Effektive Bedrohungserkennung im Security Operation Center (SOC)

Dieser Blogbeitrag beschäftigt sich mit neuesten Entwicklungen in der Toollandschaft und Arbeitsweisen im Security Operation Center (SOC), das sich insbesondere auf die Behandlung von Sicherheitsvorfällen (Bedrohungserkennung, Analyse und Incident Response) konzentriert, um Cyber-Security-Resilienz zu gewährleisten. Das Hauptziel eines SOC ist der Schutz einer oder mehrerer Organisationen vor Bedrohungen der IT-Sicherheit. Das Aufgabenfeld eines SOC umfasst jedoch nicht ausschließlich die Behandlung von Sicherheitsvorfällen, sondern auch Präventiv- und Wartungsmaßnahmen wie das Schwachstellenmanagement, Sensibilisierungsmaßnahmen, Analyse von Bedrohungsinformationen sowie die fortlaufende Weiterentwicklung der Tools. Darüber hinaus hat ein SOC die Aufgabe, den CISO bzw. CIO regelmäßig über die Bedrohungslage und Sicherheitsvorfälle zu informieren.

Anhand der Alarmierung und weiterer Analysen im SOC kann beurteilt werden, ob geeignete Maßnahmen erforderlich sind, um die Sicherheit des Netzwerkes und der Endgeräte zu gewährleisten.

Vom Auftreten der Anomalie bis hin zur ggf. erforderlichen Wiederherstellung durchläuft das Event, das zu einem Alarm geführt hat, mehrere Bearbeitungsschritte. Hierzu gehören die Erkennung, Triage, Qualifizierung, Untersuchung, Reaktion und Wiederherstellung. Es ist jedoch nicht erforderlich, dass jeder Fall alle Schritte durchläuft. False-Positives können oft schon im zweiten oder dritten Schritt identifiziert werden. Gleichzeitig erfordert nicht jeder True-Positive-Alarm eine Wiederherstellung. Die Wirksamkeit und Zuverlässigkeit der Erkennung sowie der darauffolgenden Maßnahmen können anhand von Key Performance Indicators (KPI) gemessen werden. So wird die Genauigkeit der Erkennungssysteme anhand der False-Positive- und False-Negative-Rate gemessen. Die False-Positive-Rate ergibt sich aus dem Routinebetrieb eines SOC. So werden True-Positive-Alarme durch Analysten basierend auf deren Kenntnissen über Schwachstellen sowie im Austausch mit dem Anwender, der Administratorin oder dem Dienstleister identifiziert. Eine False-Negative-Rate kann hingegen nur durch Penetrationtests oder zu spät erkannte Sicherheitsvorfälle identifiziert werden.

Die Zeit spielt eine entscheidende Rolle und ist ein weiterer wichtiger Faktor bei der Erkennung von Bedrohungen für Netzwerke und Endgeräte.

Eine zentrale Kennzahl bei der Messung der Reaktionszeiten eines SOC ist zunächst einmal die mittlere Erkennungszeit (MTTD = mean time to detect). Die MTTD gibt an, wie viel Zeit zwischen dem Auftreten des Ereignisses und dessen Erkennung verstreicht. Die Erkennungszeit kann am effektivsten durch die verwendete Hard- und Software beeinflusst werden, die zur Erkennung eingesetzt wird. Je höher die Frequenz ist, mit der Logdateien übertragen, korreliert und mit Erkennungsregeln abgeglichen werden, umso geringer ist die Erkennungszeit. Effiziente Algorithmen und hohe Rechenleistung sind Voraussetzung für eine kurze Erkennungszeit.

Ab dem Zeitpunkt der Erkennung werden im klassischen SOC weitere Schritte unternommen und die Zeit bis zur abschließenden Wiederherstellung (MTTR = mean time to recover) wird hierbei typischerweise gemessen. Dabei sind die Analysten gefragt und nutzen hierfür ein Security Information and Event Management (SIEM) System. In der SIEM-Lösung laufen die Log- und Bedrohungs-Informationen zusammen, die Erkennungsregeln werden ausgeführt und Analysten können auf Basis der Daten, die zum Alarm vorliegen, weitere Analysen durchführen. Mit Hilfe von zusätzlichen Logdaten können beispielsweise die Ereignisse vor dem verdächtigen Angriff rekonstruiert und dessen Ursachen ermittelt werden. Auch die Analyse von E-Mail-Eingängen, Webzugriffen oder Zugriffe auf externe Speichermedien kann in der SIEM-Lösung erfolgen und zur Identifikation von Schadsoftware beitragen.

Die Erkenntnisse der Analyse ab Alarmierung eines verdächtigen Ereignisses – ob False-Positive oder True-Positive – können wiederum für die Verbesserung der Erkennung selbst genutzt werden. Eine verbesserte Erkennung von Anomalien kann die Kennzahlen im gesamten Prozess positiv beeinflussen. So kann die False-Positive-Rate gesenkt werden, indem z.B. bekannte legitime Vorgänge in einer Allow List eingetragen werden. Was in der Allow List steht, wird nicht alarmiert. Die False-Negative-Rate kann gesenkt werden, indem umgekehrt bekannte illegitime Vorgänge und IOCs in der Deny List eingetragen werden. Was in der Deny List steht, wird grundsätzlich alarmiert. Die MTTD kann gesenkt werden, indem neue Erkennungsmerkmale in den Erkennungsregeln ergänzt werden, die eine Anomalie schneller und einfacher identifizierbar macht. Die benötigte Zeit für alle nachfolgenden Schritte kann gesenkt werden, indem die Alarme durch Information aus den Logdateien oder auch aus externen Quellen ergänzt werden. Ein Kreislauf-Prozess, der konsequent die Verwendung von Analyseergebnissen zur Verbesserung der Anomalie-Erkennung nutzt, wird Observe-Orient-Decide-Act-Kreislauf (OODA loop) genannt.

Die oben beschriebenen Prozesse können im SOC mithilfe eines Security Orchestration Automation and Response (SOAR) Systems automatisiert und orchestriert werden. Ein SOAR bietet ähnlich wie ein SIEM, die Funktion der Korrelation von Daten aus verschiedenen Quellen und des Abgleichs mit Erkennungsregeln. Zusätzlich kann die SOAR-Lösung auch automatisiert auf Alarme reagieren – vom Versand von E-Mails mit Informationen zu dem Vorfall bis zum Isolieren eines Host. Durch die Automatisierung kann die benötigte Zeit ab der Erkennung eines sicherheitsrelevanten Ereignisses bis zur Mitigation des Vorfalls signifikant reduziert werden. Ein SOAR kann die Funktionen eines SIEM ersetzen, oder parallel dazu betrieben werden und dieses als Datenquelle nutzen. Es kann auch dazu beitragen, dass Analysten weniger Zeit mit repetitiven Aufgaben verbringen und stattdessen mehr Zeit darauf verwenden können, Erkennungsregeln zu verbessern oder Threat Hunting durchzuführen. Die gewonnene Zeit kann für gezieltere Analyse und z.B. Kommunikation mit Anwendern und Kunden genutzt werden

Eine Neuentwicklung von Microsoft mit dem Namen Microsoft Security Copilot, basierend auf Grundlage von Open AI GPT-4 hat das Potenzial, Analysten ernsthaft Konkurrenz machen. Auf demselben Sprachmodell basiert das in den letzten Monaten vieldiskutierte Dialogsystem ChatGPT. Microsoft Security Copilot kann mit Daten aus Sicherheitsmodellen angelernt werden und dabei unterstützen, Bedrohungen zu erkennen.

Durch die Verwendung des in diesem Artikel beschriebenen OODA-Loops kann einerseits die Erkennung von Angriffen verbessert werden, während  andererseits wertvolle Zeit ab der Erkennung eines Angriffs bis zur Reaktion gewonnen werden kann, indem die vorgestellten Werkzeuge genutzt werden. Dadurch kann die Effizienz eines SOC erheblich gesteigert werden, was insgesamt zu einem signifikanten Sicherheitsgewinn führt. Es ist jedoch zu berücksichtigen, dass die Werkzeuge selbst auch Ziel eines Angriffs sein können und daher angemessene Maßnahmen zum Schutz der Werkzeuge getroffen werden müssen.

Mit unseren Managed Security Services starten auch Sie sicher in die Zukunft. Jetzt unverbindlich beraten lassen und informieren unter: Managed Security Services