von Redaktion IT-A…
Lesezeit
3 Minuten
SOC-Grundlagen: Weniger Fehlmeldungen durch besseren Kontext
Wer als Sicherheitsspezialist in einem Security Operations Center arbeitet, der wird tagein, tagaus mit einer schier endlosen Flut an Meldungen konfrontiert. Jedoch sind nicht alle dieser Nachrichten wirklich sicherheitsrelevant, denn bei einem Großteil handelt es sich um Fehlalarme oder unwichtige Informationen. Der Artikel erklärt, wie mehr Datenkontext dabei helfen kann, zwischen echten Signalen und sogenanntem Rauschen zu unterscheiden, um dem Problem der Alarmmüdigkeit entgegenzuwirken.
Eine der Hauptaufgaben von Sicherheitsanalysten ist es, relevante Bedrohungsindikatoren zu erkennen und von Fehlalarmen zu unterscheiden. Wissenschaftler und Ingenieure sprechen bei dieser Trennung zwischen nützlichen und irrelevanten Daten vom Verhältnis zwischen Signal und Rauschen. Die Signale sind dabei die wichtigen Daten, das Rauschen ist alles andere. Ist das Signal-Rausch-Verhältnis unvorteilhaft, überlagert das Rauschen das, was von Wert ist. Dies ist auch eine Herausforderung für die heutigen Incident-Response-Teams, die unter Informationsüberflutung leiden. Sie werden von einer zunehmenden Menge an Daten zu Ereignissen im Netzwerk förmlich überschwemmt und haben Mühe, all diese Informationen zu sichten, um die wahren Bedrohungen zu finden.
Zu viele Daten, zu wenig Ressourcen
Das Problem, vor dem die Experten eines Security Operations Center (SOC) stehen, ist zweifacher Natur. Das erste Problem ist die Datenmenge: Es gibt Daten ohne Ende. Moderne Netzwerke sind Informationsschleudern. Und aufgrund besserer Netzwerktelemetrie wachsen die Datenmengen Jahr für Jahr weiter. Das Ergebnis ist ein Übermaß an Alarmen, die wir als "Signalkandidaten" bezeichnen: Datenpunkte, die von Interesse sind und eventuell näher untersucht werden sollten.
Ein zweites Problem kommt erschwerend hinzu: Ressourcenknappheit. SOCs tun sich schwer, genügend Mitarbeiter zu finden, um die Datenfluten aus den immer komplexeren Infrastrukturen zu bewältigen. Mangels ausreichender Kapazitäten für manuelle Untersuchungen sind viele SOCs überfordert und außerstande, die benötigten Erkenntnisse aus den eingehenden Daten zu gewinnen.
Die natürliche Reaktion auf ein unzureichendes Signal ist, mehr Daten heranzuziehen. Also schaffen viele SOCs weitere Tools und Telemetriewerkzeuge an, meist in Form von zusätzlichen Produkten aus dem Bereich Endpoint Detection & Response (EDR). Das ist jedoch der falsche Ansatz. Viele Incident-Response-Plattformen in SOCs bestehen aus Flickenteppichen aus im Laufe der Zeit erworbener Tools verschiedener Anbieter, die nicht gut zusammenarbeiten. Das macht es schwer, eine umfassende Sicht auf den Incident-Response-Prozess zu erhalten. Zudem erschwert es das Austauschen nützlicher Telemetrie-Untersuchungen innerhalb von Teams.
Werden diese Plattformen noch weiter ausgebaut, erzeugen diese zwar vielleicht mehr relevante Signale, doch hilft dieser Ansatz den SOCs nicht, sie zu erkennen. Vielmehr bewirkt er das Gegenteil und erzeugt noch mehr Rauschen, das die Nutzsignale übertönt. Jeder Versuch, dem SOC durch mehr Daten zu helfen, verschlimmert nur das zugrunde liegende Problem. Sind die Signalkandidaten schlecht gefiltert, wissen die Mitarbeiter nicht, wo sie anfangen sollen, und können echte Angriffe nicht erkennen, auf die dringend eine Reaktion erfolgen muss.
Das können SOCs gegen die Alarmmüdigkeit tun
SOCs müssen also das grundlegende Problem angehen. Es gilt, bessere Wege finden, um die richtigen Signale in denjenigen Daten zu erkennen, über die sie bereits verfügen. Damit das gelingt, müssen sie das Signal-Rausch-Verhältnis verändern. In der Praxis bedeutet das, die Zahl der Signalkandidaten zu reduzieren. Es gilt also, SOC-Analytiker mit einer geringeren Anzahl an Alarmen zu konfrontieren.
Der Schlüssel zur Verbesserung des Signal-Rausch-Verhältnisses ist eine eng integrierte, durchgehende Toolkette. Das heißt, eine Reihe von Werkzeugen, die nahtlos und mit nur wenigen Überschneidungen zusammenarbeiten und alle in der Lage sind, während des gesamten Zyklus von Erkennung, Eindämmung, Problembehebung, Bereinigung und abschließender Analyse reibungslos Daten untereinander auszutauschen.
Dieser Ansatz hilft in mehrfacher Hinsicht. Erstens reduziert er die Rauschsignale von den diversen Tools, die sich sonst gegenseitig überlagern würden. Zweitens werden Ereignisse und Warnungen zu Vorfällen zusammengefasst – also zu größeren, besser sichtbaren Datenelementen, die sich leichter verfolgen lassen. Die Analytiker erhalten eine Top-Down-Sicht auf die Signalkandidaten, ohne die Low-Level-Ereignisse durchforsten und manuell korrelieren zu müssen. Und drittens können SOCs bei dieser Vorgehensweise die Erkennung von Vorfällen sowie die Analyse und Berichterstattung besser automatisieren.
Eine gut gestaltete Toolkette erkennt Signalkandidaten frühzeitig und analysiert sie in mehreren Stufen. So kann das SOC die Signalkandidaten entweder bestätigen und eskalieren oder sie schnell verwerfen, wenn sie sich als harmlos erwiesen haben. Auf diese Weise lassen sich viele Vorfälle automatisch entschärfen, ohne menschliche Mitarbeiter benachrichtigen zu müssen. Diese können sich stattdessen auf diejenigen Alarme konzentrieren, die ihre Aufmerksamkeit tatsächlich erfordern.
Datenkontext verringert die Belastungen für das SOC
SOCs, die in die Integration ihrer Toolchain investieren, erhalten eine kleinere Zahl von Alarmen, die dafür aber wirklich relevant sind und mit wichtigen, kontextbezogenen Daten geliefert werden. Das bessere Signal-Rausch-Verhältnis macht sich auf den Bildschirmen der Analytiker positiv bemerkbar und verringert die kognitive Belastung der Mitarbeiter. Die Anzahl der Untersuchungen nimmt ab und die Bearbeitungszeit verringert sich. Dies führt zu besseren SOC-Resultaten in Form von kürzeren Problembehebungszeiten und der Fähigkeit schneller zu reagieren.
Im Idealfall verhindert dieser Ansatz, dass Angreifer überhaupt in die Nähe der IT-Infrastruktur kommen. Gelingt es ihnen doch, diese zu kompromittieren, besteht zumindest die Chance, die Verweildauer zu verringern und damit die Auswirkungen der Attacke. Bei schnell fortschreitenden Cybersecurity-Vorfällen kann der schärfere Fokus, der sich aus einer übersichtlicheren Datenumgebung ergibt, den Unterschied ausmachen zwischen rechtzeitiger Eindämmung und einer schlagzeilenträchtigen Sicherheitspanne.
Fazit
Je länger das SOC weniger relevante Signalkandidaten sammelt, desto mehr werden sie sich ausbreiten und desto schwieriger gestaltet es sich, das Wichtige vom Unwichtigen zu unterscheiden. Die schnellstmögliche Sichtung der Signalkandidaten versetzt die Analytiker in die Lage, ihre Fähigkeiten auf die relevanten Signale anzuwenden. Vor diesem Hintergrund sollten Unternehmen die eigene Prozesskette überarbeiten und nach Verbesserungsmöglichkeiten suchen. Es lohnt sich, einen Schritt zurückzutreten und das gesamte Toolset innerhalb der Sicherheitsabteilung zu überprüfen. Bis dahin gilt der Grundsatz: Weniger ist manchmal mehr.
ln/Jan Tietze, Director Security Strategy EMEA bei SentinelOne
Zu viele Daten, zu wenig Ressourcen
Das Problem, vor dem die Experten eines Security Operations Center (SOC) stehen, ist zweifacher Natur. Das erste Problem ist die Datenmenge: Es gibt Daten ohne Ende. Moderne Netzwerke sind Informationsschleudern. Und aufgrund besserer Netzwerktelemetrie wachsen die Datenmengen Jahr für Jahr weiter. Das Ergebnis ist ein Übermaß an Alarmen, die wir als "Signalkandidaten" bezeichnen: Datenpunkte, die von Interesse sind und eventuell näher untersucht werden sollten.
Ein zweites Problem kommt erschwerend hinzu: Ressourcenknappheit. SOCs tun sich schwer, genügend Mitarbeiter zu finden, um die Datenfluten aus den immer komplexeren Infrastrukturen zu bewältigen. Mangels ausreichender Kapazitäten für manuelle Untersuchungen sind viele SOCs überfordert und außerstande, die benötigten Erkenntnisse aus den eingehenden Daten zu gewinnen.
Die natürliche Reaktion auf ein unzureichendes Signal ist, mehr Daten heranzuziehen. Also schaffen viele SOCs weitere Tools und Telemetriewerkzeuge an, meist in Form von zusätzlichen Produkten aus dem Bereich Endpoint Detection & Response (EDR). Das ist jedoch der falsche Ansatz. Viele Incident-Response-Plattformen in SOCs bestehen aus Flickenteppichen aus im Laufe der Zeit erworbener Tools verschiedener Anbieter, die nicht gut zusammenarbeiten. Das macht es schwer, eine umfassende Sicht auf den Incident-Response-Prozess zu erhalten. Zudem erschwert es das Austauschen nützlicher Telemetrie-Untersuchungen innerhalb von Teams.
Werden diese Plattformen noch weiter ausgebaut, erzeugen diese zwar vielleicht mehr relevante Signale, doch hilft dieser Ansatz den SOCs nicht, sie zu erkennen. Vielmehr bewirkt er das Gegenteil und erzeugt noch mehr Rauschen, das die Nutzsignale übertönt. Jeder Versuch, dem SOC durch mehr Daten zu helfen, verschlimmert nur das zugrunde liegende Problem. Sind die Signalkandidaten schlecht gefiltert, wissen die Mitarbeiter nicht, wo sie anfangen sollen, und können echte Angriffe nicht erkennen, auf die dringend eine Reaktion erfolgen muss.
Das können SOCs gegen die Alarmmüdigkeit tun
SOCs müssen also das grundlegende Problem angehen. Es gilt, bessere Wege finden, um die richtigen Signale in denjenigen Daten zu erkennen, über die sie bereits verfügen. Damit das gelingt, müssen sie das Signal-Rausch-Verhältnis verändern. In der Praxis bedeutet das, die Zahl der Signalkandidaten zu reduzieren. Es gilt also, SOC-Analytiker mit einer geringeren Anzahl an Alarmen zu konfrontieren.
Der Schlüssel zur Verbesserung des Signal-Rausch-Verhältnisses ist eine eng integrierte, durchgehende Toolkette. Das heißt, eine Reihe von Werkzeugen, die nahtlos und mit nur wenigen Überschneidungen zusammenarbeiten und alle in der Lage sind, während des gesamten Zyklus von Erkennung, Eindämmung, Problembehebung, Bereinigung und abschließender Analyse reibungslos Daten untereinander auszutauschen.
Dieser Ansatz hilft in mehrfacher Hinsicht. Erstens reduziert er die Rauschsignale von den diversen Tools, die sich sonst gegenseitig überlagern würden. Zweitens werden Ereignisse und Warnungen zu Vorfällen zusammengefasst – also zu größeren, besser sichtbaren Datenelementen, die sich leichter verfolgen lassen. Die Analytiker erhalten eine Top-Down-Sicht auf die Signalkandidaten, ohne die Low-Level-Ereignisse durchforsten und manuell korrelieren zu müssen. Und drittens können SOCs bei dieser Vorgehensweise die Erkennung von Vorfällen sowie die Analyse und Berichterstattung besser automatisieren.
Eine gut gestaltete Toolkette erkennt Signalkandidaten frühzeitig und analysiert sie in mehreren Stufen. So kann das SOC die Signalkandidaten entweder bestätigen und eskalieren oder sie schnell verwerfen, wenn sie sich als harmlos erwiesen haben. Auf diese Weise lassen sich viele Vorfälle automatisch entschärfen, ohne menschliche Mitarbeiter benachrichtigen zu müssen. Diese können sich stattdessen auf diejenigen Alarme konzentrieren, die ihre Aufmerksamkeit tatsächlich erfordern.
Ein SOC-Tool wie hier SentinelOne zeigt ihm Idealfall gleich mögliche Maßnahmen zur Eindämmung
beziehungsweise Beseitigung einer Bedrohung an.
beziehungsweise Beseitigung einer Bedrohung an.
Datenkontext verringert die Belastungen für das SOC
SOCs, die in die Integration ihrer Toolchain investieren, erhalten eine kleinere Zahl von Alarmen, die dafür aber wirklich relevant sind und mit wichtigen, kontextbezogenen Daten geliefert werden. Das bessere Signal-Rausch-Verhältnis macht sich auf den Bildschirmen der Analytiker positiv bemerkbar und verringert die kognitive Belastung der Mitarbeiter. Die Anzahl der Untersuchungen nimmt ab und die Bearbeitungszeit verringert sich. Dies führt zu besseren SOC-Resultaten in Form von kürzeren Problembehebungszeiten und der Fähigkeit schneller zu reagieren.
Im Idealfall verhindert dieser Ansatz, dass Angreifer überhaupt in die Nähe der IT-Infrastruktur kommen. Gelingt es ihnen doch, diese zu kompromittieren, besteht zumindest die Chance, die Verweildauer zu verringern und damit die Auswirkungen der Attacke. Bei schnell fortschreitenden Cybersecurity-Vorfällen kann der schärfere Fokus, der sich aus einer übersichtlicheren Datenumgebung ergibt, den Unterschied ausmachen zwischen rechtzeitiger Eindämmung und einer schlagzeilenträchtigen Sicherheitspanne.
Fazit
Je länger das SOC weniger relevante Signalkandidaten sammelt, desto mehr werden sie sich ausbreiten und desto schwieriger gestaltet es sich, das Wichtige vom Unwichtigen zu unterscheiden. Die schnellstmögliche Sichtung der Signalkandidaten versetzt die Analytiker in die Lage, ihre Fähigkeiten auf die relevanten Signale anzuwenden. Vor diesem Hintergrund sollten Unternehmen die eigene Prozesskette überarbeiten und nach Verbesserungsmöglichkeiten suchen. Es lohnt sich, einen Schritt zurückzutreten und das gesamte Toolset innerhalb der Sicherheitsabteilung zu überprüfen. Bis dahin gilt der Grundsatz: Weniger ist manchmal mehr.
ln/Jan Tietze, Director Security Strategy EMEA bei SentinelOne
