IT-Sicherheit: Automatisierte Incident Response

Die Angriffserkennung ist mit SIEM-Systemen, KI und Threat Intelligence robust. Eine Forschergruppe probierte aus, ob man ohne Securityexperten auskommt.

Artikel verschenken
In Pocket speichern vorlesen Druckansicht 2 Kommentare lesen
Lesezeit: 10 Min.
Von
  • Paul Effing
  • Felix Franz
  • Lennart Herzog
  • Ruby Lehmann
  • Rieke Schlenkert
Inhaltsverzeichnis

Das Entdecken und Behandeln von Sicherheitsvorfällen dauert zu lange. Eine Reaktion benötigt trotz des Einsatzes spezialisierter Technik und gut ausgebildeter Experten viele Tage oder Wochen – von Echtzeit ist die Abwehrseite immer noch weit entfernt

Hier bilden sich am Markt folgerichtig Ökosysteme und APIs heraus, die das Ziel eines höheren Automatisierungsgrades verfolgen. Die verschiedenen Architekturbausteine der IT-Security arbeiten also zunehmend zusammen: Sandboxes erkennen gefährlichen Code in E-Mailanhängen und immunisieren eigenständig Endpoints im LAN oder stellen die Parameter der Intrusion-Detection- und -Prevention-Systeme (IDS/IPS) ein. Etliche Hersteller von Sicherheitssystemen werben mit der eigenständigen Reaktion ihrer Produkte – um die viel zitierte Time to Response (TTR) signifikant zu verkürzen.

Mehr zu: Unternehmenssicherheit

Trotz der zunehmenden Möglichkeiten zur Automatisierung tun sich Admins noch schwer, der Technik eigenständiges Reagieren auf Sicherheitsvorfälle anzuvertrauen. Studierende des Fachbereichs Wirtschaftsinformatik der Hochschule Weserbergland (HSW) nahmen das zum Anlass, die Möglichkeiten einer automatisierten Reaktion der Security-Bausteine einem Praxistest zu unterziehen. Sie untersuchten beispielhaft das Zusammenspiel einer Detektion innerhalb eines SIEM-Systems (Security Information and Event Management) und die daraus abgeleitete Gegenmaßnahme auf einer marktüblichen Firewall.

Das war die Leseprobe unseres heise-Plus-Artikels "IT-Sicherheit: Automatisierte Incident Response". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.