinge ausfindig macht und sie ausräuchert, schaufelt der Untrenehmens-IT Kapazitäten frei, sich um das Tagesgeschäft zu kümmern.
Wolfgang Kurz ist Geschäftsführer und Gründer von Indevis.
- Spürhund für die IT
- Grenzen der SOAR-Tools
Lesen Sie mehr zum Thema
