Sicherheit Teil 1: QRadar mit kognitiver Analytik

10. Juli 2017 | Von | Kategorie: Security

Aufgabe der Informationstechnologie ist die Automatisierung von Geschäftsprozessen in den Bereichen Einkauf, Logistik, ERP und so weiter. Für den Bereich Security automatisiert Sense Analytics die Sicherheitsmaßnahmen durch Erkennen der Risiken, Überwachung der Infrastruktur im Hinblick auf deren Gefährdung durch interne und externe Bedrohungen sowie durch forensische Analysen und Gefährdungsbekämpfung nach erfolgter Priorisierung basierend auf geplanter Abwehr. Dies ersetzt zeitraubende Einzelaktionen und deren Koordination durch das IT-Personal des Unternehmens.

Burgy Zapp von Schneider-Egestorf

Die Basis – aktueller Trend

Integration der Unternehmens IT in die Sicherheits-Lösung.

Globales Netze, globales QRadar

eMail, Internet, Mitarbeiter und ihre Geräte und Anbindungen an externe Systeme sind nicht vermeidbar. QRadar deckt das gesamte Netzwerk (on-premises & cloud) ab und integriert dabei andere Sicherheits-Lösungen, Firewalls etc. Viele Security Anbieter arbeiten gegenwärtig an diesem Schritt. Das ist nicht trivial. QRadar ist auf den ersten Blick ein Dashboard, wo die Ist-Situation zu einem Gesamtbild kristallisiert.

Einschätzen von Schwachstellen und potenziellen Angriffsvektoren

Jede (vernetzte) Software stellt eine Bedrohung dar. In der Masse und im Rahmen vieler Updates kann nur viel menschliche Arbeit den Überblick behalten, wo Schwachstellen entstehen und geschlossen werden müssen. QRadar deckt einen ausreichend großen Teil des Marketes ab, um alle aktuellen Bedrohungen im sich ständig wandelnden Umfeld zu kennen und diese Einschätzung für den Security Spezialisten sehr gut vorzubereiten. IBM hat zu diesem Zweck einen ganzen Landstrich an Security Anbietern gekauft.

Neues durch Kognition: Die Erfahrung anderer

IBM Watson gibt eine Handlungs-Empfehlung an den Endpoint: „Bitte System patchen, hier ist eine Schwachstelle.“ Empört ausgedrückt könnte man sagen, IBM Kunden profitieren hier von anderen IBM Kunden, vermittelt durch die Kognition von Watson.

Monitoring mit Kognition – Watson ist einen Schritt voraus

Je nach Größe des Unternehmens sitzen 1 – 3 Mitarbeiter des Security Operations Center (SOC) in ihrem jeweiligen Eskalations-Level vor ihren Dashboards und arbeiten die Events ab, die sich aus den Massen an aggregierten Daten ergeben.

Neues durch Kognition: Semantische Recherche

Im Monitoring recherchiert Watson indem er nicht nur als Crawler fungiert und alle Security Blogs, Whitepaper etc. liest sondern auch korreliert und somit im laufenden Monitoring verdächtige Verhaltensmuster, Anomalien und Gravität erkennt. Warum das so wichtig ist: Selbst wenn drei Köche zwischen den Töpfen hin und her rennen und nicht nur 1 Analyst alles macht, so ist ein Level 1, 2, 3 SOC-Analyst ein gestresster Zeitgenosse:

Level 1 erhält das Meer an Events auf seine Console. Schnell und viel müssen sie entscheiden, was als potenzieller Incident eskaliert wird und was bereits als false positive weg-geklickt wird. Der SOC-Analyst steht stark unter Druck ob er von den 5, 10, 20 Bedrohungen am Tag die einzige echte Bedrohung als false positive markiert. Im schlimmsten Fall läuft der Angriff durch. Zwei, drei Tage später kommt der Anruf „Wir haben ein paar Millionen Kundendaten im Netz gefunden“.

Level 2 Der SOC-Analyst hat 20 Minuten Zeit braucht aber 2 Stunden um den folgenden Vorgang zu recherchieren.

Welche IP Adressen? Pattern? Wo kommt der Event her? Worum geht es? Ist es ein Trojaner? eMail-Gateway? Oh, ich habe keine Evidenz? Das können tausende Events und genauso viele Flows sein. Ohne Integration geht das nicht.

Die grafischen Darstellungen verbinden die einzelnen Events/Flows zu einer Wolke die offensichtlich Kunden total begeistert, weil es die menschliche Wahrnehmung unterstützt und das Erkennen des Ursprungs des Angriffs-Vektors erleichtert. Die Analyse wirft z.B. noch eine Wahrscheinlichkeit für einen Positiv aus: 72%. An dieser Stelle ist der Level 1 / Level 2 Analyst durch: Es handelt sich um einen Positive und der Case wird an die Incident Response weitergereicht. Das ist ein normaler Prozess, der auch sicherstellt, dass die Informationen die weiter gereicht werden ein Mindestmaß an Qualität haben.

Level 3 SOC-Analyst kann im Zweifelsfall nicht mehr weiter eskalieren und seinen Nachfolger damit zumüllen. Er muss final klären, ob es sich um einen echten Angriff handelt. Spätestens jetzt lohnt es sich finanziell Watson gezielt zu befragen. Das Rechenzentrum von IBM ist derart gigantisch ausgelegt, dass ein paar Minuten (ca. 5 Minuten) ausreichen um alle weltweiten Publikationen auf die vielen Indikatoren eines Incidents hin abzuklopfen. Eine Einzelperson im Team benötigt 3 bis 4 Tage.

Wir finden keinen Analysten

„Unser Unternehmen ist gar nicht reizvoll genug für einen echten Security-Analysten, der kann sich hier gar nicht entwickeln.“
QRadar mit Watson ist sozusagen ein Ratgeber, der dem Analysten über die Schulter blickt. Es ist nicht nur entlastend diesen Ratgeber als Assistenten und Garant für Mindestqualität zu haben, sondern es ermöglicht dem Analysten auch zu reifen und sich zu entwickeln.
Einen Angriff post mortem zu analysieren, und den vielen Verweisen in den Whitepapern und Blogs zu folgen dauert häufig zwei Tage. Watson ist hier während des Incidents sehr viel schneller und hat in den wenigen Minuten die vielen Indikatoren ausgewertet. Aber auch die Kommunikation zwischen den Mitarbeitern ist erheblich verbessert. Erst jetzt ist es möglich, komplexe Angriffe einem Kollegen verständlich zu machen und darüber zu reden, weil die Aufbereitung durch QRadar und Watson Analyse ein verständliches Bild zeichnet.

Ein wertender Einblick

Wir haben uns bemüht das komplexe Thema QRadar mit Watson zu bewerten und einen Eindruck zu ermöglichen in die technologische Entwicklung. Wo die Wertschöpfung stattfindet, in der Integration durch QRadar, in den angehängten Sicherheitslösungen, in der Analyse, in der Aufbereitung oder der Kognition durch Watson können wir nicht beurteilen ohne in die Systeme hineinzublicken. Als IT Abteilung muss man sich selbst fragen, was man will und das den Anbietern kommunizieren. Ob es sich um SaaS oder Cloud handelt, die Technologie ist dieselbe, und es wird wohl nur die IBM ein Preisschild und Namensetikett auf die einzelnen Module kleben können. Leider scheint die Ära vorbei zu sein, in der man noch sagen kann in welchem Teil des Motors was passiert, denn die Verzahnung einzelner Bausteine ist hier so weit fortgeschritten.

Welche QRadar Bausteine enthält ihre Security Intelligence Solution? 90% der Befragten arbeiten mit Consoles, 69% with Event …

Aber eines kann sagen, der große Mittelstand könnte sich das Gesamtpaket leisten und man sollte sich fragen, was kostet mich ein Worst Case Szenario, wenn z.B. eine Millionen Kunden-Datensätze im Web auftaucht oder eine befreundete Regierung die Forschungsergebnisse für die eigene Industrie sichert. Wenn man nur einen Teil des hypothetischen Schadens aufwendet, hat man schon Gewinn gemacht. Viele Anbieter leisten im Moment bei der Integration des IT-Netzwerkes und Aggregierung der Daten gute Arbeit. Das was IBM im Moment den anderen voraus hat, ist das analytisch-kognitive Layer als Ratgeber und Assistent der Security-Analysten. Diese benötigen Hilfe häufiger als man denkt, auch weil sie oft noch administrative Aufgaben haben und sowieso die Zeit sehr sehr knapp ist wenn sich ein Angriffs-Vektor in Echtzeit entwickelt. ­Nachdem wir unsere Arbeit getan haben (was macht/will ihr SOC-Analyst) wünschen wir Ihnen viel Erfolg bei der Evaluierung von Lösungen und geben erste Literatur:

Überblick über QRadar mit Watson

Bereits 2015 hat das Ponemon Institut in seiner QRadar Security Intelligence Client Study sehr detaillierte quantitative Statistiken zu diesem Thema vorgestellt. Es wurden Zeitaufwand, Skill-Sets und typischer Workflow der Security Teams untersucht, die in den Unternehmen für das Auffinden von Netzwerkattacken, Sicherheitsgefährdungen und die Untersuchung von Datenverlust-Szenarios eingesetzt werden. Es wurde untersucht, welche Auswirkungen die Implementierung von QRadar in den fast 200 Unternehmen hatte.
Als wichtigste Erkenntnis ergab sich, dass die Personal-Aufwendungen für den Bereich Security deutlich reduziert werden konnten.

Die Grafik zeigt, wieviel Personal durch die Einführung von QRadar Security Intelligence eingespart werden konnte. Die meisten Unternehmen (60%) beschäftigen ein bis zwei Vollzeit-Mitarbeiter (FTE=full time employee) für das Auffinden von Attacken wie oben beschrieben. Neunundsiebzig Prozent der Befragten konnten nach der Einführung die für die eingangs beschriebenen Aufgaben eingesetzten Beschäftigten um entweder eine halbe Vollzeitkraft (36%) oder um eine Vollzeitkraft (43%) reduzieren.

IBM QRadar SIEM (Sicherheitsinformations- und Ereignis­management) konsolidiert Protokollereignisse und Netzflussdaten aus Tausenden Geräten, Endpunkten und Anwendungen im gesamten Netz. Die Lösung normalisiert und korreliert Rohdaten, um Sicherheitsverstöße zu ermitteln. Sie nutzt eine innovative Sense Analytics Engine, um normales Verhalten als Baseline festzulegen, Anomalien zu erkennen, ausgefeilte Sicherheitsbedrohungen aufzudecken und falsch-positive Werte zu entfernen. Die Echtzeitkorrelation mit Sense Analytics ermittelt Sicherheitsbedrohungen und Sicherheitsverstöße, die ein hohes Risiko darstellen. Hochrisikovorfälle werden priorisiert. Ferner erfolgt eine proaktive Analyse bezüglich bestehender Risiken durch problematische Gerätekonfigurationen und bekannte Sicherheitslücken. Gesetzliche Bestimmungen werden automatisiert eingehalten durch Funktionen für die Datenerfassung und Berichterstattung.
Optional kann diese Software auch IBM X-Force Threat Intelligence und damit eine Liste potenziell zerstörerischer IP-Adressen integrieren, z. B. von Malware-Hosts, Spamquellen und anderen Sicherheitsbedrohungen. IBM QRadar SIEM korreliert auch Systemschwachstellen mit Ereignis- sowie Netzdaten und trägt so zur Priorisierung von Sicherheitsverstößen bei.

IBM QRadar SIEM umfasst folgende Features:

  • Echtzeiteinblick in die gesamte IT-Infrastruktur zur Erkennung und Priorisierung von Sicherheitsbedrohungen
  • Reduzierung und Priorisierung von Alerts, damit sich die Sicherheitsanalysten auf die Untersuchung einer verlässlichen Liste verdächtiger Ereignisse konzentrieren können, die mit hoher Wahrscheinlichkeit eine Gefährdung darstellen
  • Effektiveres Management von Sicherheitsbedrohungen bei gleichzeitiger Erstellung von detaillierten Berichten hinsichtlich Datenzugriff und Benutzeraktivitäten
  • Einsatz in lokalen und Cloud-basierten Umgebungen
  • Erstellung von detaillierten Berichten hinsichtlich Datenzugriff und Benutzeraktivitäten für das Compliance-Management
  • Multi-Tenant-Funktionalität und eine Hauptkonsole, damit Anbieter von Managed Services die Sicherheitsdatenlösungen auf kosteneffiziente Weise bereitstellen können

Von den Befragten gaben 62% an, dass sie Security-Einzellösungen durch QRadar ersetzen konnten. Durchschnittlich konnten sie 6,2 einzelne Sicherheitslösungen ersetzen.

Mithilfe der Expertise von IBM X-Force im Hinblick auf Sicherheitsbedrohungen und des Know-hows des Entwicklungsteams wird eine vorbeugende Herangehensweise an die Sicherheit unterstützt. Sie werden ergänzt durch die von IBM und anderen Anbietern entwickelten Erweiterungen, die über IBM Security App Exchange zur Verfügung stehen. Diese Technologien ermöglichen verbesserte Visualisierungen, umfassende Integrationen, Zusammenarbeit und eine entsprechende Reaktion auf Vorfälle, um Sicherheitsbedrohungen in Angriff zu nehmen.

Welche Anwendungsfälle (use cases) waren für die Evaluierung und Kauf von QRadar ausschlaggebend?

Weiterführende Informationen

https://exchange.xforce.ibmcloud.com/hub

Die QRadar Produktgruppe umfasst: User Behaviour Analytics, on Cloud, Incident Forensics, Log Manager, SIEM, Vulnerability Manager. Zu den Funktionen dieser Lösungen gibt es jeweils eine deutschsprachige Dokumentation bei IBM.com

Ein englischsprachiges Datenblatt zu dem IBM Produkt QRadar Security Intelligence Plattform finden Sie hier:

https://ibm.co/2sTCyHQ

Quellen / Abbildungen

Abbildungen der Statistiken

Ponemon Institute (2015). QRadar Security Intelligence Client ­Study. Traverse City: Ponemon Institute LLC

Einlauf-Illustration

IBM Security. (2016). IT executive guide to security intelligence. Somers: IBM Corporation

 

Schlagworte: , , , , , , , , , , , ,

Schreibe einen Kommentar

Sie müssen eingeloggt sein, um einen Kommentar schreiben.