IBM hat mit Cloud Pak for Security eine offene Sicherheitsplattform vorgestellt, die standardbasiert und damit über Clouds und Umgebungen hinweg Informationen mit anderen Security-Lösungen austauschen kann. Damit, so der Hersteller, muss ein SOC-Team die Daten für die Analyse nicht mehr von den Datenquellen verschieben. Die Plattform nutzt Open-Source-Technik zur Angriffsabwehr und bietet Automationsfunktionen, um die Reaktion auf Angriffe (Incident Response) zu beschleunigen.

Per Kommunikation mit STIX (Standard Threat Information Expression) verbindet Cloud Pak for Security Datenquellen, die dieses maschinenlesbare Datenformat unterstützen. Föderierte Abfragen erübrigen die Replikation von Datenbeständen und sollen es erleichtern, versteckte Bedrohungen zu erkennen und risikobasiert Entscheidungen zu treffen. Security-Analysten können die Bedrohungsermittlung laut IBM mit der Data-Explorer-Anwendung des Cloud Paks optimieren, statt manuell in den diversen Tools nach Bedrohungsindikatoren (Indicators of Compromise, IoCs) suchen zu müssen.

Die Lösung umfasst laut IBM ein vollständiges Incident-Response-Werkzeug. Dahinter steckt die Software von Resilient Systems, eines Incident-Response-Anbieters, den der Konzern 2016 akquiriert hat. Die Plattform dient der Koordination der Sicherheitsabläufe aus einer einheitlichen Benutzeroberfläche und mit automatisierten Playbooks.

Cloud Pak for Security lässt sich lokal, in einer privaten oder öffentlichen Cloud installieren. Dafür sorgt IBMs Cloud-Pak-Ansatz: Containerisierte Software auf der Basis der Kubernetes-Plattform Red Hat OpenShift erlaubt die flexible Bereitstellung über Plattformgrenzen hinweg. Für den Betrieb offeriert IBM auch sein Cloud Pak System, bei dem Cloud Paks, VMware-Virtualisierung und OpenShift vorintegriert sind. Cloud Paks gibt es für Multi-Cloud-Management, Applications, Integration, Automation, Daten und nun eben auch für Security. Die Cloud Paks hat IBM Anfang August vorgestellt, kurz nach der Übernahme des Open-Source-Spezialisten Red Hat.

Neben STIX-basierter Kommunikation bietet die Security-Plattform laut Hersteller Schnittstellen für die Integration mit gängigen Sicherheits-Tools: Neben hauseigenen Werkzeugen und der IBM Cloud umfasst die Liste Lösungen von Carbon Black, Tenable, Elastic, BigFix und Splunk. Noch dieses Jahr sollen Schnittstellen für die Anbindung an AWS und Azure folgen. Ein Development Framework erlaube es Anbietern und Partnern, eigene Schnittstellen und Applikationen zu entwickeln.

Sonja Gresser, Technical Sales Architect bei IBM Security Software, erläuterte den Einsatz der Lösung gegenüber LANline wie folgt: Sobald eine Information zu einer neuen Bedrohung vorliegt, muss der Security-Analyst im SOC wissen, ob es auch in seiner Umgebung Hinweise darauf gibt. Dafür könne er nun eine föderierte Suche nach der Checksumme über die angebundenen Security-Werkzeuge hinweg per STIX oder Konnektoren anstoßen. Das Ergebnis werde dann in Cloud Pak aufbereitet und mit Angaben wie Datenquelle, IP-Adressen, URLs, Benutzer etc. dargestellt.

Die Visualisierung erfolge als tabellarische Übersicht, als Verlaufsgrafik oder als Darstellung im STIX-Format. Der Analyst erhalte Informationen, welche Prozesse und Payloads mit dem Indikator erfasst wurden, auch die Kritikalität der Bedrohung lasse sich ersehen. Auf dieser Basis könne er einen Case initiieren und bei Bedarf Level-2/3-Analysten für Abwehrmaßnahmen hinzuziehen. Bereits abgefragte Daten stehen laut Gresser für weitere Queries zur Verfügung. Zudem könne man über die Resilient-Plattform weitere Informationen hinzufügen, um die Reaktion besser orchestrieren zu können, sowie Workflows anstoßen, etwa Genehmigungen, die Information weiterer Analysten, das Beenden von Prozessen etc.

Darstellung eines Suchergebnisses von Cloud Pak for Security mit Zeitverlauf. Bild: IBM

Darstellung eines Suchergebnisses von Cloud Pak for Security mit Zeitverlauf. Bild: IBM

Cloud Pak for Security eignet sich laut Gresser dank Mandantenfähigkeit und hoher Skalierbarkeit auch für MSSPs (Managed Security Service Provider): Ein MSSP könne nun die Security-Silos seiner Kunden miteinander verknüpfen und so seine Abläufe von der Datensammlung bis zur Reaktion optimieren.

IBM ist Gründungsmitglieder der Open Cybersecurity Alliance, in der sich über 20 IT-Sicherheitsanbieter zusammengeschlossen haben, um mittels offener Standards und Open-Source-Software die Interoperabilität von Sicherheitslösungen zu verbessern. Ein Teil dieser Bemühungen sind die Security-Standards STIX und TAXII (Trusted Automated Exchange of Intelligence Information, LANline berichtete).

IBM Cloud Pak for Security ist ab sofort weltweit verfügbar. Lizenziert wird die Lösung nach der Zahl der Server, die Telemetriedaten liefern, also unabhängig von der Anzahl der SOC-Analysten. Zielgruppe sind laut IBM-Spezialistin Gresser alle Unternehmen, die mehrere Security-Tools im Einsatz haben und deren Informationen integrieren müssen. Zur Frage, ob man die Lösung auch als Managed Service anbieten will, machte IBM gegenüber LANline keine Angaben.

Weitere Informationen finden sich unter www.ibm.com.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.