Mit Unified-Endpoint-Management (UEM)-Systemen verwalten IT-Abteilungen alle Endgeräte im Netzwerk über eine zentrale Konsole. Inventarisierung, Asset-, Update- und Patch Management sind UEM-Kernbestandteile, aber auch das Schwachstellen (Vulnerability)-Management wird immer wichtiger. Dessen Verknüpfung mit weiteren Modulen und das Aufsetzen automatisierter Prozesse sind die Zutaten, die man für die Umsetzung eines SOAR-Konzeptes benötigt.
Security Orchestration, Automation and Response ist das neue Schlagwort in der Cyber-Sicherheit – eine Allzweckwaffe zum gebündelten Abarbeiten von Security-Aufgaben. Unter dem Begriff SOAR versammeln sich Funktionen, die darauf abzielen, durch Standardisierung und Priorisierung automatisiert und damit effizient auf erkannte Bedrohungen zu reagieren. Genau dies ist mit einer UEM-Lösung möglich, weshalb Unternehmen mit einem solchen System bereits mitten im Thema SOAR stecken. Durch ihre hohe Anzahl von Modulen für unterschiedliche Zwecke und deren Verbindung untereinander ist die ACMP Suite des UEM-Spezialisten Aagon prädestiniert für SOAR-Aufgaben. Aus dem Schwachstellen-Management lässt sich mit wenigen Klicks ein Prozess erstellen, der bestimmt, dass ein Patch zur Fehlerbehebung eingespielt wird.
Mehr als SIEM
Über SIEM-Systeme (Security Information and Event Management) hinaus, die einen Alarm auslösen und dann manuelles Eingreifen erfordern, umfasst SOAR auch die eigentliche Umsetzung. Der Fehler wird sowohl analysiert wie auch behoben. Vielfach werden beide Ansätze heute kombiniert, um die Cybersicherheit zu verbessern. Einige SIEM-Hersteller haben bereits SOAR-Funktionalitäten in ihre Produkte aufgenommen.
Endpoints sind das Haupteinfallstor fĂĽr Cyber-Attacken
Reine SOAR-Werkzeuge sind oft auf Enterprise-Umgebungen hin zugeschnitten und decken Schwachstellen über die ganze Bandbreite möglicher Sicherheitslücken ab: Clients, Server, Firewalls etc. Für viele Mittelständler ist ein solcher Ansatz zu aufwändig und teuer. Eingedenk der Tatsache, dass die Endpoints ohnehin Haupteinfallstor für Cyber-Attacken sind, liegt es nahe, ein SOAR-Konzept mit der vorhandenen UEM-Lösung umzusetzen. Sie enthält bereits die drei grundlegenden SOAR-Bausteine: Case- und Workflow-Management, Aufgabenautomatisierung sowie eine zentrale Methode, um Bedrohungsinformationen (Threat Intelligence) aufzurufen, zu durchsuchen und zu teilen.
Die Herausforderung dabei: Ein KMU hat in der Regel keine große IT-Abteilung mit Fachleuten für jede einzelne Security-Disziplin. SOAR muss für den Mittelstand deshalb unkompliziert anwendbar sein – wie etwa mit einer UEM-Konsole, über die SOAR-Prozesse automatisiert ablaufen. Die einzelnen UEM-Module generieren über Agenten ohnehin schon viele Inventardaten, die am Client entstehen und die für SOAR erforderlich sind. Das UEM führt sie an zentraler Stelle zusammen und prüft sie dort auf potenzielle Bedrohungen.
Abgleich von Endpoint-Daten mit der Schwachstellendatenbank
Identifiziert werden die Endpoint-Daten über Abgleich mit einer in das UEM integrierten (CVSS/CVE-)Schwachstellendatenbank. Sie hilft, den Schweregrad der Schwachstelle einzuordnen und entsprechend zu priorisieren. Über CVSS/CVE lassen sich dauerhafte Schwachstellen sowie die dazugehörigen Patches identifizieren. Beides wird miteinander verknüpft, so dass sich daraus für die Zukunft entsprechende Automatismen der Bekämpfung anlegen lassen.
Beispiel: Das Vulnerability-Management im UEM entdeckt in einer bestimmten Adobe-Reader-Version eines Clients einen Schwachpunkt. Per Mausklick errichtet der Admin einen Container (Filter), in den der betroffene Client (sowie zukünftig alle Clients automatisch, auf denen die Version ebenfalls läuft) verschoben wird und automatisch eine neue Version installiert. So kommt es zu keiner Arbeitsunterbrechung, und der nächste Client, bei dem die Schwachstelle auffällt, kommt sofort in diesen Container. Dadurch minimieren sich Ausfallzeiten. Viele Programme mit regelmäßigen Updates, die als Managed Software im UEM administriert werden, unabhängig von solch einem Container, werden automatisch aktuell gehalten und kommen somit gar nicht in eine solche Situation.
Analog zum Acrobat-Szenario lassen sich fast alle Arten von Third-Party-Anwendungen über UEM sauber halten. Automatisierte Reaktionen, zum Beispiel bei einem Virenfund durch den Microsoft Defender, können mit einer einheitlich verbundenen UEM-Lösung definiert werden. Der Defender stellt einen Virenfund fest und die UEM-Lösung löst eine Abkopplung vom Netz des betroffenen Clients aus. Je nach Umfang der Lösung, Aktualität der Schwachstelle, Art der betroffenen Komponente und persönlichem Vorgehen der IT-Abteilung wird nicht sofort auf jede Schwachstelle automatisiert reagiert. Auf bestimmte Incidents sollte der Admin manuell und nicht automatisiert reagieren. Auch möglich ist, dass noch kein Patch vom Softwarehersteller vorliegt. Dann muss der Admin je nach Schweregrad einschätzen, ob organisatorische Maßnahmen wie das Sperren von Ports oder das Sperren/Deinstallieren der Anwendung notwendig sind.
Alles in einer Oberfläche
Ein SOAR-Konzept umsetzen bedeutet, alle Security-Maßnahmen für die Endpoints – von der Diagnose bis zur Fehlerbehebung – aus derselben Oberfläche heraus zu orchestrieren. Eine Reporting-Funktion im UEM liefert zeitlich automatisch einstellbare Statusinformationen. In einem frei konfigurierbaren Dashboard kann der Administrator zusammenstellen, was im SOAR-Kontext angezeigt werden soll: Daten aus der CVE-Datenbank (Wo befinden sich die meisten betroffenen Rechner?), aktueller Patchstand, Auswertung des Defender (Gibt es gerade besonders viele Ereignisse, auf die er reagiert hat?) etc.
Auf diese Weise gelingt es auch mittelständischen Unternehmen mit kleinerem IT-Budget, ein zeitgemäßes SOAR-Konzept zur Sicherung ihres Netzwerkbetriebs aufzusetzen. Um es mit der ACMP Suite auszuprobieren, können Interessierte bei Aagon eine kostenlose Testversion unter www.aagon.com/testversion anfordern.
kommentar field