Mehr Sicherheit, mehr Effizienz, weniger Falschmeldungen \u2013 das sind die Vorteile des Securitybots von Dropbox, den das Unternehmen k\u00fcrzlich vorgestellt hat. Der Securitybot hilft dem Dropbox-Sicherheitsteam, Alarmsignale schneller als jemals zuvor zu analysieren, indem er mit den betroffenen Mitarbeitern kommuniziert und nur die Alerts an das Sicherheitsteam weitergibt, die wirklich nachverfolgt werden m\u00fcssen. Dropbox stellt den Securitybot als Open Source zur Verf\u00fcgung und will damit anderen Unternehmen dabei helfen, ihr internes Warnsystem zu verbessern.<\/p>\n
<\/p>\n
Wenn Sicherheitsrisiken auftreten, muss man handeln \u2013 und zwar schnell. Denn je schneller diese Vorf\u00e4lle aufgedeckt werden, desto schneller k\u00f6nnen sie dem Sicherheitsteam mitgeteilt und von ihnen \u00fcberpr\u00fcft werden. Um eine m\u00f6glichst rechtzeitige Fr\u00fcherkennung zu gew\u00e4hrleisten, werden diese Teams normalerweise von \u00dcberwachungssystemen unterst\u00fctzt, die den Alarm h\u00e4ufig bereits bei kleineren Verdachtsf\u00e4llen ausl\u00f6sen. \u00dcberm\u00e4\u00dfig h\u00e4ufige Warnungen k\u00f6nnen dazu f\u00fchren, dass die Sicherheitsexperten mit Informationen regelrecht \u00fcberschwemmt werden, was es erschwert, die ernsteren Vorf\u00e4lle herauszufiltern. Viele dieser Alerts sind sogar Falschmeldungen, die entstehen, weil einige Mitarbeiter von Zeit zu Zeit die Befehle sudo -i oder nmap ausf\u00fchren.<\/p>\n
Schlie\u00dflich muss jeder Mitarbeiter, der einen Alert schickt, vom Sicherheitsteam kontaktiert werden. Mehr Alarmsignale bedeuten mehr Arbeit \u2013 und doch k\u00f6nnen sie nicht einfach vernachl\u00e4ssigt werden. Vor einem Jahr hat Slack Technologies begonnen, genau dieses Problem anzugehen. Anstatt alle Mitarbeiter einzeln zu kontaktieren, damit diese ihre Aktionen verifizieren, wurde ein automatisiertes System entwickelt, das die Mitarbeiter kontaktiert und dem Sicherheitsteam alle Benachrichtigungen geb\u00fcndelt \u00fcbermittelt. Das hat Dropbox inspiriert. Als Gr\u00fcndungsmitglied der TODO Group (kurz f\u00fcr Talk Openly, Develop Openly) hat Dropbox entschieden, durch die Unterst\u00fctzung von Open Source-Projekten das Wissen mit einer gr\u00f6\u00dferen Tech-Gemeinde zu teilen. So gibt das Unternehmen seine Erkenntnisse in der Hoffnung bekannt, dass auch andere Unternehmen von ihnen profitieren k\u00f6nnen.<\/p>\n
Der schwerste und zeitlich aufwendigste Teil der Sicherheits\u00fcberwachung ist das manuelle Kontaktieren der einzelnen Mitarbeiter, damit diese ihre Vorgehensweise rechtfertigen. Und obwohl f\u00fcr diesen Nachrichtenaustausch bereits ein gro\u00dfer Zeitaufwand betrieben wird, kommt es immer wieder dazu, dass wichtige Alarmsignale aus Zeitnot \u00fcbersehen werden. Abhilfe schafft nun ein System, mit dem mehrere Nutzer gleichzeitig erreicht werden k\u00f6nnen. So erh\u00e4lt das Sicherheitsteam mehr Zeit, um Erkennungswerkzeuge zu bauen und wirklich b\u00f6sartige Akteure zu verfolgen.<\/p>\n
Securitybot ist inzwischen im Fr\u00fcherkennungssystem von Dropbox integriert. Sobald ein Alarm ausgel\u00f6st wird, erh\u00e4lt der betroffene Mitarbeiter automatisch eine Nachricht, in der er gefragt wird, ob er m\u00f6glicherweise eine kritische Aktion ausgef\u00fchrt haben k\u00f6nnte. Die Antwort des Mitarbeiters wird gespeichert und an das Sicherheitsteam weitergegeben. Die abgewickelten Alarmausl\u00f6sungen werden gesammelt und mit den Beschreibungen der Mitarbeiter an den Securitybot \u00fcbermittelt. Und falls ein Mitarbeiter einmal antworten sollte, die besagte Aktion nicht ausgef\u00fchrt zu haben, wird das Sicherheitsteam sofort benachrichtigt.<\/p>\n
Die Idee dahinter: Die meisten Alerts bleiben im Hintergrund, damit diejenigen Alerts in den Vordergrund r\u00fccken, die wirklich schnelle Aufmerksamkeit und Nachverfolgung ben\u00f6tigen. Somit haben die Dropbox-Techniker mehr Zeit, sich mit grundlegenden Projekten zu befassen, die die allgemeine Sicherheit des Unternehmens betreffen.<\/p>\n
Bei der Entwicklung des Securitybots wollte Dropbox die Kernideen von Slack Technologies beibehalten: Securitybot ist ebenfalls mit dem \u00dcberwachungssystem von Dropbox und dem unternehmensweiten Nachrichtensystem verkn\u00fcpft. Au\u00dferdem wurde das Design ausgeweitet, um es noch n\u00fctzlicher f\u00fcr Dropbox und die ganze Tech-Gemeinde zu machen. Ziel war es, die Umsetzung modular und somit wiederverwertbar zu gestalten. So wurde beispielsweise das Nachrichten- oder \u00dcberwachungssystem ver\u00e4ndert, ohne den Basis-Quellcode umschreiben zu m\u00fcssen. Securitybot wurde also um einige Kernfunktionen herum entwickelt, die mithilfe einfacher kombinierbarer Plug-ins mit Monitoring- und Kommunikationssystemen in Kontakt treten.<\/p>\n
Securitybot verbindet das Erfassen neuer Warnungen mit der Mitarbeiterkommunikation und garantiert eine optimierte und unverz\u00fcgliche Interaktion mit dem Mitarbeiter. Bei jedem Alarm wird dieser schnell benachrichtigt und gefragt, ob er f\u00fcr das Ausl\u00f6sen des Alarms verantwortlich ist. Anschlie\u00dfend wird er um eine kurze Erkl\u00e4rung gebeten. Die Antworten werden gesammelt und \u00fcber das \u00dcberwachungssystem an die Dropbox-Techniker weitergeleitet, sodass ihnen alle Daten f\u00fcr eine regelm\u00e4\u00dfige \u00dcberpr\u00fcfung sofort zur Verf\u00fcgung stehen. Alle R\u00fcckmeldungen werden via 2FA gespeichert, also selbst wenn das Nachrichtensystem beeintr\u00e4chtigt w\u00e4re, w\u00fcrde Securitybot einen Angriff erkennen.<\/p>\n
In erster Linie hilft Securitybot dem Sicherheitsteam, Alarmsignale schneller als jemals zuvor zu analysieren. Ziel war es au\u00dferdem auch, Securitybot so benutzerfreundlich wie m\u00f6glich zu gestalten. Anstatt Mitarbeiter mit Anfragen zu bombardieren, wird bei den meisten Signalen die „Schlummertaste“ bet\u00e4tigt. Wenn jemand beispielsweise benachrichtigt wird, weil er sudo ausgef\u00fchrt hat, ist es wahrscheinlich, dass derjenige den Befehl im selben Kontext noch einmal benutzt. In solchen F\u00e4llen verzichtet der Bot darauf, jemanden dreimal hintereinander zu kontaktieren.<\/p>\n
Falschmeldungen werden erkannt, ohne jeden einzelnen Mitarbeiter pers\u00f6nlich benachrichtigen zu m\u00fcssen und m\u00f6gliche Vorf\u00e4lle werden sofort gemeldet. Damit unterst\u00fctzt Securitybot nicht nur das Sicherheitsteam, sondern alle Dropbox-Mitarbeiter. Eine automatisch gestellte Anfrage l\u00e4sst sich schneller beantworten, als auf die Anfrage eines Technikers mit ausformulierten S\u00e4tzen zu reagieren. So l\u00e4sst sich wertvolle Zeit einsparen \u2013 sowohl die der Techniker als auch die der Mitarbeiter. Schlie\u00dflich stellt Securitybot auch ungew\u00f6hnliche Vorf\u00e4lle in E-Mail- und Dropbox-Konten von Mitarbeitern oder auf ihren Laptops fest. Dropbox wei\u00df, dass es l\u00e4stig sein kann, sich immer wieder bei einem hartn\u00e4ckigen Sicherheitsteam zu rechtfertigen. Mit einem Bot zu kommunizieren, der Aussagen wie „Grad keine Zeit, mach ich sp\u00e4ter!“ nicht versteht, macht das Ganze nicht zwangsl\u00e4ufig leichter. Also hat Dropbox etwas Zeit investiert, um den Dialog zwischen Securitybot und Nutzer so angenehm wie m\u00f6glich zu gestalten. Der Bot wirkt pers\u00f6nlicher, freundlicher, h\u00f6flicher und somit weniger roboterhaft.<\/p>\n
Dropbox stellt den Securitybot als Open Source zur Verf\u00fcgung. Nach Dropbox-Erkenntnissen ist es bisher das einzige Open Source-Projekt, das automatisch verd\u00e4chtige Vorf\u00e4lle direkt von Mitarbeitern best\u00e4tigen lassen, sammeln und speichern kann. Durch die Einf\u00fchrung als Open Source will Dropbox anderen Unternehmen dabei helfen, ihr internes Warnsystem zu verbessern und ihr Sicherheitssystem so schnell wie m\u00f6glich in Betrieb zu nehmen. Dropbox hofft auch, dass die Security-Community den Code teilen und verbessern wird. Denn w\u00e4hrend der Securitybot bislang f\u00fcr die interne \u00dcberwachung genutzt wird, k\u00f6nnte dasselbe System zu einem externen, nutzerorientierten Fr\u00fchwarnsystem ausgebaut werden. In jedem Fall bietet es anderen Teams einen guten Ausgangspunkt, um ein eigenes System zu entwickeln.<\/p>\n