Materna Teil 1 – Auf Angriffe schneller reagieren mit SecOps

Warnungen von SIEM-Systemen sind in der Regel der Auslöser für das weitere Vorgehen. In vielen Fällen muss die Warnung gezielt durch Security-Verantwortliche bewertet und die Ursache während des Betriebs behoben werden. Dies funktioniert nur durch eine effiziente Kommunikation sowie den Zugriff auf aktuelle Daten über Bestandteile und Abhängigkeiten der vorhandenen IT-Systeme. Diese sind in komplexen IT-Umgebungen nicht leicht überschaubar. Zusätzlich sind Kompetenzen und Aufgaben oftmals auf verschiedene Teams verteilt. Fehlen diese Informationen, kann auf die Warnungen der Angriffserkennung nicht in einer angemessenen Zeit reagiert werden. Die Weiterleitung von genau den zur Bearbeitung benötigten Informationen an das richtige IT-Team ist eine Kernkompetenz einer IT-Service-Management (ITSM)-Suite. Genauso, wie das Aufzeigen von Abhängigkeiten zwischen Infrastruktur, Anwendungen und Services. Mit der Darstellung der Warnmeldungen aus der Angriffserkennung in einer ITSM-Suite und einem dazu passenden Prozess stellen Sie sicher, dass auf eine Angriffserkennung auch eine schnelle Reaktionsmaßnahme folgt.

Ein Beispiel für eine ITSM-Plattform ist OpenText SMAX (Service Management Automation X). Konkret lässt sich SMAX nahtlos in den Security-Prozess einbinden, in dem es per Schnittstelle die Warnmeldungen der Angriffserkennung (z.B. Elastic oder ArcSight) automatisch empfängt. Die Meldungen werden zentral dokumentiert und sind somit auch verwaltbar und auditierbar, wenn automatisierte Reaktionsmaßnahmen erfolgen. Darüber hinaus stehen diese sensiblen Daten ausschließlich dem Security-Team zur Bewertung zur Verfügung, können jedoch je nach Situation dem Incident-Response Team oder jedem benötigten Betriebsteam übermittelt werden. Security, als bedeutender Baustein der IT-Prozesslandkarte, wird in SMAX prozessübergreifend folgendermaßen unterstützt:

Bei einem Sicherheitsvorfall ist es wichtig, die Bearbeitung zu koordinieren und alle relevanten Informationen zu dokumentieren. SMAX ermöglicht dafür die Aufzeichnung von Ereignissen, die verschiedensten Quellen gemeldet wurden. Dies können die eigenen Mitarbeitenden, aber auch ein SIEM-Tool sein. Dabei werden automatisch Details wie Zeitstempel, betroffene Systeme und die Art des Vorfalls dokumentiert. SMAX unterstützt neben der Verwaltung auch die Bearbeitung von Sicherheitsvorfällen. So sind vordefinierte Playbooks vorhanden, an denen sich während der Bearbeitung orientiert werden kann. Wenn ein Sicherheitsvorfall auftritt, können IT-Teams Änderungen an den betroffenen Systemen verfolgen und direkt per Security Emergency Change alle Vorgaben im Change Management einhalten und nachweislich dokumentieren. Dies umfasst u. a. Aktualisierungen, Patches und Konfigurationsänderungen.

Sobald deutlich wird, dass ein ungewolltes Eindringen erfolgt ist, kann die Analyse des Ausmaßes und der betroffenen Daten gesondert als ein Breach Event dokumentiert und bearbeitet werden. Somit können parallel zur Behandlung des Security Incidents diese Fragen fokussiert adressiert werden. Dafür stehen dedizierte Bearbeitungsmasken und Funktionalitäten zur Verfügung und selbstverständlich sind alle Informationen aus der Betrachtung des Security Incidents direkt verfügbar, sodass keine Informationen verloren gehen.

SMAX bietet eine zentrale Ansicht, um alle betroffenen Geräte und Services zu überwachen. Dies ermöglicht es Sicherheitsteams, schnell zu reagieren und potenziell gefährdete Bereiche zu identifizieren. Wiederholte und automatisierte Discovery Scans garantieren dabei eine fortlaufende Aktualität.

Bei einem Sicherheitsvorfall ist eine zielgerichtete und schnelle Kommunikation entscheidend. SMAX ermöglicht die Erstellung von verschiedenen Vorlagen für die Benachrichtigung von Behörden, Stakeholdern und Mitarbeitenden. Durch einen definierten Workflow wird eine kontrollierte Kommunikation durch dafür befähigte Mitarbeitende gesteuert. Dies hilft, die Transparenz zu wahren und die jeweils benötigten Informationen gezielt mitzuteilen.

SMAX kann Sicherheitsrichtlinien an Mitarbeitende und Agenten kommunizieren. Dies umfasst bewährte Verfahren, Sicherheitsbewusstsein und Verhaltensregeln. Diese werden zentral gepflegt und stehen dadurch immer in aktueller Version zur Verfügung. Agenten bekommen diese an passender Stelle in ihrem Arbeitsprozess angeboten. Für Mitarbeitende stehen sie im Self-Service Portal zur Einsicht bereit.

SMAX unterstützt das Risikomanagement, indem es Risiken bewertet, priorisiert und überwacht. Dies hilft, potenzielle Sicherheitslücken zu identifizieren, proaktiv zu handeln und geeignete Maßnahmen zu ergreifen. Um diese Maßnahmen aktiv zu managen, bietet SMAX neben einem Risikoregister ein daran geknüpftes Maßnahmenregister an.

Um auf einen größeren Sicherheitsvorfall vorbereitet zu sein, ist eine Notfallplanung im Rahmen eines Business Continuity Managements unerlässlich. In SMAX können dafür Notfallpläne erstellt und verwaltet werden, um sicherzustellen, dass Teams im Notfall effektiv reagieren können. Des Weiteren werden Tests und Übungen dokumentiert. Beim Eintreffen eines Notfalls stellt SMAX für die Verantwortlichen übersichtlich die durchzuführenden Schritte dar und unterstützt die Steuerung der Notfallmaßnahmen und deren Protokollierung.

Um die Angriffserkennung kontinuierlich zu aktualisieren und zu verbessern, müssen die verwendeten Use Cases erweitert werden und die Liste, der zu überwachenden Assets aktuell sein. SMAX ermöglicht dafür die Einbindung und Verwaltung von zu überwachenden Assets. Zusätzlich können in SMAX alle verwendeten Use Cases dokumentiert, überprüft und genehmigt werden. So wird sichergestellt, dass jederzeit schnell einsehbar ist, wie die Angriffserkennung aufgestellt ist.

Insgesamt bietet OpenText SMAX eine leistungsstarke Plattform für das Security Management. Es ermöglicht Unternehmen eine transparente, nachweisliche Dokumentation der Sicherheitsereignisse und gleichzeitig die Sicherheit ihrer IT-Systeme zu gewährleisten.

Der zweite Teil folgt demnächst. In dem stellen wir Ihnen die SecOps-Lösung von ServiceNow vor.

Hier findest du alle drei Teile zum Thema "Security Operations" von Materna:

• Auf Angriffe schneller reagieren mit SecOps – Teil 1
• Auf Angriffe schneller reagieren mit SecOps – Teil 2
• Auf Angriffe schneller reagieren mit SecOps – Teil 3