Security-Automatisierung: Threat Intelligence Bots in der Cloud erstellen

Palo Alto Networks erläutert, wie sich die Automatisierungsbemühungen mit Schwerpunkt auf der Aufklärung von Bedrohungen skalieren lassen. [...]

Die Skalierung von Assets und Anwendungen in der Cloud schafft einen Grad an Komplexität, der häufig zu Fehlkonfigurationen und Schwachstellen führt. Mit dieser zunehmenden Komplexität tauchen auch andere Prozessprobleme auf, wie z.B. die Notwendigkeit eines kollaborativen Raumes zum Austausch von Informationen über Bedrohungsinformationen und gewonnenen Erkenntnissen oder ein Audit-Trail der während der Untersuchung ergriffenen Maßnahmen. Palo Alto Networks erläutert, wie Unternehmen diese Probleme durch Threat Intelligence Bots in den Griff kriegen können.

Häufig werden sowohl vom Sicherheitsteam im Unternehmen als auch von den Produktanbietern Automatismen geschaffen, um einige dieser Probleme zu mildern. Einige Sicherheitsexperten haben erfolgreiche Prozesse und Techniken umgesetzt, die durch speziell angefertigte Skripte und Anwendungen unterstützt werden. Ein Sicherheitsanalytiker kann zum Beispiel Python-Skripte erstellen, um Daten zu formatieren und in leichter verständliche Informationen umzuwandeln. Allerdings sind benutzerdefinierte Tools oft schwer in großem Maßstab zu nutzen, da sie nur begrenzt rechenfähig sind und/oder nicht auf Cloud-Funktionen zugreifen und diese starten können. Darüber hinaus fehlt den benutzerdefinierten Tools oft eine benutzerfreundliche Oberfläche.

Indem diese Automatisierungen mit modernen Chat-Schnittstellen und bestehenden Tools kombiniert werden, lassen sich diese Probleme lösen. Die Erstellung eines Slack-Bots kann zum Beispiel helfen, indem Benutzer in einen Collaborative Space eingeladen werden und relevante Informationen über einen Alarm oder einen Vorfall ausgetauscht werden.

Palo Alto Networks erläutert, wie sich die Automatisierungsbemühungen mit Schwerpunkt auf der Aufklärung von Bedrohungen skalieren lassen. Hierbei kommt Cortex XSOAR, eine Plattform zur erweiterten Sicherheitsorchestrierung, -automatisierung und -reaktion, zum Einsatz. Diese dient zur Aufnahme von Warnmeldungen von Sicherheitskontrollen und zur Automatisierung von Berichten für Analysten zum Einsatz. Darüber hinaus erklärt Palo Alto Networks, wie Slack als Collaborative Space genutzt werden kann, indem Teammitglieder automatisch eingeladen werden und ein Alarmkontext bereitgestellt wird.

Automatisierte Bots

Die folgende Abbildung (Abb. 2) beschreibt allgemeine Ziele und Anwendungsfälle, bei denen ein automatisierter Bot helfen kann. Jeder dieser Anwendungsfälle erfordert unterschiedliche Kontextinformationen, um auf die Ereignistypen reagieren zu können. Beispielsweise sind E-Mail-Kopfzeilen, E-Mail-Betreff und E-Mail-Text typische Artefakte, die Bedrohungen für Benutzer darstellen können. Darüber hinaus nutzen Analysten häufig Datenquellen für Bedrohungsinformationen, um festzustellen, ob die Bedrohung bereits vorher identifiziert wurde.

Bedrohungsdaten sind Kontextinformationen, die Einzelheiten über das Wer, Was, Wann und Wo eines Angriffs liefern können. Die Verwendung dieser Daten könnte dabei helfen, bei der Beantwortung von Sicherheitsfragen und der Reaktion auf Ereignisse fundierte Entscheidungen zu treffen.

Bedrohungsinformationen sind keine Garantie für den Erfolg bei der Reaktion auf diese Ereignisse, aber sie können als nützliche Datenquelle für Analysten und Ingenieure dienen. Es gibt auch Gruppen zum Informationsaustausch, die als Information Sharing and Analysis Centers (ISACs) bezeichnet werden und denen Unternehmen beitreten können. Diese Gruppen können dazu dienen, den Kontext eines Angriffs oder eines Ereignisses abzurufen, von dem Unternehmen derselben Branche bereits betroffen waren.

Die Nutzung von Informationen über Bedrohungen und deren Verknüpfung mit Warndaten ist heutzutage eine Herausforderung, wie Palo Alto Networks erklärt. Genauer gesagt unterstützen nur wenige Case-Management-Plattformen die Speicherung von Daten, die aus Warnmeldungen und Bedrohungsinformationen gesammelt wurden. Dies führt zu Herausforderungen, die von Datenpunkt zu Datenpunkt schwanken und mit Warnmeldungen aus den Datenquellen verknüpft werden müssen. Durch die Dokumentation von analytischen Prozessen können Playbooks erstellt werden, die die Bereitstellung von Bedrohungsinformationen für Analysten erleichtern. Die Bereitstellung dieser Informationen in einem gemeinsamen Arbeitsbereich wie Slack ermöglicht es Unternehmen, Daten bei Bedarf anzureichern und gleichzeitig ein Protokoll der Aktionen und Chats der Analysten anzuzeigen.

Erstellen eines Threat Intelligence Bot

Für die folgenden Beispiele wird Cortex XSOAR genutzt, um Warnmeldungen von Cloud-Anwendungen und Quellen für Bedrohungsinformationen aufzunehmen und die Bot-Logik über ein Playbook zu orchestrieren.

Sobald die Alarme generiert und der Bedrohungskontext bereitgestellt werden, ergeben sich Möglichkeiten für eine schnelle Reaktion und Remediation. Die Bereitstellung von Warndaten und Bedrohungskontext wird durch das Cortex XSOAR Playbook erleichtert und an einen Collaborative Workspace oder War Room wie Slack gesendet. Unternehmen könnten genauso gut auch andere Chat-Dienste wie Microsoft Teams oder Discord nutzen.

Beispielsweise werden bei Phishing-Kampagnen Massen-E-Mails an so viele Benutzer wie möglich verschickt. Diese Bedrohung kann von mehreren Benutzern oder Anwendungen gemeldet werden. Da doppelte oder verwandte Ereignisse von Cortex XSOAR erkannt werden, kann der Threat Intelligence Bot korrelierte Ereignisinformationen und die Option zur Blockierung böswilliger Indikatoren bei Bedarf bereitstellen. Bei sensibleren Ereignissen wie Malware-Ausbrüchen möchten Analysten möglicherweise die Bedrohungsdaten mit spezifischen Quellen für die Bedrohungsaufklärung anreichern, um zu vermeiden, dass der Angreifer einen Hinweis darauf erhält, dass eine Untersuchung läuft. Das Playbook steuert dann die Bot-Logik für Bedrohungsinformationen und reichert die Bedrohungsdaten auf der Grundlage einer Analystenreaktion selektiv an.

Eine weitere häufige Bedrohung, der Cloud-Anwendungen ausgesetzt sind, ist das Cryptocurrency Mining. Wenn diese Bedrohung auftaucht, müssen sofort Reaktionsstrategien implementiert werden. Dazu gehört häufig das Blockieren bösartiger IP-Adressen und die erneute Bereitstellung von Cloud-Anwendungen. Um eine Überlastung und Fehler der Analysten zu vermeiden, können einfache Aufgaben über den Threat Intelligence Bot ausgeführt werden. So enthält beispielsweise das Playbook in Abbildung 3 einen optionalen Pfad für die Blockierung von IP-Adressen an der Firewall.

Je nach dem Kontext der gelieferten Alarm- und Bedrohungsinformationen sind spezifische Analysten und Ingenieure erforderlich, die gemeinsam auf Ereignisse reagieren müssen. Wie bereits erwähnt, wird diese Ermittlungsphase häufig durch Automatisierung unterstützt. Im Beispiel-Playbook kann zusätzliche Logik implementiert werden, um Benutzer bei Bedarf einzuladen und den Zugang zu einem Slack-Kanal einzuschränken, wenn sensible Informationen in einer Untersuchung enthalten sind.

Wann ein Threat Intelligence Bot eingesetzt werden sollte

Angesichts der Migration von Unternehmen und den an Bord befindlichen Diensten und Anwendungen in die Cloud, wird die Verwaltung von Warnmeldungen und die Reaktion darauf immer schwieriger. Die Automatisierung kann nach Meinung von Palo Alto Networks bei der Reaktion und Abwehr von Sicherheitsereignissen, die von Anwendungen und Benutzern gemeldet werden, helfen. Die Nutzung von Chat-Diensten wie Slack kann bei der Schaffung einer Schnittstelle für Automatisierungswerkzeuge helfen, die bisher nur schwer zu bedienen waren. Gleichzeitig wird eine Nachverfolgung von Ereignissen möglich, die während einer Untersuchung auftreten. Durch die Kopplung von Automatisierung und einer Plattform zur erweiterten Sicherheitsorchestrierung, -automatisierung und -reaktion wie Cortex XSOAR können Unternehmen einen interaktiven War Room schaffen, der Analysten in jeder Phase ihrer Untersuchung unterstützt.