ADMIN

2023

02

2023-01-31T12:00:00

Endpoint Security

SCHWERPUNKT

091

Sicherheit

Security Orchestration, Automation and Response

SOAR via Clientmanagement

Duales Konzept

von Sebastian Weber

Veröffentlicht in Ausgabe 02/2023 - SCHWERPUNKT

In der Cybersicherheit lautet ein neues Schlagwort: Security Orchestration, Automation and Response – SOAR. Die Technologie ist quasi eine Allzweckwaffe zum gebündelten Abarbeiten von Securityaufgaben. Doch hat jedes KMU, das seine Endpoints bereits über eine Clientmanagement- Software administriert, im Prinzip schon alle Zutaten beisammen, die es für SOAR benötigt.

Unter dem Begriff SOAR versammeln sich Funktionen, die darauf abzielen, durch Standardisierung und Priorisierung automatisiert und damit effizient auf erkannte Bedrohungen zu reagieren. Die drei grundlegenden SOARBausteine für Sicherheitsteams sind: Caseund Workflow-Management, Aufgabenautomatisierung sowie eine zentrale Methode, um Bedrohungsinformationen (Threat Intelligence) aufzurufen, zu durchsuchen und zu teilen.
Gute Gründe, Sicherheitsaufgaben zu orchestrieren und zu automatisieren, gibt es viele. So etwa die fehlende Zeit, weil manuelle Eingriffe und Suchen nach Sicherheitsvorfällen zu lange dauern. Auch hilft ein solches Vorgehen, den Umgang mit Incidents zu standardisieren, zu priorisieren oder auch zu kategorisieren. Ein dritter wichtiger Faktor ist das Erfüllen von Compliance-Vorgaben durch planbare Schwachstellenscans.
SOAR vs SIEM
Anders als SIEM-Systeme (Security Information and Event Management), die allein den Alarm auslösen, aber darüber hinaus manuelle Maßnahmen erfordern, umfasst SOAR auch die eigentliche Umsetzung. Das heißt die Analyse des Fehlers und seine automatische Behebung. Gemeinsam haben beide Konzepte also, dass sie Sicherheitsinformationen aus verschiedenen Quellen suchen. Der SOAR-Ansatz geht jedoch darüber hinaus. Daher werden beide inzwischen heute auch vielfach miteinander kombiniert, um die Cybersicherheit zu verbessern, und einige SIEM-Hersteller haben bereits SOAR-Funktionalitäten in ihre Produkte aufgenommen.
Unter dem Begriff SOAR versammeln sich Funktionen, die darauf abzielen, durch Standardisierung und Priorisierung automatisiert und damit effizient auf erkannte Bedrohungen zu reagieren. Die drei grundlegenden SOARBausteine für Sicherheitsteams sind: Caseund Workflow-Management, Aufgabenautomatisierung sowie eine zentrale Methode, um Bedrohungsinformationen (Threat Intelligence) aufzurufen, zu durchsuchen und zu teilen.
Gute Gründe, Sicherheitsaufgaben zu orchestrieren und zu automatisieren, gibt es viele. So etwa die fehlende Zeit, weil manuelle Eingriffe und Suchen nach Sicherheitsvorfällen zu lange dauern. Auch hilft ein solches Vorgehen, den Umgang mit Incidents zu standardisieren, zu priorisieren oder auch zu kategorisieren. Ein dritter wichtiger Faktor ist das Erfüllen von Compliance-Vorgaben durch planbare Schwachstellenscans.
SOAR vs SIEM
Anders als SIEM-Systeme (Security Information and Event Management), die allein den Alarm auslösen, aber darüber hinaus manuelle Maßnahmen erfordern, umfasst SOAR auch die eigentliche Umsetzung. Das heißt die Analyse des Fehlers und seine automatische Behebung. Gemeinsam haben beide Konzepte also, dass sie Sicherheitsinformationen aus verschiedenen Quellen suchen. Der SOAR-Ansatz geht jedoch darüber hinaus. Daher werden beide inzwischen heute auch vielfach miteinander kombiniert, um die Cybersicherheit zu verbessern, und einige SIEM-Hersteller haben bereits SOAR-Funktionalitäten in ihre Produkte aufgenommen.
Reine SOAR-Werkzeuge sind oft auf Enterprise- Umgebungen hin zugeschnitten und decken Schwachstellen über die ganze Bandbreite möglicher Sicherheitslücken ab: Clients ebenso wie Server, Firewalls et cetera. Für viele Mittelständler sind solche Ansätze schlicht zu komplex und teuer.
Betrachten wir hingegen nur die Endpoints – ohnehin eines der Haupteinfallstore für Sicherheitsbedrohungen –, liegt der Gedanke nahe, SOAR über ein Clientmanagement- System umzusetzen, inzwischen auch bekannt unter dem Terminus Unified Endpoint Management (UEM). Während Clientmanagement sich auf die Clients beschränkt, umfasst UEM die Administration aller Endgeräte.
Bereits vorliegende Daten nutzen
Mit UEM verwalten IT-Abteilungen alle Endgeräte im Netzwerk über eine zentrale Konsole. Neben Inventarisierung, Asset-, Update- und Patchmanagement gehört heute auch das Schwachstellen (Vulnerability)-Management zu den festen Modulen eines UEM. Sobald IT-Verantwortliche dies mit weiteren Modulen verknüpfen und daraus automatisierte Prozesse ableiten, sind sie bereits mittendrin im Thema SOAR.
Wo es in großen Unternehmen jeweils eigene Teams für Security, UEM, Patching und so weiter gibt, die zusammenarbeiten, müssen KMU das komplexe Thema Sicherheitsanalyse und Abwehr mit deutlich dünnerer Personaldecke bewältigen. SOAR muss für den Mittelstand deshalb unkompliziert anwendbar sein. Eine UEM-Konsole, über die SOAR-Prozesse automatisiert ablaufen, ist dafür das geeignete Vehikel. Aus dem Schwachstellenmanagement lässt sich hier mit wenigen Klicks ein Prozess erstellen, der bestimmt, dass ein Patch zur Fehlerbehebung eingespielt wird.
Das Konzept dahinter: Die einzelnen Komponenten eines UEM generieren über Agenten ohnehin schon viele Daten, die am Client entstehen und die für SOAR erforderlich sind. Diese gilt es dann im Prinzip nur noch an zentraler Stelle zu sammeln, zu analysieren und zu priorisieren. So sind weniger Schnittstellen notwendig und Synergieeffekte lassen sich realisieren, indem alle Daten aus der Inventarisierung zu jedem Zeitpunkt zur Verfügung stehen und auf ihrer Grundlage weitergehende Aktionen möglich sind.
Basierend auf der Fehleranalyse lassen sich Automatismen definieren, die die Schwachstelle bei Auftreten ohne manuelles Zutun schließen. Ein SOAR-Konzept lässt sich also recht einfach mit den Mitteln von UEM umsetzen. Einzige, aber wichtige Bedingung: Das UEM erfasst wirklich alle relevanten Daten des Clients.
Bild 1: Statt unterschiedlicher Softwarekategorien für die verschiedenen Phasen einzusetzen, erlaubt ein UEM oft, alle SOAR-Aktivitäten zentral zu managen.
SOAR im Zusammenspiel mit UEM
Basis für SOAR sind die Inventardaten der Endpoints, deren Verarbeitung durch Module des UEM zu SOAR werden. An zentraler Stelle führt das UEM die Endpunktdaten zusammen und prüft sie dort auf potenzielle Bedrohungen. Identifiziert werden sie über einen Abgleich mit einer in das UEM integrierten Schwachstellendatenbank. Gängiger Standard ist hier eine CVSS/CVE-Datenbank, die hilft, den Schweregrad der Schwachstelle einzuordnen und entsprechend zu priorisieren.
Über CVSS/CVE lassen sich dauerhafte Schwachstellen sowie die dazugehörigen Patches identifizieren. Beides wird miteinander verknüpft, sodass sich daraus für die Zukunft entsprechende Automatismen der Bekämpfung anlegen lassen. Die Integration einer solchen Datenbank ist daher Bedingung, wenn UEM-Mittel als Basis für ein SOAR-Konzept dienen sollen.
Wir möchten dies mit einem Beispiel konkretisieren: Das Vulnerability-Management im UEM entdeckt in einer bestimmten Adobe-Reader-Version eines Clients eine Verwundbarkeit. Per Mausklick errichtet der Admin einen Container, in den der betroffene Client (sowie in einem automatisierten Prozess alle, auf denen die Version ebenfalls läuft) zur Isolation verschoben wird. So kommt es zu keiner Arbeitsunterbrechung und der nächste Client, bei dem die Schwachstelle auffällt, kommt sofort in einen Container. Dadurch minimieren sich Ausfallzeiten. Viele Programme mit regelmäßigen Updates, die als Managed Software im UEM administriert werden, sind für eine solche Behandlung prädestiniert. Nicht nur Acrobat-Updates und Windows-Patches, sondern Third-Party- Anwendungen von Chrome bis 7ZIP lassen sich über das UEM sauber halten bis hin zu Befehlen an Switches, bestimmte Ports zu schließen.
Welche Bestandteile (Client oder Anwendung) in die Quarantäne gehen, lässt sich differenzieren und über das Defender Management im UEM abbilden. Es wird also nicht auf jede Schwachstelle sofort reagiert. Auf bestimmte Incidents wie etwa in der Firewall-Einstellung kann der Admin gar nicht reagieren, hier gilt es, einen Port zu sperren. Zusätzlich kann es auch sein, dass noch kein Patch vom Softwarehersteller vorliegt. Dann muss der Admin je nach Schweregrad einschätzen, ob organisatorische Maßnahmen wie das Sperren von Ports oder das Sperren/Deinstallieren der Anwendung notwendig sind.
Bild 2: Frei konfigurierbare UEM-Dashboards wie hier von Aagon ermöglichen SOAR-Reporte.
Incidents mit Jobs verknüpfen
Im Anschluss koppelt der IT-Verantwortliche an den Container einen Job, etwa "Aktualisiere Acrobat Reader auf neuesten Stand". Die Schwachstelle ist damit behoben. Solche Reaktionsroutinen beim Fund von Schwachstellen lassen sich im UEM im Vorhinein definieren. So hat Aagon beispielsweise bei Log4Shell/Log4j ein sogenanntes Client Command ausgeliefert. Dabei handelt es sich um Routinen, über die sich beispielsweise die Softwareverteilung individuell anpassen lässt. In besagtem Fall stellte das Client Command eine Liste der von der Schwachstelle betroffenen Systeme oder Programme zusammen.
Wo also laut Gartner für die verschiedenen Phasen des Erkennungsprozesses jeweils unterschiedliche Softwarekategorien erforderlich sind – von Incident Management über Update bis zum Changemanagement – verwaltet das UEM-System den gesamten Prozess der Automatisierung und Orchestrierung über nur eine Anwendung. Die Vorteile sind ein deutlich geringerer Aufwand und es ist weniger fachspezifisches Know-how erforderlich.
Zusätzlich zum beschriebenen Verfahren des CVSS/CVE-Abgleichs kann auch das Defender Management auf Virenvorfälle reagieren. Wird ein Virus gefunden, landet er in der zentralen Quarantäne. Dann klemmt der IT-Verantwortliche den Rechner vom Netz ab und sieht sich erst einmal alles genau an. Auch hier wird dann wieder ein Container erzeugt, ein Filter definiert und anschließend die daraus resultierende Aktion angestoßen. Aus der Quarantäne heraus oder auch direkt lassen sich diese schädlichen Dateien sicher löschen. Über die Kommando-Bibliothek des UEM ist sogar noch mehr möglich: Registry-Einträge anpassen, Webseiten mit bestimmten Dateien sperren oder Maßnahmen gegen den Download solcher Files.
Reporting über SOAR-Dashboard
Der zentrale Vorteil der Umsetzung eines SOAR-Konzepts mit UEM liegt also darin, dass die Orchestrierung aller Securitymaßnahmen für die Endpoints – von der Diagnose bis zur Fehlerbehebung – aus derselben Oberfläche heraus erfolgt. Das bedeutet weniger Anwendungen für die IT-Abteilung und Fachkräfte können leichter angelernt werden.
Eine Reportingfunktion im UEM liefert zeitlich automatisch einstellbare Statusinformationen. In einem frei konfigurierbaren Dashboard kann der Administrator zusammenstellen, was im SOAR-Kontext angezeigt werden soll: Daten aus der CVE-Datenbank (Wo befinden sich die meisten betroffenen Rechner?), aktueller Patchstand, Auswertung des Defender (Gibt es gerade besonders viel Ereignisse, auf die er reagiert hat?) et cetera. Auf diese Weise können auch mittelständische Unternehmen mit kleinerem IT-Budget ein zeitgemäßes SOAR-Konzept zur Sicherung ihres Netzwerkbetriebs aufsetzen.
Fazit
Bei SOAR geht es darum, Funktionen bereitzustellen, mit denen IT-Abteilungen automatisch Bedrohungen erkennen und auf diese standardisiert wie priorisiert reagieren können. Die Orchestrierung und Automatisierung von Securityaufgaben macht das Schwachstellenmanagement effizienter. Und weil Letzteres eine UEM-Kernkomponente ist, eignen sich solche Werkzeuge, eine SOAR-Strategie umzusetzen.
(jp)
Sebastian Weber ist Head of Product Management bei Aagon.