Wie UiPath Cybersicherheitsvorgänge für eine intelligentere Bedrohungsabwehr automatisiert

Bei der Planung für das kommende Jahr räumen Chief Information Officers (CIOs) der Cybersicherheit Priorität ein, um ihre Organisationen vor immer raffinierteren Bedrohungen zu schützen.

Laut Foundrys „State of the CIO Study 2022“ werden „CIOs im kommenden Jahr ihre Zeit und ihr Fachwissen auf das Sicherheitsmanagement konzentrieren. 76 % gehen davon aus, dass ihr Engagement im Bereich Cybersicherheit im nächsten Jahr zunehmen wird, und 51 % geben an, dass sie sich in ihrer Rolle derzeit auf das Sicherheitsmanagement konzentrieren.“ Die zunehmenden Möglichkeiten zur Fernarbeit und die Verbreitung digitaler Lösungen während der Pandemie haben die Sicherheitsteams mit noch mehr Cybersicherheitsproblemen konfrontiert.

Sicherheitsexperten können derzeit verschiedene Anwendungen der künstlichen Intelligenz (KI) für IT-Operationen (AIOps) und Sicherheitsoperationen (SecOps) nutzen, um die Sicherheitslage ihrer Organisationen kontinuierlich zu verbessern. Diese Tools ermöglichen jedoch keine durchgängige Automatisierung von Sicherheitsabläufen. An einem bestimmten Tag kann ein Cybersicherheitsingenieur viel Zeit damit verbringen:

• Definieren und Durchsetzen von Sicherheitsregeln und -richtlinien für alle Bereiche der Infrastruktur/Umgebung

• Auf Bedrohungen scannen, Schwachstellen überwachen und Angriffe abwehren

• Durchführen kontinuierlicher Sicherheitsüberprüfungen und Nachverfolgen der Zugriffskontrolle auf kritische Ressourcen

Alarmmüdigkeit ist weiterhin ein Problem

Ein Team kann nur eine begrenzte Anzahl von Warnungen bearbeiten, bevor sie übersehen werden.

Eine Umfrage ergab, dass „mehr als ein Drittel der IT-Sicherheitsmanager und Sicherheitsanalysten Bedrohungswarnungen ignorieren, wenn die Warteschlange voll ist.“

Durch IT-Automatisierungsaktivitäten bietet UiPath benutzerfreundliche, herstellerunabhängige und robuste Sicherheitsbetriebsfunktionen. In diesem Artikel werden diese Funktionen erläutert und erläutert, wie sie eine umfassende Sicherheitsorchestrierung, -automatisierung und -reaktion (SOAR) ermöglichen.

Identitätslebenszyklus

In den meisten Unternehmen verwalten IT-Analysten Benutzerprofile, Rollen und Mitarbeiterzugriffskontrollen. Zu ihren Aktivitäten gehören möglicherweise die Benutzerbereitstellung, das Hinzufügen/Entfernen des Anwendungszugriffs, das Zurücksetzen von Benutzerkennwörtern und das Entsperren von Benutzerkonten.

UiPath verfügt über eine Automatisierung der Benutzeroberfläche (UI) und eine API-Integration mit wichtigen IAM-Tools (Identity Access Management) wie Microsoft Azure AD, um Identitätsverwaltungsaktivitäten wie die oben beschriebenen zu automatisieren.

In Kombination mit UI- und API-Funktionen, die sich auf den Service-Management-Bereich erstrecken, kann ein UiPath-Roboter auch IT-Service-Management-Tickets (ITSM) überwachen. Der Roboter kann Jobs basierend auf dem definierten Auslöser starten, notwendige Benutzerverwaltungsaktionen durchführen, das ITSM-Ticket aktualisieren und den Benutzer über die Lösung informieren.

Diese Roboter können in Chatbots und Kommunikationsplattformen wie Slack integriert werden, um den Mitarbeitern ein Gesprächserlebnis in Echtzeit zu bieten. Das folgende Diagramm erläutert den Prozessablauf der Benutzerverwaltung:

Verwendet UiPath UiPath?

Absolut! Wir automatisieren die im obigen Absatz beschriebenen Prozesse intern.

Durch die Automatisierung der Benutzerverwaltungsaktivitäten konnte unser ITOps-Team seinen Arbeitsaufwand um mehr als 15 % reduzieren. Außerdem sank die durchschnittliche Bearbeitungszeit von ITSM-Tickets von zwei Stunden pro Ticket auf nur noch zwei Minuten pro Ticket. Das führt zu einer Reduzierung des Zeitaufwands für die Lösung von Tickets um 98 %, sodass das Team mehr Zeit für komplexere Aufgaben hat.

Wir haben auch einen in Slack integrierten IT Service Desk-Chatbot. Der Chatbot bietet Mitarbeitern ein Gesprächserlebnis ohne menschliche Berührung und löst Benutzer- und Lizenzverwaltungsaktivitäten innerhalb von Minuten, ohne dass Helpdesk-Mitarbeiter eingeschaltet werden müssen.

Bedrohungserkennung und -prävention

Ein weiterer Schwerpunkt für Sicherheitsexperten sind Erkennungs- und Präventionsaktivitäten. Laut einer aktuellen IBM-Studie „hatten Unternehmen mit einer ‚vollständig implementierten‘ Sicherheitsautomatisierungsstrategie durchschnittliche Kosten für Sicherheitsverletzungen in Höhe von 2,90 Millionen US-Dollar – während diejenigen ohne Automatisierung mit 6,71 Millionen US-Dollar mehr als das Doppelte dieser Kosten verursachten.“

UiPath erweitert die Sicherheitsautomatisierungsfunktionen vorhandener Sicherheitsbetriebstools. Mithilfe ereignisgesteuerter Automatisierungsfunktionen kann ein UiPath-Roboter von der Endpunkterkennung und -reaktion (EDR), der erweiterten Erkennung und Reaktion (XDR), dem Sicherheitsinformations- und Ereignismanagement (SIEM) oder anderen Sicherheitsüberwachungstools ausgelöst werden, um Abhilfemaßnahmen durchzuführen.

Da Sicherheitsüberwachungstools einen Indikator für eine Kompromittierung (IoC) identifizieren, sind die Tools aufgrund fehlender API-Integration oder Routing-Problemen möglicherweise nicht in der Lage, Aktionen auf Netzwerksystemen wie Firewalls durchzuführen. In diesen Fällen muss der Sicherheitsanalyst manuell Aktionen durchführen, beispielsweise das Blockieren von IP-Adressen in Firewall-Systemen.

Ebenso führen Sicherheitsanalysatoren möglicherweise Firewall-Regelbewertungen durch, sind jedoch nicht in der Lage, Firewall- oder NAT-Regeln (Network Address Translation) und NAT-Objekte zu deaktivieren oder zu löschen. Aufgrund unserer herstellerunabhängigen Automatisierungsfähigkeiten kann ein UiPath-Roboter diese manuellen Aktionen mithilfe von UI- und API-Funktionen für jedes Produkt ausführen. 

Was ist mit E-Mail-Phishing?

Unsere Roboter können E-Mail-Threads automatisch unter Quarantäne stellen und Abhilfemaßnahmen auslösen. Einige der Bereiche der Bedrohungserkennung und -prävention, die mit UiPath automatisiert werden können, sind:

• Erkennungskontrollen

• Potenzielle Bedrohungstriage

• Automatisierte Behebung

• Schwachstellenmanagement

• Endpunktschutz

Wir verwenden solche Automatisierungen intern, um Brute-Force-Angriffswarnungen zu verwalten, die aus Quellen wie Azure Security Orchestration generiert werden. Darüber hinaus blockieren wir jedes Jahr mehr als 20.000 Brute-Force-Angriffe mithilfe unserer eigenen Automatisierungen.

UiPath kann dabei helfen, Prozesse zu automatisieren, die mehrere Systeme betreffen. Im Demovideo unten öffnet UiPath beispielsweise Tickets für die wichtigsten Systemschwachstellen. Der Roboter nutzt vier Unternehmenssysteme – Tableau, Tenable, ServiceNow und SharePoint –, um den Prozess abzuschließen.

Vorfallreaktion

Selbst die besten Organisationstools, die Sicherheitsbedrohungen erkennen und verhindern, sind nicht narrensicher. Sicherheitsvorfälle kommen häufig vor und das Incident-Response-Management ist der wahre Test für die Robustheit eines Sicherheitsteams.

Im Falle eines Verstoßes ist das Timing von entscheidender Bedeutung. Die oben genannte IBM-Studie bestätigt, dass Investitionen in Incident-Response-Aktivitäten die Kosten von Sicherheitsverletzungen senken:„Unternehmen mit einem Incident-Response-Team, das auch ihren Incident-Response-Plan getestet hat, hatten durchschnittliche Sicherheitsverletzungskosten von 3,25 Millionen US-Dollar, während diejenigen, die über keines verfügten, durchschnittliche Kosten von 5,71 Millionen US-Dollar hatten (was einer Differenz von 54,9 % entspricht).“

Hier sind einige Aktivitäten, die Ihr Sicherheitsteam im Rahmen der Reaktion auf Vorfälle automatisieren kann: 

• Löschen oder isolieren Sie verdächtige, mit Malware infizierte Dateien

• Führen Sie eine Geolokalisierungssuche für eine bestimmte IP-Adresse durch

• Suchen Sie nach Dateien auf einem bestimmten Endpunkt

• Blockieren Sie eine URL auf Perimetergeräten

• Quarantäne eines Geräts aus dem Netzwerk

• Rufen Sie Informationen über alle gefährdeten Benutzer ab

Diese Aktivitäten tragen dazu bei, die Behebung zu beschleunigen und die Prozesse zur Reaktion auf Vorfälle zu standardisieren.

Audit und Compliance

Alle Organisationen müssen verschiedene Audits durchführen und die Einhaltung von Industriestandards wie SOX, HIPAA und DSGVO sicherstellen. Im Rahmen eines Audits müssen Teams Beweise sammeln, Informationen zuordnen und Kontrolltests und -bewertungen durchführen. Sie können viele dieser Aktivitäten, insbesondere im Zusammenhang mit der allgemeinen IT-Kontrolle, automatisieren, indem Sie:

• Abrufen einer Liste aller AD-Benutzer nach Gruppen, Rollenmitgliedschaften und Ressourceneigentümern 

• Validierung der Aufgabentrennung über Anwendungsentwicklungs- und Bereitstellungsprozesse hinweg

Wir helfen nicht nur bei Audits – unsere Roboter können auch Compliance-Anforderungen überwachen. Anstatt auf jährliche Prüfungsaktivitäten zu warten, können Roboter etwaige Kontrollfehler proaktiv stoppen und die entsprechenden Manager alarmieren.

UiPath Robot kann Sie bei Compliance-Verstößen automatisch benachrichtigen. Beispielsweise ist die Verwendung von Gesundheitsinformationen, die eine Person identifizieren könnten (sogenannte geschützte Gesundheitsinformationen), gemäß den Datenschutzbestimmungen der HIPAA-Konformität nicht gestattet oder autorisiert. Dies verringert das Risiko, dass einfache Fehler oder Versäumnisse die Compliance-Bemühungen zunichte machen. 

Die UiPath-Automatisierungsplattform hilft auch bei internen Berichtsmechanismen. Stakeholder können notwendige Informationen sammeln, umfassende Berichte erstellen und diese Dokumente schneller und einfacher als je zuvor an die entsprechenden Parteien weitergeben.

Wir nutzen intern Roboter für SOX-Compliance-Tests und Beweissammlungen durch mehrere Automatisierungen, darunter über 2.000 Lizenzabstimmungen. Wir stellen außerdem Prüfnachweise zur Verfügung, um die Vollständigkeit, Richtigkeit und Existenz der mehr als 1.000 in unserem NetSuite-System erfassten Rechnungen zu beurteilen.

Sicherheitsaktivierungspakete und Produktpartnerschaften

Neben den nativen UiPath-Benutzeroberflächen- und API-Integrationsfunktionen stehen uns verschiedene vorgefertigte Aktivitätspakete und Workflow-Pakete zur Verfügung, um die Automatisierung Ihrer Sicherheitsabläufe voranzutreiben. Diese sofort einsatzbereiten Drag-and-Drop-Pakete sind leicht zu verstehen und zu verwenden.

UiPath unterhält außerdem strategische Partnerschaften mit großen Sicherheitsplattformen wie CyberArk, CrowdStrike und eSentire. UiPath-Roboter können nativ in CrowdStrike integriert werden, um Endpunkterkennung und -reaktion mit Falcon Insight zu ermöglichen. Die Integration mit eSentire ermöglicht eine durchgängige Automatisierung von Sicherheitsrichtlinien über mehrere Microsoft-Sicherheitsdienste hinweg.

Sehen Sie sich unseren aktuellen Blogbeitrag und unser Whitepaper an, um zu erfahren, wie UiPath andere IT-Bereiche, einschließlich Betrieb und Entwicklung, automatisiert.