Was macht eigentlich ein Security Operations Center genau? Wie hilft es, ein KMU sicherer zu machen? Im folgenden Beitrag zeige ich konkrete Beispiele anhand eines anonymisierten Kunden.
Was macht das SOC im konkreten Beispiel?
Im Grundsatz ist das SmartIT-SOC eine Zentrale mit weitverzweigten Sensoren und der Möglichkeit, standardmässig diverse Reports zu generieren und im SOC-Analysten-Dashboard anzuzeigen. Unter anderem können im SOC auch PingCastle-Reports angezogen werden. In diesen Reports wird das Microsoft Active Directory – kurz AD – anhand von mehr als 70 Regeln auf Sicherheitslücken überprüft. Also quasi ein Healthcheck für den zentralen Verzeichnisdienst für die Verwaltung von Windows-basierten Netzwerken, wo die verschiedenen Geräte und Ressourcen eines Netzwerks gespeichert sind.
Kurzinterview mit Fabian Müller
Die SmartIT hat dies für einen Kunden umgesetzt und die aufgedeckten potenziellen Schwachstellen sukzessive abgearbeitet. Dem Projektleiter Fabian Müller konnte ich darüber ein paar Fragen stellen.
Aladin: Fabian, anhand von PingCastle-Reports im SOC-Dashboard, hast du für deinen Kunden das Active Directory von Altlasten befreit und aufgeräumt. Bot dir der Report eine Schritt-für-Schritt-Anleitung?
Fabian: In gewissen Fällen, ja. Man muss sich vorstellen, dass ein PingCastle Report über 70 Regeln abfragt. Wenn der Report dann ausweist, dass zum Beispiel gewisse Best Practices nicht umgesetzt werden, ist das teilweise recht schnell behoben. In anderen Fällen steht im Report, dass beispielsweise zu viele Personen über weitreichende Adminrechte verfügen, was potenziell ein grosses Risiko darstellt. In diesen Fällen spielte ich dann schon eher Detektiv, um die Notwendigkeit dieser Berechtigungen zu prüfen.
Was macht denn eine Umgebung sicher oder unsicher, wenn sich da viele Admins tummeln?
Beim Thema IT-Security geht es immer um die Minimierung von Risiken. Je mehr Personen oder auch unpersönliche Accounts mit weitreichenden Adminrechten ausgestattet sind, desto mehr Schaden könnte im Falle eines Angriffs angerichtet werden.
Das SmartIT-SOC zeigt dir den PingCastle Report. Aber da fängt die Arbeit eigentlich erst an, oder?
Ja, genau. Diese Reports können manuell erstellt oder regelmässig, automatisiert im SOC dargestellt werden. Zum Vergleich: Man kann bei einem Patienten einmal Fieber messen oder die Temperatur kontinuierlich überwachen. Das SOC bildet den zweiten Fall ab.
Und wie sieht die eigentliche Arbeit bei der Bereinigung aus?
Das ist sehr unterschiedlich. Im Falle der Admin-Berechtigungen ging es beim Kunden darum, die Admin-Rechte dort zu beschneiden, wo sie nicht regelmässig verwendet wurden oder für den Anwendungsfall nicht erforderlich waren. Eine weitere potenzielle Gefahr barg der Eintritt von neuen Personen. Rollen und damit auch Admin-Rechte wurden einfach kopiert. Hier besteht die Arbeit im Erstellen eines Eintrittsprozesses, damit die Admin-Rechte gezielter vergeben werden. Dasselbe gilt für den Austritt von Mitarbeitenden oder bei der Ablösung von Diensten: Die entsprechenden (Servie-)Accounts wurden wohl zumeist deaktiviert, aber nie gelöscht. Auch hier verstecken sich potenzielle Risiken.
Und dieser Kunde ist jetzt sicherer?
Die Risiken wurden verkleinert, ja. Beispielsweise gab es beim Kunden Accounts, die über enorm weitreichende Administrator-Rechte verfügten. Diese sollten zeitlich limitiert sein. Ansonsten können im Falle eines Angriffs enorme Schäden entstehen. Solche Altlasten wurden beseitigt und mithilfe der PingCastle Reports sah ich auch, wie sich der Score mit jeder umgesetzten Massnahme verbesserte. Darum: Ja, dieser Kunde ist jetzt sicherer. Was ich aber betonen will: Im Normalfall können nicht alle Empfehlungen aus PingCastle Reports umgesetzt werden. In gewissen Fällen muss das Risiko akzeptiert werden, weil es der Anwendungsfall nicht anders zulässt. Immerhin wird das Risiko durch die PingCastle Reports bewusst gemacht.
Der PingCastle Report vom Februar 2023
Im Vergleich der PingCastle Report vom August 2023
Danke dir für deine Antworten, Fabian!
Fazit
Das SmartIT-SOC ist in der Lage, viele verschiedene Sensoren zu berücksichtigen und Gefahrenpotenziale aufzuzeigen. Ein enorm wichtiger Punkt kommt aber in Diskussionen oftmals zu kurz: Das SOC ist nicht primär dazu da, die neusten Security-Tools zu verkaufen, sondern zeigt wie im oben beschriebenen Fall auch organisatorische oder prozessuale Gefahrenherde auf. Indem ein Eintritts- oder Austrittsprozess für Mitarbeitende eingeführt und konsequent umgesetzt wird, werden wiederum potenzielle Gefahren für die IT-Sicherheit beseitigt.
Wir als SmartIT unterstützen Sie sowohl im Betrieb des SOC wie auch bei allfälligen Aufräumarbeiten, wie im oben beschriebenen Fall.
