Im Security-Operations-Center sitzen die, die den Hackern Paroli bieten. Kaum eine Organisation nutzt das ganze Potenzial dieser internen Cyber-Feuerwehr. Mit ein paar Tricks lässt sich die Erfolgsbilanz deutlich aufbessern. [...]
Es ist manchmal kurios, wie das Security Operations Center in manchen Organisationen aufgestellt ist: Da werkeln ein paar Nerds, die unverständliche Dinge tun, in einem Büro vor sich hin, verlangen immer mal wieder aufwändige Zuarbeit und verursachen dabei immense Kosten für etwas, über das nicht gern geredet wird. So zumindest sehen das in erstaunlich vielen Unternehmen nicht nur die Anwender und die Unternehmensführung, sondern auch manche Mitarbeiter der präventiven Informationssicherheit. Nimmt die Skepsis überhand, hat das SOC ganz schnell einen schweren Stand und muss immer wieder um seine Budgets kämpfen.
SOC im Abseits
Wo die Situation so ist, macht ein Unternehmen etwas grundsätzlich falsch. Es schöpft das Potenzial der Institution SOC für die Stakeholder in der Organisation nicht aus und erschwert dem Security-Team obendrein die faszinierende Jagd auf die Angreifer. Tatsächlich nämlich hat ein SOC über die pure Bedeutung für den Status der Informationssicherheit hinaus das Zeug dazu, ein echter Motor und ein identitätsstiftendes Element für den Arbeitsbereich Security und darüber hinaus zu sein.
Was macht die Besonderheit tatsächlich aus?
- Die Faszination der Hacker-Jagd. Wie die Werkzeuge im Security Operations Centern technisch funktionieren, mag schwer zu vermitteln sein – aber was man dort tut, ist leicht zu vermitteln: Die detektivische Suche nach versteckten Angreifern. Es ist schade, dass Unternehmen so selten gelungene Abwehraktionen intern bekanntgeben, denn solche Ereignisse können die Mitarbeiter für das Thema Security sensibilisieren und aktivieren. Außerdem rückt das Bewusstsein für die ständig laufende interne Gefahrenabwehr die Abteilung des CISOs in ein gutes Licht, was die gelegentlich notwendigen Auftritte der Security als Verhinderer relativiert.
- Der Nutzen für viele Anspruchsgruppen. Die Ergebnisse des SOCs können den unterschiedlichsten Abteilungen in einem Unternehmen helfen, aber oft sind die Chancen den entsprechenden Verantwortlichen gar nicht klar. Compliance-Abteilungen etwa – vom Datenschutz über Kundenanforderungen bis zu den Normen der Finanz- und Kreditwirtschaft – könnten sich so manchen Status-Nachweis im Rahmen von Audits deutlich erleichtern, wenn sie sich die im SOC ohnehin stattfindende Auswertung von Log-Daten und Bedrohungsinformationen zunutze machen. Dies ist auch ein guter Grund, die Kosten fürs SOC im Unternehmen aufzuteilen.
- Einblick in die Bedrohungs- und Risikodynamik. Die Leitungsebene eines Unternehmens muss die Verantwortung für die IT-Risiken übernehmen. Lässt sie sich vom SOC ständig über Security-relevante Entwicklungen informieren, reduziert sie die Gefahr unangenehmer Überraschungen.
Dass das SOC diesen guten Bedingungen zum Trotz häufig doch nicht zum positiven Imageträger für die Informationssicherheit wird, hat mehrere Gründe. Einer davon ist das verständliche Zögern vieler Sicherheitsbeauftragter, über tatsächliche Angriffe auf kritische Unternehmensressourcen zu sprechen. Einerseits könnte dies bei Kunden und Mitarbeitern Zweifel an der Gesamtsicherheit der Organisation wecken, andererseits könnten böswillige externe Beobachter aus solchen Berichten Informationen über die interne IT ableiten, die ihnen dann erfolgreichere Attacken ermöglichen.
Ein weiterer Grund ist, dass in manchem SOC die Arbeit der dort installierten Teams eben nicht den Charakter der kreativen Hacker-Abwehr hat, den sie eigentlich haben sollte. Anstelle des motivierenden Wettbewerbs mit der dunklen Seite tritt monotones Abarbeiten immer wiederkehrender Fehlalarme. Funktioniert die SOC-Technik so schlecht, dass sich die hoch spezialisierten Cyberjäger gar nicht auf die ihnen gemäßen Tätigkeiten konzentrieren können, mutiert das Team auf die Dauer zu einer lustlosen Schar zugleich unter- und überforderter Fließband-Analysten.
Ein dritter Punkt ist das Überwachungspotenzial, das im SOC stecken kann und zum Beispiel von Betriebsräten zurecht misstrauisch abgewogen wird. Vor allem dann, wenn ein Unternehmen versucht, Analysen des Verhaltens von Mitarbeitern in die Suche nach Anzeichen für laufende Angriffe einzubeziehen, kann dies ein SOC und seine Intentionen schnell in Misskredit bringen.
Das SOC in den Mittelpunkt rücken
Ein erster Schritt, ein SOC aus einer möglicherweise misslichen Positionierung herauszuholen, ist zweifellos die Investition in möglichst gute Assistenzsysteme für die Analysten. Korrelationslogik, Auswahl der Datenquellen und Use Cases sowie Erkennungsregeln müssen weit genug optimiert sein, um das monotone Nachsortieren meist irrelevanter Warnungen so weit wie möglich zu reduzieren.
Darüber hinaus aber gibt es noch ein paar Tricks, die Stolpersteine für eine effektive SOC-Arbeit aus dem Weg räumen können.
Einer davon liegt darin, in die interne Kommunikation zu investieren. Der Nutzen des SOCs sollte so anschaulich wie möglich so vielen potenziellen Nutznießern der Hacker-Jagd in der Organisation nahegebracht werden. Dies schafft eine gesunde Basis an Fürsprechern. Sicher: Das ist ein Arbeitsfeld, dass Analysten und Security-Technikern oft nicht liegt. Der Aufwand lohnt sich aber.
Ein weiterer Ansatzpunkt ist die Einbindung des Prinzips „Täuschung“ in die SOC-Sensorik. Damit lassen sich gleich mehrere Probleme der SOC-Arbeit und der SOC-Selbstdarstellung beheben. Das Schlagwort dazu lautet „Deceptive Security“.
Der Mehrwert der „Deceptive Security“
Das Unternehmen ergänzt seine Werkzeuge zur Prävention und Detektion von Attacken gezielt um Emulationen höchst verschiedener Assets im Netzwerk, die für Cyberkriminelle interessant sein können. Dazu gehören Anmeldeinformationen, Verbindungen und Angriffspfade, die auf Endpunkten in einem Netzwerk platziert werden und den Angreifern scheinbar gute Ansatzpunkte für Lateral Movement und die Erweiterung von Rechten bieten. Zu den Instanzen, die auf diese Weise als Täuschungen eingesetzt werden, gehören auch Anwender-Identitäten, die Angreifern besonders attraktiv erscheinen müssen – etwa, weil sie eine Chance zum Kapern von Administrationsprivilegien versprechen.
Abgesehen davon, dass sich die „Fake-Assets“ einschränkungslos beobachten lassen, ohne die betriebsinternen Datenschützer auf den Plan zu rufen, bremst die Auseinandersetzung mit den gefälschten Instanzen die Angreifer auch aus und liefert Zeit für intensive Analysen ihres Vorgehens. Werden gleichzeitig echte Konten und Systeme konsequent geschützt, bietet die Kombination aus klassischen Sicherheitsmaßnahmen und Täuschung eine deutliche Erhöhung des Schutzniveaus.
Operative und psychologische Vorteile
Neben diesen faktischen Vorteilen bietet Deceptive Security aber auch operative und psychologische Vorteile für die Arbeit des SOCs. Es gibt den Hacker-Jägern die Chance zurück, zu experimentieren und die Gegner spielerisch auszutricksen. Dieses Moment ist alles andere als bloße Beschäftigungstherapie und mehr als die Schaffung einer willkommenen Lern- und Übungsplattform: Das Modell erlaubt Tests, „Was-wäre-Wenn“-Ansätze und Zukunftsprojektionen, die sich mit der produktiv laufenden IT als Grundlage nicht realisieren lassen. So könnten die Security-Teams geplante Erweiterungen des Arbeitsbereiches einer Organisation – etwa die Einrichtung eigener Produktionsstätten – vorab simulieren und leichter prüfen, wie sich die Bedrohungssituation dann verändert und ob die geplanten Sicherheitsmaßnahmen wirken. Abgesehen davon können die gefälschten Assets in Betrieb genommen werden, ohne andere Abteilungen im Unternehmen zu beeinflussen – ein Faktor, der gerade in Testphasen nützlich sein kann.
Und schließlich fällt es leichter, über die Abwehr von Angriffen auf gefälschte Assets Geschichten zu erzählen. Anders als ein reales System kann die vom Angriff betroffene Instanz ja nachher sang- und klanglos verabschiedet und durch eine neue geheime Falle ersetzt werden. Dieses Vorgehen löst zweifellos nicht alle Kommunikationsprobleme rund um die SOC-Arbeit, macht die Selbstdarstellung der aber zumindest einfacher und eröffnet dem Unternehmen so Chancen, die positiven Nebeneffekte der SOC-Arbeit etwa zu Awareness-Zwecken und zur Demonstration seiner Abwehrfähigkeit zu nutzen.
*Der Autor Wolfgang Halbartschlager ist Senior Sales Engineer bei llusive Networks.
Be the first to comment