Security und IT Operations

05/2023 – Fachartikel Swiss Infosec AG

Im Sinne eines sicheren IT-Infrastrukturbetriebs gilt es, Angriffe und Angriffsversuche proaktiv erkennen zu können. Viele Organisationen realisieren heute Sicherheit innerhalb des Betriebs mithilfe von Services im Bereich Security Operations. Moderne Security Operations Center nutzen unterschiedliche Log- und Eventquellen zum Monitoring von sicherheitsrelevanten Ereignissen innerhalb der überwachten IT-Infrastruktur. Im laufenden Betrieb können innerhalb einer IT-Infrastruktur unterschiedliche Infrastrukturelemente mittels eines SOC-Services überwacht werden:

1. Endpoint Security auf Server- bzw. Plattformsystemen
2. Sicherheitsrelevante Vorkommnisse (sog. Security Events) auf den eingesetzten Plattformsystemen, bspw. Logs der Betriebssysteme oder Container
3. Netzwerk-Security Events, bspw. stammend aus Firewalls, IDS/IPS, WAF oder Network Detection & Response-Systemen (NDR)
4. Remote Access Services
5. Schnittstellen zu Gruppengesellschaften und anderen externen Partnern
6. Anwendungs- oder Business-spezifische Events bzw. Use Cases (siehe Begriffsdefinition weiter unten) in kritischen und/oder zentralen Geschäftsapplikationen

Insbesondere beim letzten Punkt gibt es viele Individualisierungsmöglichkeiten, in welchen sich ein gutes SOC von einem durchschnittlichen Service Provider abzuheben vermag. Es lohnt sich, hier einen gewissen Engineering-Aufwand zu investieren, um gezielt anwendungs- oder Business-spezifische Use Cases überwachen zu können. Mit solchen spezifischen Use Cases lassen sich sicherheitstechnische Verstösse auf Ebene der Kernapplikationen überwachen. Sie sollten nebst den generischen Use Cases (bspw. überwachte Events bei Endpoint und Netzwerk-Security) zur Gewährleistung eines sicheren Betriebs unbedingt eingesetzt werden.

Aufgrund der Möglichkeit zur Nutzung von Skaleneffekten, insbesondere bei der Überwachung von unspezifischen Use Cases (vgl. 1. – 5.), bietet sich die Auslagerung des SOC-Betriebs an einen externen Partner an. Bei der Beschaffung eines solchen SOC-Services gilt es, den Service Level zu definieren. Aufgrund der hohen Personalkosten in der Schweiz bieten Schweizer Dienstleister oftmals keinen vollwertigen 24/7-Service an, sondern arbeiten mit Pikett-Organisationen. Es gilt an dieser Stelle zu bemerken, dass bei einem eingekauften Service im 24/7-Modell oftmals auch intern eine 24/7-Organisationsstruktur vorhanden sein muss, um den Service vollwertig nutzen zu können. In vielen Fällen erhält der externe Partner keine umfassenden Kompetenzen zur Einleitung von Massnahmen (Incident Response) im Fall eines Security Incidents. Die Incident Response wird oftmals durch den SOC-Servicenutzer verantwortet und umgesetzt. Dies, da die Incident Response in vielen Fällen in den laufenden Betrieb eingreift, bspw. vom Beenden einzelner Prozesse bis hin zur Isolation ganzer Netzwerksegmente. Ein niedrigerer Service Level, bspw. 5/10 oder 5/12, könnte allenfalls ausreichen und helfen, Kosten zu sparen, nicht zuletzt deswegen, weil Angreifer oftmals die Büroarbeitszeiten für Angriffe nutzen. Im Grundrauschen des Tagesgeschäfts fallen Anomalien weniger auf und das Risiko, erkannt zu werden, ist in den meisten Fällen geringer.

Damit ein SOC wirksam arbeiten kann, werden Logquellen unterschiedlicher Art (vgl. Punkte 1. – 6. oben) in einem Security Information & Event Management System (SIEM) konsolidiert. So lassen sich Security Events möglichst durchgängig über die gesamte IT-Infrastruktur hinweg korrelieren und nachverfolgen. Ein wirksames SOC ist folglich auf eine hohe Qualität und Verlässlichkeit (im Sinne eines niedrigen False Positive-Werts) der eingehenden Logs angewiesen. Die Erfahrung zeigt, dass insbesondere die Logs von modernen Security Services für ein SOC den entscheidenden Beitrag zur Erkennung von Angriffen liefern und die effiziente und effektive Reaktionsfähigkeit auf Angriffe sicherstellen, weshalb eine Integration solcher Services von grosser Wichtigkeit ist.

Security Services

Um Angriffe und Angriffsversuche proaktiv erkennen und auf Angriffe reagieren zu können, wird üblicherweise eine Reihe von Security Services eingesetzt, welche ihrerseits Meldungen bzw. Logs über Security Events an ein zentrales SIEM-System für das Monitoring übertragen und Mittel zur Reaktion auf Angriffe bereitstellen. Hierbei nicht betrachtet werden klassische Security Services wie Firewalls, Antivirussoftware, Backup-Systeme und Security Patch Management. Der gezielte Einsatz von modernen Security Services ist strategisch im Sinne einer durchgängigen IT-Sicherheitsarchitektur zu planen. Empfohlen ist der Einsatz von:

• Endpoint Detection & Response (EDR): EDR-Lösungen überwachen das Verhalten von Anwendungen und Prozessen und erkennen Anomalien, die auf Bedrohungen hinweisen können. EDR-Lösungen geben einem SOC ausserdem erweiterte Analysemöglichkeiten an die Hand und ermöglichen es, Bedrohungen in Echtzeit zu erkennen und zu bekämpfen, bevor sie grösseren Schaden anrichten können.
• Web Application Firewall (WAF): Eine WAF überwacht den Datenverkehr zwischen einer Webanwendung und dem Internet und identifiziert und blockiert potenzielle Bedrohungen, wie z.B. SQL Injection-Angriffe, Cross-Site-Scripting (XSS), Brute Force-Angriffe und andere Arten von Angriffen auf Webanwendungen. Eine WAF verwendet verschiedene Techniken wie Signaturen, Verhaltensanalyse, Blacklisting und Whitelisting, um Bedrohungen zu erkennen und zu blockieren. Der Einsatz einer WAF als Reverse Proxy ist ebenfalls empfohlen, in vielen Fällen lassen sich WAFs zudem mit dem internen Identity Provider (IdP), oftmals Active Directory, verbinden und fungieren dann als Identity und Access Management (IAM)-Schnittstelle. So können die internen Identity Services auch sicher ins Internet hin angeboten und von dort aus genutzt werden.
• Vulnerability Management: Mittels eines systematischen Vulnerability Managements sind Verwundbarkeiten innerhalb der zentralen Infrastruktur der Applikation proaktiv zu identifizieren und zu beheben. Das Vorhandensein von technischen Verwundbarkeiten stellt einen wichtigen Input für das Verständnis existierender Bedrohungen (Threat Intelligence) durch das SOC dar. Für das Vulnerability Management sind angemessene Lösungen und für die Softwarearchitektur der Applikation (bspw. Client-Server, Microservice oder Container-Architektur) geeignete Scanning Tools bereitzustellen.

Des Weiteren gilt es, optional den Einsatz eines Network Detection & Response (NDR)-Systems in Betracht zu ziehen. Stand heute (2023) ist der Einsatz solcher Services noch wenig effizient, da die durch NDR-Systeme generierten Security Events eine hohe False Postive Rate aufweisen und somit ein unverhältnismässiger Mehraufwand beim Herausfiltern tatsächlicher Angriffe entsteht. NDR-Systeme liefern allerdings in Ergänzung zu EDR-Lösungen nochmals eine höhere Visibilität und Nachvollziehbarkeit von Vorkommnissen innerhalb eines Netzwerks und basieren meistens auf Machine Learning oder anderen KI-gestützten Verfahren. Mit den jüngsten Entwicklungen in der KI (künstliche Intelligenz) dürfte die Wirksamkeit dieser Systeme in den nächsten Jahren deutlich zunehmen, weshalb die Beschaffung eines NDR-Services bei der Institutionalisierung einer zentralen Betriebsorganisation berücksichtigt werden sollte.

Gerne beantworten wir Ihre Fragen zu Anforderungen und Best Practices im Bereich Security Operations und unterstützen Sie bei generellen Fragen zur IT-Sicherheit.

Kontaktieren Sie uns und erfahren Sie in einem unverbindlichen Beratungsgespräch, was unsere Spezialistinnen und Spezialisten für Sie tun können: +41 41 984 12 12, infosec@infosec.ch

Swiss Infosec AG; 28.04.2023
Fachteam IT-Sicherheit