In globalen Konzernstrukturen können lokale Vorfälle auf das gesamte Firmengeflecht ausstrahlen. Automatisierte Workflows helfen, auch bei komplexen Verbindungen effizient auf Sicherheitsvorfälle zu reagieren und die Informationen gezielt zu teilen (English version below).
Autoren: Jens-Uwe Fimmen, Senior Manager; und Eric Vervoort, IBM Threat Management Leader, IBM Security Expert Labs
Ob Waschmaschinen, Lautsprecher, Autos oder Flugzeuge – viele Güter entstehen heute im Zuge globaler Arbeitsteilung innerhalb großer multinationaler Konzerne. Je verflochtener die Produktion, desto schwieriger wird es, Problemen auf den Grund zu kommen. Geschweige denn, deren Auswirkungen effizient einzudämmen.
Falsche Schraube locker
Blicken wir auf die Praxis: In einem internationalen Werk, beispielsweise in Asien, wird festgestellt, dass für eine bestimmte Komponente (eines Flugzeugs, Autos, Backofens etc.) eine falsche Schraube verwendet wurde. Unter bestimmten Bedingungen – Temperatur, Belastung, Druck – lockert sich diese Schraube im Endprodukt, was wiederum zu Schäden oder Unfällen führen kann. Die falsche Schraube im internationalen Werk wird also zu einem Sicherheitsproblem globalen Ausmaßes.
Um auf Fälle wie diese reagieren zu können, arbeiten Konzerne mit automatisierten Prozessen. Diese werden über eine Kombination von Software-Programmen gesteuert, die Daten zu den Bedrohungen sammeln, kategorisieren und dann entsprechende Reaktionen triggern. Lösungen dieser Art nennen sich SOAR, ein Akronym aus „Security, Orchestration, Automation und Response“.
Geprägt wurde der Begriff von Gartner. Er lässt sich auf alle Produkte und Services anwenden, die dabei helfen, Vorfallsreaktionen zu priorisieren, zu standardisieren und zu automatisieren. Bei dem ganzen Vorgang ist es wesentlich, dass dabei die Informationen auch wirklich nur mit den Konzernteilen, Abteilungen oder Ländern geteilt werden, die davon wissen sollen.
So könnte das SOAR im Fall „falsche Schraube“ folgendermaßen verfahren: Der Vorfall wird im System gemeldet; daraufhin prüft die Lösung automatisch, in welchen Produkten und Varianten des Konzerns die Schraube verbaut wurde und löst eine vordefinierte Reaktion aus. Beispielweise könnte sie die Produktionsleiter in anderen Werken benachrichtigen und einen Produktionsstopp oder frühzeitig eine Korrektur bewirken, bevor das Ausmaß des Problems ins Unermessliche steigt.
SOAR wickelt Sicherheitsthemen automatisch ab
SOAR-Lösungen gibt es von verschiedenen Herstellern. IBM bietet für diese unternehmenskritischen Fragen die Lösung „IBM Security SOAR Clearing System“ auf Basis der hoch-integrationsfähigen IBM Security QRadar SOAR-Plattform (ehemals IBM Resilience) an. Beispielsweise lässt sich IBM QRadar SOAR im Rahmen von IBM Cloud Pak for Security mit ARGUS Cyber Security integrieren, welches moderne Fahrzeuge vor Cyber-Attacken schützt, um so auf von der Norm abweichenden Ergebnissen einer Kfz-Sensorik sofort Reaktionen abzuleiten. Weitere Use Cases umfassen Sensoren aus Industrieanlagen oder Informationen aus Zugangssystemen.
Allerdings ergibt sich aus dieser hocheffizienten Praxis eine neue Herausforderung, die speziell multinationale Konzerne betrifft: Es kann sein, dass der Problemfall „falsche Schraube“ in einigen Märkten gar kein Problemfall ist, aber andere Probleme verursachen würde, wenn er für diese Märkte getriggert wird. Beispielsweise könnte das in Märkten sein, in denen das Problem nicht auftreten kann, weil dort andere Bedingungen herrschen oder die entsprechenden Produkte oder Varianten gar nicht verkauft werden. Faktoren, die Unternehmen hier bedenken müssen sind u.a.:
- Im jeweiligen Land gültige Gesetze und Normen; manche Länder kennen auch so etwas wie „extra-territoriales Recht“
- Umweltfaktoren wie Temperatur oder Feuchtigkeit
- Lokal gültige Zulassungen und Patente
- Faktoren, die die Haftung beeinflussen, wie Verträge und Versicherungen
Die Information zum Risikokandidaten „falsche Schraube“ sollte also unter Umständen gar nicht erst adressiert werden, da sie im schlimmsten Fall unerwünschte Folgen hätte, wie beispielsweise zusätzliche aber unnötige rechtliche Prüfungen – mit entsprechenden Konsequenzen. Wie also können Unternehmen sicherstellen, dass Informationen aus dem SOAR-Workflow nur in den richtigen – relevanten – Abteilungen, Ländern, Unter-Marken eines Konzerns aufschlagen?
Clearing für SOAR – Cleverer Mechanismus optimiert Lösung
Genau diese Herausforderung stellte ein internationaler Konzern Security-Experten von IBM Security Expert Labs. Die Kernfragen: Wie könnte ein Abgleich – also eine Art „Clearing“ – der Schadensinformationen für die unterschiedlichen Empfänger aussehen? Durch welchen Mechanismus könnte der Workflow entsprechend gefiltert werden? Wie könnte das SOAR-System auf elegante Weise mit einer Art Pass-List für bestimmte Produkte oder Regionen ausgestattet werden?
Die Lösung kann das IBM Security SOAR Clearing System sein. Hier werden die beteiligten Konzernteile mit einer eigenen SOAR Instanz ausgestattet und an ein konzernübergreifendes, verteiltes „Gateway“ angeschlossen. So können die Risikoinformation aus dem Workflow verteilt und gefiltert werden.
Das Prinzip der Lösung ist das eines Einzel-/Multi-Clearing-Modus: Im speziellen Fall des anfragenden Konzerns lautete die Empfehlung, ein Clearing der Informationen pro geografischer Region zu installieren. Die verteilte Architektur erlaubt es, daß die Daten jeweils in der lokalen SOAR-Instanz gespeichert werden. Ein Regelwerk stellt sicher, daß nur gefilterte Daten die geografische Zone bzw. die SOAR-Instanz verlassen.
Neue Lösung – viele Use Cases in globalen Konzernen
Dem Kunden aus dem Konzern gefiel die Idee und er machte sich daran, sie zu erproben – mit dem erwünschten Ergebnis: Die Risiko-Information („falsche Schraube“) aus dem SOAR ließ sich so genauestens dorthin steuern, wo sie benötigt wurde; an Lokationen, wo sie mehr Schaden als Nutzen bringen würde, wird sie ausgefiltert.
Doch damit nicht genug. Diese Lösungsarchitektur hat das Potenzial für viele weitere Use Cases, insbesondere in verzweigten Unternehmen und Konzernen. Stellvertretend für eine ganze Reihe von Szenarien lassen sich diese nennen:
- Intellectual-Property-Informationen, die aus rechtlichen Gründen nicht im ganzen Konzern geteilt werden dürfen
- Produktions- Vorfälle, die Auswirkungen an vielen Stellen einer komplexen Lieferkette haben
- IT-Security Vorfälle jeder Art
Nutzer und Administratoren dieser SOAR-Umgebungen können sich damit beispielsweise gemeinsam genutzte Vorfälle anzeigen lassen oder Kopien von Vorfällen gemäß interner Compliance-Richtlinien zum Risikomanagement oder zum Qualitätsmanagement verschicken. Zudem können sie Informationen über die Notizfunktion anfordern. SOAR-Konfigurationen können in den Umgebungen verteilt und bestehende Konfigurationen auf Systembasis bereinigt werden.
Mit dieser Lösung haben Unternehmen nun die Möglichkeit, SOAR-Informationen zu filtern und und das ‚need to know‘ sicher zu stellen. Damit die falsche Schraube nicht noch mehr Probleme verursacht, als nötig.
English version
Because problems are not problems everywhere: Clearing solution filters SOAR workflow.
In global corporate structures, local incidents can spill over to the entire company network. Automated workflows help to react efficiently to security incidents even in complex connections and to share the information in a targeted manner.
Authors: Jens-Uwe Fimmen, senior manager and Eric Vervoort, IBM threat management leader, IBM Security Expert Labs
Many goods today are created as a result of the global division of labor within large multinational corporations like washing machines, loudspeakers, cars or airplanes. The more interconnected production becomes, the more difficult it is to get to the bottom of problems. Let alone efficiently contain their effects.
Wrong screw a problem
Let’s look at the practical situation: In an international plant, for example in Asia, it is discovered that the wrong screw was used for a certain component (of an aircraft, car, oven, etc.). Under certain conditions – temperature, load, pressure – this screw comes loose in the final product, which in turn can lead to damage or accidents. So the wrong screw in the international factory becomes a safety problem of global proportions.
To respond to cases like this, corporations work with automated processes. These are managed through a combination of software programs that collect and categorize threat data and then trigger appropriate responses. Solutions of this type are called SOAR, an acronym of „Security, Orchestration, Automation and Response.“
The term was coined by Gartner. It can be applied to all products and services that help prioritize, standardize and automate incident responses. In the whole process, it is essential that the information is only shared with the parts of the group, departments or countries that need to know about it.
For example, in the „wrong screw“ case, SOAR could proceed as follows: The incident is reported in the system; the solution then automatically checks in which products and variants of the group the screw was installed and triggers a predefined reaction. For example, it could notify production managers in other plants and bring about a production stop or early correction before the scale of the problem becomes immense.
SOAR handles safety issues automatically
SOAR solutions are available from a variety of vendors. IBM offers the „IBM Security SOAR Clearing System“ solution for these mission-critical issues, based on the highly integratable IBM Security QRadar SOAR platform (formerly IBM Resilience). For example, IBM QRadar SOAR can be integrated with ARGUS Cyber Security as part of IBM Cloud Pak for Security, which protects modern vehicles from cyber-attacks, allowing immediate responses to deviating results from an automotive sensor system. Other use cases include sensors from industrial plants or information from access systems.
However, a new challenge arises from this highly efficient practice that specifically affects multinational corporations: it may be that the „wrong screw“ problem case is not a problem case at all in some markets, but would cause other problems if triggered for those markets. For example, this could be in markets where the problem cannot occur because other conditions prevail there or the corresponding products or variants are not sold at all.
Factors that companies need to consider here include:
– Laws and standards in force in the country in question; some countries also know something like „extra-territorial law“
– Environmental factors such as temperature or humidity
– Local approvals and patents
– Factors affecting liability, such as contracts and insurance policies
So information on the risk candidate „wrong screw“ should possibly not be addressed at all, as it would have undesirable consequences in the worst case, such as additional but unnecessary legal audits – with corresponding consequences. So how can companies ensure that information from the SOAR workflow only hits the right – relevant – departments, countries, sub-brands of a group?
Clearing for SOAR – Clever mechanism optimizes solution
This was precisely the challenge that an international corporation posed to security experts from IBM Security Expert Labs. The key questions: How could a reconciliation – i.e. a kind of „clearing“ – of the damage information for the different recipients look like? By what mechanism could the workflow be filtered accordingly? How could the SOAR system be elegantly equipped with a kind of pass list for specific products or regions?
The solution could be the IBM Security SOAR Clearing System. Here, the participating parts of the group are equipped with their own SOAR instance and connected to a group-wide, distributed „gateway“. In this way, risk information from the workflow can be distributed and filtered.
The principle of the solution is that of a single/multi-clearing mode: in the specific case of the requesting group, the recommendation was to install a clearing of the information per geographical region. The distributed architecture allows the data to be stored in the local SOAR instance in each case. A set of rules ensures that only filtered data leaves the geographical zone or SOAR instance.
New solution – many use cases in global corporations
The customer from the corporation liked the idea and set about testing it – with the desired result: the risk information („wrong screw“) from the SOAR could be directed precisely to where it was needed; at locations where it would do more harm than good, it was filtered out.
But that’s not all. This solution architecture has the potential for many other use cases, especially in branched companies and corporations. These are representative of a whole range of scenarios:
– Intellectual property information that cannot be shared across the group for legal reasons.
– Production incidents that have an impact at many points in a complex supply chain
– IT security incidents of any kind
Users and administrators of these SOAR environments can use it to view shared incidents, for example, or send copies of incidents in accordance with internal compliance guidelines for risk management or quality management. They can also request information using the notes feature. SOAR configurations can be distributed across environments and existing configurations can be cleaned up on a system-by-system basis.
With this solution, companies now have the ability to filter SOAR information and and ensure the ’need to know‘. So that the wrong screw does not cause more problems than necessary.
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de