VERANSTALTUNGEN

ERP Tage Aachen
19.06.18 - 21.06.18
In Aachen

Developer Week 2018
25.06.18 - 28.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

IT kessel.18
11.07.18 - 11.07.18
In Reithaus Ludwigsburg

2. Jahrestagung Cyber Security Berlin
11.09.18 - 12.09.18
In Berlin

BotnetMehr Sicherheit, mehr Effizienz, weniger Falschmeldungen – das sind die Vorteile des Securitybots von Dropbox, den das Unternehmen vorgestellt hat. 

Der Securitybot hilft dem Dropbox-Sicherheitsteam, Alarmsignale schneller als jemals zuvor zu analysieren, indem er mit den betroffenen Mitarbeitern kommuniziert und nur die Alerts an das Sicherheitsteam weitergibt, die wirklich nachverfolgt werden müssen.

Dropbox stellt den Securitybot als Open Source zur Verfügung und will damit anderen Unternehmen dabei helfen, ihr internes Warnsystem zu verbessern.

Wenn Sicherheitsrisiken auftreten, muss man handeln – und zwar schnell. Denn je schneller diese Vorfälle aufgedeckt werden, desto schneller können sie dem Sicherheitsteam mitgeteilt und von ihnen überprüft werden. Um eine möglichst rechtzeitige Früherkennung zu gewährleisten, werden diese Teams normalerweise von Überwachungssystemen unterstützt, die den Alarm häufig bereits bei kleineren Verdachtsfällen auslösen. Übermäßig häufige Warnungen können dazu führen, dass die Sicherheitsexperten mit Informationen regelrecht überschwemmt werden, was es erschwert, die ernsteren Vorfälle herauszufiltern. Viele dieser Alerts sind sogar Falschmeldungen, die entstehen, weil einige Mitarbeiter von Zeit zu Zeit die Befehle sudo -i oder nmap ausführen.

Schließlich muss jeder Mitarbeiter, der einen Alert schickt, vom Sicherheitsteam kontaktiert werden. Mehr Alarmsignale bedeuten mehr Arbeit – und doch können sie nicht einfach vernachlässigt werden. Vor einem Jahr hat Slack Technologies begonnen, genau dieses Problem anzugehen. Anstatt alle Mitarbeiter einzeln zu kontaktieren, damit diese ihre Aktionen verifizieren, wurde ein automatisiertes System entwickelt, das die Mitarbeiter kontaktiert und dem Sicherheitsteam alle Benachrichtigungen gebündelt übermittelt. Das hat Dropbox inspiriert. Als Gründungsmitglied der TODO Group (kurz für Talk Openly, Develop Openly) hat Dropbox entschieden, durch die Unterstützung von Open Source-Projekten das Wissen mit einer größeren Tech-Gemeinde zu teilen. So gibt das Unternehmen seine Erkenntnisse in der Hoffnung bekannt, dass auch andere Unternehmen von ihnen profitieren können.

Dropbox Securitybot

Effiziente Früherkennung

Der schwerste und zeitlich aufwendigste Teil der Sicherheitsüberwachung ist das manuelle Kontaktieren der einzelnen Mitarbeiter, damit diese ihre Vorgehensweise rechtfertigen. Und obwohl für diesen Nachrichtenaustausch bereits ein großer Zeitaufwand betrieben wird, kommt es immer wieder dazu, dass wichtige Alarmsignale aus Zeitnot übersehen werden. Abhilfe schafft nun ein System, mit dem mehrere Nutzer gleichzeitig erreicht werden können. So erhält das Sicherheitsteam mehr Zeit, um Erkennungswerkzeuge zu bauen und wirklich bösartige Akteure zu verfolgen.

Securitybot ist inzwischen im Früherkennungssystem von Dropbox integriert. Sobald ein Alarm ausgelöst wird, erhält der betroffene Mitarbeiter automatisch eine Nachricht, in der er gefragt wird, ob er möglicherweise eine kritische Aktion ausgeführt haben könnte. Die Antwort des Mitarbeiters wird gespeichert und an das Sicherheitsteam weitergegeben. Die abgewickelten Alarmauslösungen werden gesammelt und mit den Beschreibungen der Mitarbeiter an den Securitybot übermittelt. Und falls ein Mitarbeiter einmal antworten sollte, die besagte Aktion nicht ausgeführt zu haben, wird das Sicherheitsteam sofort benachrichtigt.

Die Idee dahinter: Die meisten Alerts bleiben im Hintergrund, damit diejenigen Alerts in den Vordergrund rücken, die wirklich schnelle Aufmerksamkeit und Nachverfolgung benötigen. Somit haben die Dropbox-Techniker mehr Zeit, sich mit grundlegenden Projekten zu befassen, die die allgemeine Sicherheit des Unternehmens betreffen.

Design

Bei der Entwicklung des Securitybots wollte Dropbox die Kernideen von Slack Technologies beibehalten: Securitybot ist ebenfalls mit dem Überwachungssystem von Dropbox und dem unternehmensweiten Nachrichtensystem verknüpft. Außerdem wurde das Design ausgeweitet, um es noch nützlicher für Dropbox und die ganze Tech-Gemeinde zu machen. Ziel war es, die Umsetzung modular und somit wiederverwertbar zu gestalten. So wurde beispielsweise das Nachrichten- oder Überwachungssystem verändert, ohne den Basis-Quellcode umschreiben zu müssen. Securitybot wurde also um einige Kernfunktionen herum entwickelt, die mithilfe einfacher kombinierbarer Plug-ins mit Monitoring- und Kommunikationssystemen in Kontakt treten.

Securitybot verbindet das Erfassen neuer Warnungen mit der Mitarbeiterkommunikation und garantiert eine optimierte und unverzügliche Interaktion mit dem Mitarbeiter. Bei jedem Alarm wird dieser schnell benachrichtigt und gefragt, ob er für das Auslösen des Alarms verantwortlich ist. Anschließend wird er um eine kurze Erklärung gebeten. Die Antworten werden gesammelt und über das Überwachungssystem an die Dropbox-Techniker weitergeleitet, sodass ihnen alle Daten für eine regelmäßige Überprüfung sofort zur Verfügung stehen. Alle Rückmeldungen werden via 2FA gespeichert, also selbst wenn das Nachrichtensystem beeinträchtigt wäre, würde Securitybot einen Angriff erkennen.

Benutzerfreundlichkeit

In erster Linie hilft Securitybot dem Sicherheitsteam, Alarmsignale schneller als jemals zuvor zu analysieren. Ziel war es außerdem auch, Securitybot so benutzerfreundlich wie möglich zu gestalten. Anstatt Mitarbeiter mit Anfragen zu bombardieren, wird bei den meisten Signalen die „Schlummertaste“ betätigt. Wenn jemand beispielsweise benachrichtigt wird, weil er sudo ausgeführt hat, ist es wahrscheinlich, dass derjenige den Befehl im selben Kontext noch einmal benutzt. In solchen Fällen verzichtet der Bot darauf, jemanden dreimal hintereinander zu kontaktieren.

Falschmeldungen werden erkannt, ohne jeden einzelnen Mitarbeiter persönlich benachrichtigen zu müssen und mögliche Vorfälle werden sofort gemeldet. Damit unterstützt Securitybot nicht nur das Sicherheitsteam, sondern alle Dropbox-Mitarbeiter. Eine automatisch gestellte Anfrage lässt sich schneller beantworten, als auf die Anfrage eines Technikers mit ausformulierten Sätzen zu reagieren. So lässt sich wertvolle Zeit einsparen – sowohl die der Techniker als auch die der Mitarbeiter. Schließlich stellt Securitybot auch ungewöhnliche Vorfälle in E-Mail- und Dropbox-Konten von Mitarbeitern oder auf ihren Laptops fest. Dropbox weiß, dass es lästig sein kann, sich immer wieder bei einem hartnäckigen Sicherheitsteam zu rechtfertigen. Mit einem Bot zu kommunizieren, der Aussagen wie „Grad keine Zeit, mach ich später!“ nicht versteht, macht das Ganze nicht zwangsläufig leichter. Also hat Dropbox etwas Zeit investiert, um den Dialog zwischen Securitybot und Nutzer so angenehm wie möglich zu gestalten. Der Bot wirkt persönlicher, freundlicher, höflicher und somit weniger roboterhaft.

Open Source

Dropbox stellt den Securitybot als Open Source zur Verfügung. Nach Dropbox Erkenntnissen ist es bisher das einzige Open Source-Projekt, das automatisch verdächtige Vorfälle direkt von Mitarbeitern bestätigen lassen, sammeln und speichern kann. Durch die Einführung als Open Source will Dropbox anderen Unternehmen dabei helfen, ihr internes Warnsystem zu verbessern und ihr Sicherheitssystem so schnell wie möglich in Betrieb zu nehmen. Dropbox hofft auch, dass die Security-Community den Code teilen und verbessern wird. Denn während der Securitybot bislang für die interne Überwachung genutzt wird, könnte dasselbe System zu einem externen, nutzerorientierten Frühwarnsystem ausgebaut werden. In jedem Fall bietet es anderen Teams einen guten Ausgangspunkt, um ein eigenes System zu entwickeln.

www.dropbox.com

GRID LIST
Tb W190 H80 Crop Int D2e97c879f93358a07f6423857d2138e

Backup und Datensicherheit wachsen zusammen

Backup ist nicht mehr nur Datensicherung und Wiederherstellung. Alleine die Kriterien an…
Marina Kidron

Damit aus Double Kill kein Overkill wird - Schutz vor neuer Angriffsmethode

Bei der kürzlich aufgedeckten Double-Kill-Schwachstelle wurde eine einzigartige…
Phishing

So machen KMU das Einfallstor Phishing dicht

Cyber-Kriminelle haben es immer häufiger auf das exklusive Know-how deutscher…
Tb W190 H80 Crop Int 90aba36b95264e827b27d67702c64390

Kleinunternehmungen benötigen auch IT Sicherheit

Die Meldungen von Schaden verursachenden Angriffen auf Firmen nehmen dramatisch zu.Keine…
Tb W190 H80 Crop Int Cfddc19ae10bb9811a94df9018bb81cc

Detect-to-Protect-Ansatz scheitert bei Mining-Malware

Immer neue Spielarten treten in der Cyber-Kriminalität zutage. Neuestes Beispiel liefert…
Tb W190 H80 Crop Int B4e05b341632adb937d391e0c9f32e7f

Physische Sicherheit: Für kleine Unternehmen oft ein Problem

Beim Thema IT-Sicherheit denken die meisten als erstes an Trojaner, Hackerangriffe oder…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security