Umfassendes IT-Monitoring ist der erste Schritt, die Reaktion bei Verdachtsfällen der zweite. Die Automatisierungslösungen dafür lauten SIEM und SOAR.
Zwei Begriffe, die bei der Automatisierung der IT-Security eine Rolle spielen, sind SIEM (Security Information and Event Management) und SOAR (Security Orchestration, Automation and Response. Eine klassische SIEM-Lösung sammelt Informationen aus verschiedenen Logdateien und bereitet sie auf. Die Daten können z.B. von geschäftlich genutzten Applikationen, Ereignissen im Netz oder auch von den Clients und Servern im Netzwerk oder der Cloud stammen.
Quellensammlung SIEM
SIEM-Lösungen sind entstanden, weil es heutzutage schier unmöglich geworden ist, alle Sicherheitsprobleme einer verteilten IT-Umgebung zu erkennen, zu analysieren und rasch darauf zu reagieren. Ein SIEM erledigt einen großen Teil dieser Aufgaben, indem es anfallende Daten aggregiert und darin nach auffälligen Mustern sucht. SIEM-Lösungen arbeiten in der Regel jedoch menschlichen Analysten zu, die dann passende Gegenmaßnahmen ergreifen. Das unterscheidet ein SIEM von SOAR-Plattformen.
SOAR-Lösungen sammeln ebenfalls sicherheitsrelevante Daten, können aber auch automatische Reaktionen einleiten. Zudem sind sie in der Regel keine monolithischen Anwendungen. Stattdessen steuern sie meist verschiedene Systeme, die von ihnen also „orchestriert“ werden. Einer der Vorteile ist, dass sie sich dadurch leichter in bestehende IT-Landschaften integrieren lassen.
Firmen wie Exabeam haben bereits sogenannte Next-Generation-SIEM-Plattformen entwickelt, die einen Teil der anfallenden Aufgaben automatisch erledigen und mithilfe von künstlichen Intelligenzen und Machine Learning zwischen verdächtigen Ereignissen und plausiblem Nutzerverhalten unterscheiden können. Bisher benötigte manuelle Prozesse lassen sich dann mithilfe von Playbooks automatisieren. Dadurch verwischen allmählich die Grenzen zu SOAR-Plattformen, die ebenfalls solche Playbooks nutzen.
SOAR, die Reaktionsregie
Nach Ansicht von Reinhold Zurfluh, Head of Marketing beim Schweizer IT-Security-Anbieter Infoguard müssen SIEM- und SOAR-Lösungen einander auch gar nicht ausschließen. So nutzen nach seinen Angaben bereits viele Firmen SOAR-Produkte, mit denen sie die vorhandene SIEM-Lösung ergänzen.
Der Sicherheitsanbieter Palo Alto Networks hat mit Cortex XSOAR nicht nur eine eigene SOAR-Plattform im Portfolio. Das Unternehmen hat sich zudem in seinem The State of SOAR Report 2020 ausführlich mit der Materie beschäftigt. Darin geht es unter anderem um das Thema „Alert Fatigue“. Damit ist gemeint, dass überlastete Sicherheitsexperten mit der Zeit an Effizienz verlieren. Covid-19 hat diese Situation noch verschlimmert: Laut Palo Alto Networks ist bei 47 Prozent der befragten Unternehmen die Zahl der Alerts seit Beginn der Pandemie um durchschnittlich rund 34 Prozent gestiegen.
Und auch die Gegenseite ist nicht untätig. So weist Corey Nachreiner, CTO beim amerikanischen Firewall-Anbieter Watchguard, darauf hin, dass sich „die Möglichkeiten der Automatisierung in unterschiedlicher Richtung“ nutzen lassen, davon könne ein Krimineller genauso profitieren. Die Zukunft der Cybersicherheit sieht dann vielleicht so aus, dass KI- oder ML-Algorithmen sich gegenseitig bekämpfen. Nachreiner geht insgesamt aber davon aus, dass die „Automatisierung im IT-Security-Umfeld mehr Gutes als Schlechtes bewirken wird.“
Und neue Risiken
IT-Security-Automatisierung hat handfeste Vorteile. Es werden weniger Mitarbeiter benötigt, die auch weniger ermüdende Aufgaben erfüllen müssen, was das Risiko menschlicher Fehler senkt. Die Systeme lassen sich auch ausgezeichnet skalieren und anpassen – und sie sind letztlich verlässlicher, da sie insgesamt weniger fehleranfällig sind als manuelle Abläufe.
Andererseits macht Automatik träge. Die verbliebenen Experten verlassen sich dann möglicherweise zu sehr auf die automatischen Prozesse. Und irgendwann müssen sie feststellen, dass ihr System von einer neuen Angriffsmethode doch überlistet wurde.