In einer unternehmensweiten IT-Security Strategie bildet ein System zur Angriffserkennung, wie ein SIEM, einen elementaren Bestandteil (SIEM – Systeme zur Angriffserkennung aufbauen (materna.de)). Angriffe zu erkennen, ist der erste Schritt. Dieser allein reicht nicht. Abwehrmaßnahmen müssen unverzüglich aktiviert werden. In den folgenden Beiträgen dieser Reihe erläutern wir, welche gängigen SecOps-Lösungen es gibt und inwiefern sie dabei unterstützen können, Angriffe erfolgreich abzuwehren.
Warnungen von SIEM-Systemen sind in der Regel der Auslöser für das weitere Vorgehen. In vielen Fällen muss die Warnung gezielt durch Security-Verantwortliche bewertet und die Ursache während des Betriebs behoben werden. Dies funktioniert nur durch eine effiziente Kommunikation sowie den Zugriff auf aktuelle Daten über Bestandteile und Abhängigkeiten der vorhandenen IT-Systeme. Diese sind in komplexen IT-Umgebungen nicht leicht überschaubar. Zusätzlich sind Kompetenzen und Aufgaben oftmals auf verschiedene Teams verteilt. Fehlen diese Informationen, kann auf die Warnungen der Angriffserkennung nicht in einer angemessenen Zeit reagiert werden. Die Weiterleitung von genau den zur Bearbeitung benötigten Informationen an das richtige IT-Team ist eine Kernkompetenz einer IT-Service-Management (ITSM)-Suite. Genauso, wie das Aufzeigen von Abhängigkeiten zwischen Infrastruktur, Anwendungen und Services. Mit der Darstellung der Warnmeldungen aus der Angriffserkennung in einer ITSM-Suite und einem dazu passenden Prozess stellen Sie sicher, dass auf eine Angriffserkennung auch eine schnelle Reaktionsmaßnahme folgt.
Schneller reagieren mit OpenText SMAX (Service Management Automation X)
Ein Beispiel für eine ITSM-Plattform ist OpenText SMAX (Service Management Automation X). Konkret lässt sich SMAX nahtlos in den Security-Prozess einbinden, in dem es per Schnittstelle die Warnmeldungen der Angriffserkennung (z.B. Elastic oder ArcSight) automatisch empfängt. Die Meldungen werden zentral dokumentiert und sind somit auch verwaltbar und auditierbar, wenn automatisierte Reaktionsmaßnahmen erfolgen. Darüber hinaus stehen diese sensiblen Daten ausschließlich dem Security-Team zur Bewertung zur Verfügung, können jedoch je nach Situation dem Incident-Response Team oder jedem benötigten Betriebsteam übermittelt werden. Security, als bedeutender Baustein der IT-Prozesslandkarte, wird in SMAX prozessübergreifend folgendermaßen unterstützt:
- Breach Events: Dokumentation aller von der Angriffserkennung gefundenen Ereignisse
Bei einem Sicherheitsvorfall ist es wichtig, alle relevanten Informationen zu dokumentieren. SMAX ermöglicht die Aufzeichnung von Ereignissen, die vom SIEM-Tool erkannt wurden. Dies umfasst Details wie Zeitstempel, betroffene Systeme und die Art des Vorfalls. Sobald deutlich wird, dass ein Breach Event die Ausmaße eines Security Incident hat, kann dieser sofort in einen umgewandelt werden, ohne dass Informationen verloren gehen.
- Security Incidents: Aufzeigen aller sicherheitsrelevanten Incidents
SMAX unterstützt die Verwaltung von Sicherheitsvorfällen. Wenn ein Sicherheitsvorfall auftritt, können IT-Teams Änderungen an den betroffenen Systemen verfolgen und direkt per Security Emergency Changes alle Vorgaben im Change Management einhalten und nachweislich dokumentieren. Dies umfasst u. a. Aktualisierungen, Patches und Konfigurationsänderungen.
- Übersicht über betroffene Geräte und Services
SMAX bietet eine zentrale Ansicht, um alle betroffenen Geräte und Services zu überwachen. Dies ermöglicht es Sicherheitsteams schnell zu reagieren und potenziell gefährdete Bereiche zu identifizieren. Wiederholte und automatisierte Discovery Scans garantieren dabei eine fortlaufende Aktualität.
- Meldung an Behörden, Stakeholder und Mitarbeitende
Bei einem Sicherheitsvorfall ist eine zielgerichtete und schnelle Kommunikation entscheidend. SMAX ermöglicht die Erstellung von verschiedenen Vorlagen für die Benachrichtigung von Behörden, Stakeholdern und Mitarbeitenden. Durch einen definierten Workflow wird eine kontrollierte Kommunikation durch dafür befähigte Mitarbeitende gesteuert. Dies hilft, die Transparenz zu wahren und die jeweils benötigten Informationen gezielt mitzuteilen.
- Security Guidelines kommunizieren
SMAX kann Sicherheitsrichtlinien an Mitarbeitende und Agenten kommunizieren. Dies umfasst bewährte Verfahren, Sicherheitsbewusstsein und Verhaltensregeln. Diese werden zentral gepflegt und stehen dadurch immer in aktueller Version zur Verfügung. Agenten bekommen diese an passender Stelle in ihrem Arbeitsprozess angeboten. Für Mitarbeitende stehen sie im Self-Service Portal zur Einsicht bereit.
- Risikomanagement
SMAX unterstützt das Risikomanagement, indem es Risiken bewertet, priorisiert und überwacht. Dies hilft, potenzielle Sicherheitslücken zu identifizieren, proaktiv zu handeln und geeignete Maßnahmen zu ergreifen. Um diese Maßnahmen aktiv zu managen, bietet SMAX neben einem Risikoregister ein daran geknüpftes Maßnahmenregister an.
- Notfallplanung/Business Continuity Management
Um auf einen größeren Sicherheitsvorfall vorbereitet zu sein, ist eine Notfallplanung im Rahmen eines Business Continuity Managements unerlässlich. In SMAX können dafür Notfallpläne erstellt und verwaltet werden, um sicherzustellen, dass Teams im Notfall effektiv reagieren können. Des Weiteren werden Tests und Übungen dokumentiert. Beim Eintreffen eines Notfalls stellt SMAX für die Verantwortlichen übersichtlich die durchzuführenden Schritte dar und unterstützt die Steuerung der Notfallmaßnahmen und deren Protokollierung.
- Management der Angriffserkennung
Um die Angriffserkennung kontinuierlich zu aktualisieren und zu verbessern, müssen die verwendeten Use Cases erweitert werden und die Liste, der zu überwachenden Assets aktuell sein. SMAX ermöglicht dafür die Einbindung und Verwaltung von zu überwachenden Assets. Zusätzlich können in SMAX alle verwendeten Use Cases dokumentiert, überprüft und genehmigt werden. So wird sichergestellt, dass jederzeit schnell einsehbar ist, wie die Angriffserkennung aufgestellt ist.
Insgesamt bietet OpenText SMAX eine leistungsstarke Plattform für das Security Management. Es ermöglicht Unternehmen eine transparente, nachweisliche Dokumentation der Sicherheitsereignisse und gleichzeitig die Sicherheit ihrer IT-Systeme zu gewährleisten.
Im zweiten Teil stellen wir Ihnen die SecOps-Lösung von ServiceNow vor.
