Automation vereinfacht und erhöht die IT-Sicherheit
In immer größerem Maße sind Unternehmen Cyberangriffen ausgesetzt, die zudem an Komplexität gewinnen. IT-Sicherheit wird deshalb zunehmend zum Problem. Mit einer Automatisierung der IT-Security können Unternehmen Insellösungen integrieren, Abläufe vereinheitlichen und so die IT-Sicherheit signifikant verbessern.
Automation gehört zu den zentralen IT-Themen. Auch der Bereich Sicherheit sollte dabei keine Ausnahme bilden. Aktuelle und künftige Herausforderungen im Bereich der IT-Sicherheit kann ein Unternehmen angesichts der dynamisch steigenden Cybergefahren mit einer konsequenten IT-Automatisierung bewältigen – und zwar aufwands- und kostenreduzierend. Diese Automatisierung muss von der Bereitstellung über die Wartung und Pflege bis zum Betrieb eines kompletten IT-Stacks im Kontext eines End-to-End-Prozesses reichen.
Es liegt auf der Hand, dass die zunehmende Größe und Komplexität von Infrastrukturen und Netzwerken Unternehmen die Aufgabe erschwert, eine hohe IT-Sicherheit zu gewährleisten – gerade bei einer händischen Administration. Manuelle Vorgänge können zu einer langsameren Erkennung und Behebung von Problemen, Fehlern bei der Ressourcenkonfiguration und einer inkonsistenten Anwendung von Richtlinien führen. Dadurch werden Systeme leichter anfällig für Angriffe.
Erschwerend kommt hinzu, dass Unternehmen in aller Regel zahlreiche einzelne Sicherheitslösungen nutzen, die von mehreren Teams in verschiedenen Geschäftsbereichen und an unterschiedlichen Standorten verwaltet werden.
Diese Herausforderungen kann ein Unternehmen mit der Einführung automatisierter Workflows und Prozesse auf der Basis einer Security-Automation-Lösung bewältigen. Die Automatisierung unterstützt Unternehmen entscheidend, die täglichen Abläufe zu optimieren und die Sicherheit von Anfang an in Prozesse, Anwendungen und die Infrastruktur einzubinden.
Eine solche Lösung muss Offenheit bieten und eine hohe Modularität aufweisen. Nur so kann sie die große und wachsende Anzahl an Cybersicherheits-Tools unterstützen, die verschiedenste Bereiche wie Endpunkt-, Netzwerk- oder Datensicherheit abdecken. Basiert eine Security-Automation-Lösung auf offenen Standards, kann ein Unternehmen strukturierte Arbeitsabläufe entwickeln, die zum Beispiel auch in vorhandene SOAR (Security Orchestration, Automation and Response)-Plattformen und SIEM (Security Information and Event Management)-Anwendungen integrierbar sind.
Das Grundprinzip eines effizienten und offenen Frameworks für die Sicherheitsautomatisierung ist die Verbindung unterschiedlicher Systeme aus dem gesamten Unternehmen durch automatisierte Workflows. Damit können die Verantwortlichen für den Betrieb der IT-Sicherheit Aktivitäten über verschiedene Produkte und Lösungen hinweg schneller durchführen.
IT-Automatisierung heißt Ansible
Als Automatisierungslösung wird in der IT in immer stärkerem Maße Ansible eingesetzt. Das Framework zählt inzwischen zu den bedeutendsten Open-Source-Projekten im IT-Bereich. Für den Unternehmenseinsatz sollte eine Enterprise-Lösung mit Support genutzt werden, da auch kritische Bereiche automatisiert werden. Dies trifft insbesondere auf einen Bereich wie die IT-Sicherheit zu.
Prinzipiell können mit Ansible Prozesse über Server, Storage-Geräte, Netzwerk-Devices, Container, Clouds, Services und Anwendungen hinweg automatisiert werden, etwa im Hinblick auf Provisioning, Konfigurationsmanagement, Applikationsbereitstellung oder Orchestrierung. Konkret führt Ansible unterschiedlichste Playbooks und Rollen in einem Workflow zusammen. Auf diese Weise kann jeder IT-Bereich seine Kompetenzen in entsprechende Playbooks einbringen, die anschließend in komplexe Prozesse integriert werden.
Der Einsatz von Ansible Automation Platform bietet Unternehmen die Möglichkeit, die gesamte IT-Landschaft, also auch die Sicherheitsinfrastruktur, mit einem einzigen Tool zu automatisieren. Die Lösung kann mittels RESTful APIs und eines Self-Service-Portals einfach in vorhandene Tools und Prozesse integriert werden; sie ist damit für den durchgängigen Einsatz im gesamten Unternehmen geeignet. Zentrales Lösungsmerkmal ist der Modul-Aufruf über Playbooks, die in der leicht verständlichen Sprache YAML geschrieben sind. Ein Playbook besteht aus einer Liste von Tasks, die interpretiert und ausgeführt werden. Jeder Task ruft ein Modul auf, das gekapselt die eigentliche Programmlogik enthält – entwickelt in Python, PowerShell oder einer anderen höheren Programmiersprache. Die Module werden durch die Community, Red Hat oder Produkthersteller entwickelt und gebündelt in Form von Collections zur Verfügung gestellt.
Bezogen auf die IT-Sicherheit ermöglicht Ansible Automation Platform eine schnelle, effiziente und zuverlässige Bereitstellung, Verwaltung und Orchestrierung von Sicherheits-Tools und -Workloads. Dadurch werden der Administrationsaufwand gesenkt, potenzielle menschliche Fehlerquellen eliminiert, sich wiederholende manuelle Tätigkeiten beseitigt und eine konsistentere und stabilere Infrastruktur realisiert. Letztlich kann das automatisierte Workflow-Management damit auch zu einer erheblichen Kosteneinsparung beitragen.
Automatisierung koordiniert Sicherheitslösungen
Prinzipiell umfasst das Thema Sicherheit eine breite Palette von Produkten und Services, die Unternehmen vor dem Verlust oder der Beschädigung ihrer Daten, Anwendungen, IT-Systeme, Netzwerke und Geräte durch böswillige oder unbeabsichtigte Aktivitäten schützen sollen. Dazu gehören unter anderem die folgenden elementaren Lösungen, die in eine Automatisierungslösung integriert werden müssen: Firewall, IDS (Intrusion Detection System) und IPS (Intrusion Prevention System), SIEM sowie PAM (Privileged Access Management).
Firewalls kontrollieren, welcher Datenverkehr von einem Netzwerk in ein anderes gelangen darf, und schützen so Geschäftsanwendungen, die mit dem Internet oder Intranet verbunden sind. Eine Automatisierungslösung kann Richtlinien und Log-Konfigurationen anpassen, um die Prozesse für Untersuchungen und Problembehebungen zu beschleunigen.
IDS- und IPS-Systeme überwachen den Netzwerkverkehr auf verdächtige Aktivitäten, setzen Alarme ab und blockieren Attacken, wenn ein bekanntes Angriffsmuster aufgedeckt wird. Eine Automatisierungslösung kann das Regel- und Log-Management vereinfachen und so den Sicherheitsbetrieb effizienter gestalten.
SIEM-Systeme sammeln und analysieren Security-Events, um Bedrohungen zu erkennen und darauf zu reagieren. Mit einer Automatisierungslösung können Benutzer die Vielzahl der Datenquellen verwalten und den Zugriff auf die notwendigen Quellen ermöglichen wenn sie gebraucht werden, sodass Sicherheitsanalysten umfassende Informationen zur Beurteilung von Events nutzen können.
PAM-Lösungen schließlich überwachen und verwalten privilegierte Konten und Zugriffe, bieten Single Sign-on (SSO) und ersetzen hart kodierte Passwörter von Services und Anwendungen. Eine Automatisierungslösung optimiert die Rotation und Verwaltung von privilegierten Zugangsdaten, deaktiviert kompromittierte Nutzerkonten oder verschiebt verdächtige Maschinen in eine Quarantäne. Damit trägt sie zur Unterbindung risikoreicher Aktivitäten bei.
Die Automation bietet Security-Teams mehrere Vorteile. Dazu zählen:
- die Vernetzung von Workflows und Playbooks für die modulare Wiederverwendbarkeit,
Sicherheitsteams können eine Abfolge von Jobs konfigurieren, die Inventory, Playbooks oder Berechtigungen gemeinsam nutzen, um Untersuchungen oder Abhilfemaßnahmen vollständig zu automatisieren. - die Konsolidierung und Zentralisierung von Logs,
Die Integration mit externen Log-Services von Drittanbietern hilft Sicherheitsteams, Trends zu erkennen, Infrastruktur-Events zu analysieren, Anomalien zu überwachen und unterschiedliche Events zu korrelieren. - die Unterstützung von lokalen Verzeichnisdiensten und Zugriffskontrollen und
Die Kopplung von Benutzerverzeichnisdiensten mit der Infrastruktur ermöglicht es Sicherheitsteams, den Zugriff auf und die Ausführung von Jobs zu zentralisieren, Aktivitäten bestimmten Rollen zuzuweisen und Aufgaben mit anderen Teams zu teilen. - die Integration externer Applikationen unter Nutzung von RESTful APIs.
Sicherheitsteams können die Automatisierungslösung für die Verwaltung anderer Unternehmensanwendungen verwenden. Ein Beispiel hierfür sind SOAR-Lösungen.
Diese Vorteile unterstützen eine verbesserte Sicherheit. Konkret zeigt sich der Nutzen etwa beim Threat Hunting oder beim Incident Response Management. Beim proaktiven Threat Hunting können Unternehmen mit der unmittelbaren Erkennung von Bedrohungen die Wahrscheinlichkeit verringern, dass ein Sicherheitsvorfall auftritt. Die Automatisierung der Sicherheitsprozesse unterstützt dabei, Gefahren schneller und ohne manuelle Eingriffe zu identifizieren, zu validieren und zu eskalieren. Anwender können dafür etwa auch neue IDS-Regeln und Firewall-Richtlinien erstellen, die die Erkennung von mehr Bedrohungen in kürzerer Zeit ermöglichen. Sicherheitsteams können die Automatisierung auch nutzen, um Incident-Response-Maßnahmen unmittelbar und gleichzeitig auf betroffene Systeme in der gesamten Umgebung anzuwenden und damit schneller auf Vorfälle zu reagieren. So ist es beispielsweise möglich, Aktionen wie das Blocken angreifender IP-Adressen oder Domänen, das Erlauben von nicht bedrohlichem Datenverkehr oder die Isolierung verdächtiger Workloads für weitere Untersuchungen zu automatisieren.
Prinzipiell erhöht die IT-Automatisierung die Konsistenz, Wiederholbarkeit und Überprüfbarkeit des Infrastrukturbetriebs, der Anwendungsentwicklung und gerade auch des Sicherheitsbetriebs. Mit der Automatisierung können Unternehmen die Sicherheit von Anfang an in die Prozesse integrieren. Sicherheitsverletzungen, die vielfach auf falsche Konfigurationen, eine unzureichende Änderungskontrolle oder menschliche Fehler zurückzuführen sind, können damit minimiert werden.