Die meisten Unternehmen besitzen Sicherheitsumgebungen, die sich aus spezialisierten Tools unterschiedlicher Hersteller zusammensetzen und sich nur schwer und arbeitsaufwändig miteinander verbinden lassen, um Prozesse zu automatisieren zu können. Auch traditionelle REST-APIs haben Schwächen, vor allem bei Benachrichtigungen in Echtzeit: sie dauern zu lange. So bleiben die Erkenntnisse eines Tools häufig auf dieses beschränkt, statt den Wissensstand und die Reaktionsmöglichkeiten der Gesamtumgebung wirksam zu steigern.
Um diese Situation zu beheben, hat McAfee den Data Exchange Layer (DXL) entwickelt und zunächst intensiv zusammen mit eigenen Tools getestet und verbessert. OpenDXL verbindet die Komponenten einer IT-Sicherheitsinfrastruktur durch einen schnellen und einfach funktionierenden Messaging—Bus für den sofortigen bidirektionalen Austausch von Daten, Events und Informationen sowie für den Aufbau Tool-übergreifender Prozesse. Das beschleunigt den Reaktionszyklus der gesamten Umgebung. Der Zeitbedarf für Detektion, Isolation und Neutralisierung von Angriffen sinkt erheblich.
Applikationen können bestimmte Themen abonnieren, selbst Informationen dort veröffentlichen oder sie rufen mit Request-Response-Mechanismen DXL-Services auf. Das Verfahren ähnelt dem von RESTful-APIs bei der Entwicklung von Web-Services. Durch OpenDXL entsteht ein koordiniertes und orchestriertes Sicherheits-Ökosystem, dessen ganzheitliches Funktionieren durch Änderungen an einzelnen Tools nicht mehr beeinflusst wird.
2016 war die produkt- und herstellerneutrale Kommunikationsschicht so ausgereift, dass McAfee die OpenDXL-Initiative gründete. Hier entstehen quelloffene Tools für OpenDXL, es wird diesbezügliches Wissen gesammelt und Anwender und Entwickler finden eine sie unterstützende Gemeinschaft. Jede Anwendung kann inzwischen an OpenDXL angebunden werden.
Die Ziele der OpenDXL-Initiative sind einfachere Integration von Sicherheitsprodukten, einfache Tools, die die Entwicklung beschleunigen und neue, kreative Möglichkeiten, mit denen auf Security spezialisierte Entwickler den Betrieb von Sicherheitsumgebungen verbessern können. Die entstehenden Tools finden sich auf GitHub.com/opendxl zum freien Download.
Mittlerweile sind bereits zahlreiche Integrationen entstanden, die unter anderem folgende Datentypen über OpenDXL kommunizieren: Betrugsversuche, Reputationsinformationen zu Dateien und Anwendungen, vorhandene Mobilgeräte und andere Assets, Verhaltensänderungen von Netzwerken und Anwendern, hochgenaue Warnmeldungen und Indikatoren zu Schwachstellen respektive Kompromittierungen (IoC, Indicator of Compromise).
Ein Beispiel zeigt, wie OpenDXL arbeitet. Hier wurden sechs Produkte von vier Herstellern zu einer vollständig automatisierten Lösung verbunden. Dabei verteilt OpenDXL in Sekunden Erkenntnisse über alle Tools und ermöglicht eine koordinierte Gegenreaktion.
Der Prozess beginnt damit, dass die Firewall Checkpoint Anti-Bot eine Malware entdeckt, die auf einem infizierten Endgerät in Aktion tritt und sich mit einem als böswillig bekannten Steuerserver verbindet. Dieses Ereignis wird über OpenDXL publiziert. Anschließend fragt das DXL-Orchestrierungsskript bei McAfee Active Response an, welche ausführbare Datei die ausgehende Verbindung aktivierte. Dank der historischen Daten über Netzwerkverbindungen, die dieses Tool besitzt, ist das auch möglich, wenn der Prozess nicht mehr läuft. Das Werkzeug findet auch andere mit dieser Instanz verbundene Prozesse oder schlafende Instanzen der betroffenen Dateien, auf allen an die Sicherheitslandschaft angeschlossenen Systemen und entfernt sie.
Außerdem ändert das OpenDLX-Skript die Reputation der betreffenden Datei in McAfee Threat Intelligence Exchange auf „bekannt bösartig“, was dieses Tool wiederum über OpenDXL an alle anderen Tools in der Umgebung meldet. Daraufhin schalten alle Agenten von McAfee Threat Intelligence Exchange den Malware-Prozess auf allen Systemen ab, wo sie ihn finden. Alle Systeme, die in irgendeiner Form von dem Angriff betroffen waren, werden markiert, um spätere Eingriffe des Administrators zu erlauben. Nun tritt, ausgelöst durch das Orchestrierungs-Script, Rapid7 Nexpose in Aktion und identifiziert alle zusätzlichen Schwachstellen in den befallenen Systemen, damit sie nicht weiter ausgebeutet werden können. Schließlich ruft das Orchestrierungsskript den OpenDXL-Service Aruba ClearPass auf, der die Attribute der befallenen Systeme aktualisiert. Dadurch werden Regeln aktiviert, die die betroffenen Systeme vom Netz abklemmen, bis sie repariert respektive aktualisiert wurden.
Ein Vorteil dieser Lösung liegt darin, dass der Programmieraufwand sinkt: Es müssen nur wenig programmieraufwändige Python-Clients oder sogenannte Service Wrappers erstellt werden. Letztere ermöglichen die die One-to-many-Kommunikation über OpenDXL und die einfache Integration von Daten und Prozessen ohne Kenntnis des Quellcodes der integrierten Produkte. Dabei erscheinen die bestehenden APIs als DXL-Services. Im oben beschriebenen Beispiel lassen sich mit den Wrappern beispielsweise die Funktionen von Rapid7 und HP Aruba einfach über OpenDXL aufrufen, obwohl deren APIs nicht in OpenDXL integriert sind. Python-Clients vereinfachen die Abfrage von Endpunkten der Infrastruktur. Statt 120 Codezeilen sind diese leichtgewichtigen Softwaremodule nur 20 Zeilen lang, wenn sie zusammen mit dem Open-Source-Python-Client von McAfee Active Response verwendet werden. Die Sicherheitsumgebung kann damit ohne großen Aufwand als Gesamtheit und schneller reagieren. Dadurch steigt der Wert jedes einzelnen Tools und seine Amortisierungszeit sinkt.
Kunden und Partner haben schon vielfältige Integrationen mit OpenDXL realisiert. Einige Beispiele dafür, welche Ziele sie damit verfolgten: Ein großes Versicherungsunternehmen nutzt seine vorhandenen Sicherheitswerkzeuge durch Kooperation besser aus. Ein anderer großer Versicherer verbindet seine einzelnen Sicherheitstools und Endpunkte über einen herstellerneutralen TAXII (Trusted Automated Exchange of Indicator Information)-Bus mit einem SIEM (Security Information and Event Management). Der innovative McAfee-Partner TrapX, der mit Honeypots Bedrohungsdaten generiert, nutzt OpenDXL, um die Bedrohungsdaten in der gesamten Sicherheitslandschaft zu verbreiten und so ähnliche Angriffe abzuwehren.
Doch es gibt zahlreiche weitere Ideen, wie sich OpenDXL einsetzen lässt. So kann man mit dem Automatisierungstool McAfee ePO und OpenDXL Sicherheitsprozesse auf Basis vertraulicher Detektionsresultate automatisieren, die Tools von Drittherstellern generieren. Es lässt sich auch ein IP-Reputationsservice einrichten, der maliziöse IP-Adressen systemübergreifend publiziert. Um angriffsaffine Kommunikationsstrecken gegebenenfalls zu blockieren, wäre ein Wrapper für Intrusion-Prevention-Werkzeuge wie Snort denkbar.
DXL-Listener für Gegenmaßnahmen könnten vordefinierte Abwehraktionen system- und angriffsspezifisch modifizieren. Sinnvoll wäre es auch, Sicherheitstools über OpenDXL mit SNMP- und Netzwerkmanagementtools zu verbinden, Memory-Dumps über OpenDXL an Sandboxes zu schicken, Threat-Intelligence als DXL-Topic zu verwenden und DXL-Topics über Twitter zu kommunizieren. Man könnte einen DXL-Konnektor für den Open-Source-transferagenten Postfix entwickeln und so Spam-IP-Adressen und -Server zu blockieren, Sensoren und andere Geräte über Konnektoren einbinden und Angriffsschwellen für bestimmte gemessene Parameter definieren oder über OpenDXL im Sicherheits- der Monitoring-Zentrum einen hör- oder sichtbaren Alarm generieren, wenn dies nötig ist.
Doch dies ist mit Sicherheit nur ein Bruchteil der denkbaren Möglichkeiten. Anwender, die daran denken, eigene Prozesse mit OpenDXL zu automatisieren, finden unter McAfee.com/dxl ein Tutorial zum Download, auf Github das OpenDXL Python SDK und C++- respektive Java DXL SDKs auf der Website von Partnern, die der McAfee-Innovationsallianz angehören und auf McAfees Partnerportal zu finden sind.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…