NewsSecurity

Dropbox präsentiert ersten Open Source Securitybot

Mehr Sicherheit, mehr Effizienz, weniger Falschmeldungen – das sind die Vorteile des Securitybots von Dropbox, den das Unternehmen kürzlich vorgestellt hat. Der Securitybot hilft dem Dropbox-Sicherheitsteam, Alarmsignale schneller als jemals zuvor zu analysieren, indem er mit den betroffenen Mitarbeitern kommuniziert und nur die Alerts an das Sicherheitsteam weitergibt, die wirklich nachverfolgt werden müssen. Dropbox stellt den Securitybot als Open Source zur Verfügung und will damit anderen Unternehmen dabei helfen, ihr internes Warnsystem zu verbessern.

Wenn Sicherheitsrisiken auftreten, muss man handeln – und zwar schnell. Denn je schneller diese Vorfälle aufgedeckt werden, desto schneller können sie dem Sicherheitsteam mitgeteilt und von ihnen überprüft werden. Um eine möglichst rechtzeitige Früherkennung zu gewährleisten, werden diese Teams normalerweise von Überwachungssystemen unterstützt, die den Alarm häufig bereits bei kleineren Verdachtsfällen auslösen. Übermäßig häufige Warnungen können dazu führen, dass die Sicherheitsexperten mit Informationen regelrecht überschwemmt werden, was es erschwert, die ernsteren Vorfälle herauszufiltern. Viele dieser Alerts sind sogar Falschmeldungen, die entstehen, weil einige Mitarbeiter von Zeit zu Zeit die Befehle sudo -i oder nmap ausführen.

Schließlich muss jeder Mitarbeiter, der einen Alert schickt, vom Sicherheitsteam kontaktiert werden. Mehr Alarmsignale bedeuten mehr Arbeit – und doch können sie nicht einfach vernachlässigt werden. Vor einem Jahr hat Slack Technologies begonnen, genau dieses Problem anzugehen. Anstatt alle Mitarbeiter einzeln zu kontaktieren, damit diese ihre Aktionen verifizieren, wurde ein automatisiertes System entwickelt, das die Mitarbeiter kontaktiert und dem Sicherheitsteam alle Benachrichtigungen gebündelt übermittelt. Das hat Dropbox inspiriert. Als Gründungsmitglied der TODO Group (kurz für Talk Openly, Develop Openly) hat Dropbox entschieden, durch die Unterstützung von Open Source-Projekten das Wissen mit einer größeren Tech-Gemeinde zu teilen. So gibt das Unternehmen seine Erkenntnisse in der Hoffnung bekannt, dass auch andere Unternehmen von ihnen profitieren können.

Der schwerste und zeitlich aufwendigste Teil der Sicherheitsüberwachung ist das manuelle Kontaktieren der einzelnen Mitarbeiter, damit diese ihre Vorgehensweise rechtfertigen. Und obwohl für diesen Nachrichtenaustausch bereits ein großer Zeitaufwand betrieben wird, kommt es immer wieder dazu, dass wichtige Alarmsignale aus Zeitnot übersehen werden. Abhilfe schafft nun ein System, mit dem mehrere Nutzer gleichzeitig erreicht werden können. So erhält das Sicherheitsteam mehr Zeit, um Erkennungswerkzeuge zu bauen und wirklich bösartige Akteure zu verfolgen.

Securitybot ist inzwischen im Früherkennungssystem von Dropbox integriert. Sobald ein Alarm ausgelöst wird, erhält der betroffene Mitarbeiter automatisch eine Nachricht, in der er gefragt wird, ob er möglicherweise eine kritische Aktion ausgeführt haben könnte. Die Antwort des Mitarbeiters wird gespeichert und an das Sicherheitsteam weitergegeben. Die abgewickelten Alarmauslösungen werden gesammelt und mit den Beschreibungen der Mitarbeiter an den Securitybot übermittelt. Und falls ein Mitarbeiter einmal antworten sollte, die besagte Aktion nicht ausgeführt zu haben, wird das Sicherheitsteam sofort benachrichtigt.

Die Idee dahinter: Die meisten Alerts bleiben im Hintergrund, damit diejenigen Alerts in den Vordergrund rücken, die wirklich schnelle Aufmerksamkeit und Nachverfolgung benötigen. Somit haben die Dropbox-Techniker mehr Zeit, sich mit grundlegenden Projekten zu befassen, die die allgemeine Sicherheit des Unternehmens betreffen.

Bei der Entwicklung des Securitybots wollte Dropbox die Kernideen von Slack Technologies beibehalten: Securitybot ist ebenfalls mit dem Überwachungssystem von Dropbox und dem unternehmensweiten Nachrichtensystem verknüpft. Außerdem wurde das Design ausgeweitet, um es noch nützlicher für Dropbox und die ganze Tech-Gemeinde zu machen. Ziel war es, die Umsetzung modular und somit wiederverwertbar zu gestalten. So wurde beispielsweise das Nachrichten- oder Überwachungssystem verändert, ohne den Basis-Quellcode umschreiben zu müssen. Securitybot wurde also um einige Kernfunktionen herum entwickelt, die mithilfe einfacher kombinierbarer Plug-ins mit Monitoring- und Kommunikationssystemen in Kontakt treten.

Securitybot verbindet das Erfassen neuer Warnungen mit der Mitarbeiterkommunikation und garantiert eine optimierte und unverzügliche Interaktion mit dem Mitarbeiter. Bei jedem Alarm wird dieser schnell benachrichtigt und gefragt, ob er für das Auslösen des Alarms verantwortlich ist. Anschließend wird er um eine kurze Erklärung gebeten. Die Antworten werden gesammelt und über das Überwachungssystem an die Dropbox-Techniker weitergeleitet, sodass ihnen alle Daten für eine regelmäßige Überprüfung sofort zur Verfügung stehen. Alle Rückmeldungen werden via 2FA gespeichert, also selbst wenn das Nachrichtensystem beeinträchtigt wäre, würde Securitybot einen Angriff erkennen.

In erster Linie hilft Securitybot dem Sicherheitsteam, Alarmsignale schneller als jemals zuvor zu analysieren. Ziel war es außerdem auch, Securitybot so benutzerfreundlich wie möglich zu gestalten. Anstatt Mitarbeiter mit Anfragen zu bombardieren, wird bei den meisten Signalen die „Schlummertaste“ betätigt. Wenn jemand beispielsweise benachrichtigt wird, weil er sudo ausgeführt hat, ist es wahrscheinlich, dass derjenige den Befehl im selben Kontext noch einmal benutzt. In solchen Fällen verzichtet der Bot darauf, jemanden dreimal hintereinander zu kontaktieren.

Falschmeldungen werden erkannt, ohne jeden einzelnen Mitarbeiter persönlich benachrichtigen zu müssen und mögliche Vorfälle werden sofort gemeldet. Damit unterstützt Securitybot nicht nur das Sicherheitsteam, sondern alle Dropbox-Mitarbeiter. Eine automatisch gestellte Anfrage lässt sich schneller beantworten, als auf die Anfrage eines Technikers mit ausformulierten Sätzen zu reagieren. So lässt sich wertvolle Zeit einsparen – sowohl die der Techniker als auch die der Mitarbeiter. Schließlich stellt Securitybot auch ungewöhnliche Vorfälle in E-Mail- und Dropbox-Konten von Mitarbeitern oder auf ihren Laptops fest. Dropbox weiß, dass es lästig sein kann, sich immer wieder bei einem hartnäckigen Sicherheitsteam zu rechtfertigen. Mit einem Bot zu kommunizieren, der Aussagen wie „Grad keine Zeit, mach ich später!“ nicht versteht, macht das Ganze nicht zwangsläufig leichter. Also hat Dropbox etwas Zeit investiert, um den Dialog zwischen Securitybot und Nutzer so angenehm wie möglich zu gestalten. Der Bot wirkt persönlicher, freundlicher, höflicher und somit weniger roboterhaft.

Dropbox stellt den Securitybot als Open Source zur Verfügung. Nach Dropbox-Erkenntnissen ist es bisher das einzige Open Source-Projekt, das automatisch verdächtige Vorfälle direkt von Mitarbeitern bestätigen lassen, sammeln und speichern kann. Durch die Einführung als Open Source will Dropbox anderen Unternehmen dabei helfen, ihr internes Warnsystem zu verbessern und ihr Sicherheitssystem so schnell wie möglich in Betrieb zu nehmen. Dropbox hofft auch, dass die Security-Community den Code teilen und verbessern wird. Denn während der Securitybot bislang für die interne Überwachung genutzt wird, könnte dasselbe System zu einem externen, nutzerorientierten Frühwarnsystem ausgebaut werden. In jedem Fall bietet es anderen Teams einen guten Ausgangspunkt, um ein eigenes System zu entwickeln.

Weitere Informationen: www.dropbox.com