Projekt “pEAgasus”: Wenn Systemhärtung und Angriffserkennung effektiv ineinander greifen

Die Härtung von Systemen und die Erkennung von Cyber-Angriffen sind zwei unterschiedliche Bausteine einer IT-Sicherheitsstrategie. Und beide sind eigentlich unabhängig voneinander. Das muss nicht sein! Mit dem Projekt “pEAgasus” bringen wir zusammen, was zusammen gehört.

Ziel: Weniger “Roter Alarm” beim SOC-Team

Ruhe – dieses Wort kennt ein Security Operations Center (SOC) eigentlich nicht. Die IT-Sicherheitsspezialisten haben ständig etwas zu tun, da fortlaufend Alarme (sog. Events) “aufploppen”, denen sie nachgehen müssen. Viele Meldungen sind leider Fehlalarme oder irrelevant, trotzdem fressen sie Zeit und oft auch Nerven.

Wie lässt sich dieser Zustand des ständigen “Red Alerts” verringern? Mit System Hardening bzw. Systemhärtung! Warum, das erläutern wir in unserem Beitrag “Wie das Security Operations Center deutlich von einer Systemhärtung profitiert”.

Denn: Wenn es Angriffe auf Systeme gibt, die “gehärtet” wurden, muss sich das SOC, ein CSIRT (Computer Security Incident Response Team) oder ein CDC (Cyber Defense Center) nicht mit höchster Priorität darum kümmern. Die Cyber-Attacken werden entweder präventiv komplett verhindert oder sie werden deutlich ausgebremst.

Doch woher weiß ein Sicherheitsteam, dass die angegriffenen Systeme wegen ihrer sicheren Konfiguration wenig bis gar nicht angreifbar sind? Wie behält das SOC die Übersicht bei großen Systemlandschaften, die aus Hunderten oder gar Tausenden Notebooks, Servern und Cloud-Infrastrukturen bestehen? Diese große Frage klärt das Projekt “pEAgasus”.

Was ist “pEAgasus”?

Hinter “pEAgasus” steckt ein kleines Team. Das besteht aus Mitarbeitern der FB Pro (größtenteils Studenten, die ein Projekt im Rahmen des Moduls “Projektmanagement / PROJ” absolvieren) und unserem Partner Trovent. Gemeinsam versuchen sie, zwei Welten zusammenzubringen:

So entstand der Name “Project EA / EAGLE”, verkürzt “pEA”. Daraus wurde schließlich die griffigere Bezeichnung “pEAgasus”, welche an das geflügelte Pferd aus der griechen Mythologie erinnert.

Das Ziel des Projektteams ist es, beide Lösungen miteinander zu “verheiraten”. Das Konzept sah so aus:

    • Das MDR-System erkennt, dass ein spezieller Angriffsvektor im Rahmen eines Angriffs auf ein spezifisches System genutzt wird.
    • Nun erfolgt ein automatischer Check über den Enforce Administrator, ob das betroffene System gehärtet und dieser Angriffsvektor abgeschaltet wurde.
    • Nach dem schnellen, automatisierten Austausch wird klar: Die Attacke ist harmlos, da der Angriffsvektor dank des System Hardenings nicht (mehr) vorhanden ist.
    • Conclusio: Beim SOC bzw. CSIRT / CDC gibt es keinen “Roten Alarm”, das Team kann sich anderen Dingen widmen.

Wie funktioniert der Austausch zwischen MDR und EA?

Das Trovent MDR wie auch der Enforce Administrator sind zwei eigenständige Produkte, die aber über Schnittstellen mit anderen Systemen kommunizieren können.

In der vereinfachten Darstellung erfolgt der Austausch zwischen MDR und Enforce Administrator folgendermaßen:

Schaubild: Kommunikation Trovent MDR/EAGLE und Enforce Administrator (Bild: FB Pro/Trovent)

Das bedeutet:

    • Das Trovent MDR-System (EAGLE) erkennt Angriffe
    • … und sendet sie an die Apache Kafka Connect API, einem Message Broker.
    • Die Analytics Engine von Trovent liest die Events über Kafka aus und verarbeitet sie.
    • Der neu entwickelte PROJ-Code reichert die Hardening-Informationen an.
    • Eine Mapping-Tabelle definiert, welche Härtung vor welchen Angriffen schützt.
    • Das System kommuniziert über die REST-API mit dem Enforce Administrator.

Eine detaillierte Erläuterung bietet das folgende Flowchart. Es zeigt, was bei der Erkennung eines Angriffs geschehen soll.

Flowchart Projekt "pEAgasus" (Bild: FB Pro/Trovent)

Funktioniert das Vorhaben?

Die Theorie war klar. Aber klappt auch die praktische Umsetzung? Bekam “pEAgasus” – sinnbildlich betrachtet – wie geplant Flügel und konnte abheben?

Ja! Das Projektteam entwickelte einen Prototypen, bei dem die Zusammenführung von Enforce Administrator und Trovent MDR wie geplant funktioniert. Das heißt, das Angriffserkennungssystem kann dank der Hardening-Informationen aus dem Enforce Administrator die erkannten Angriffe besser einordnen und so beispielsweise innerhalb kürzester Zeit eine Entwarnung geben.

Wie geht es weiter?

Das Projektteam hat sehr gut gezeigt, dass ein Abgleich von Hardening-Informationen mit einem Managed Detection and Response System möglich ist und zu den gewünschten Ergebnissen führen kann. Der Grundstein ist also gelegt. Jetzt geht es darum, den Enforce Administrator und das Trovent MDR nicht nur für einzelne Testszenarien zu vernetzen, sondern beide Tools für den Einsatz im großen Stil fit zu machen.

Mit anderen Worten: Aus dem Testballon soll ein fertiges Produkt werden. Dieses wird voraussichtlich im Laufe des Jahres fertig sein. Bei Interesse können Sie sich bereits jetzt an uns wenden.

Melden Sie sich bei uns!

Fazit

Mit “pEAgasus” kommen zwei Dinge zusammen, die zusammengehören: Systemhärtung und Angriffserkennung – und das in einer Lösung, die vollautomatisch arbeitet. Eine solche Verzahnung von MDR- und Hardening-Tools gibt es unseres Erachtens noch nicht auf dem Markt. Das Team hat damit Neuland betreten. Mit Erfolg!

Und “pEAgasus” bringt das Konzept “SecOps” bzw. “Security Operations” in die Praxis. Denn es entsteht eine transparente Zusammenarbeit zwischen verschiedenen Bereichen der Cybersicherheit.

 

Bilder: Adobe Firefly, FB Pro, Trovent

Schreibe einen Kommentar