Dropbox als Optimierer des internen Warnsystems
Der Securitybot steht Unternehmen als Open Source zur Verfügung, so dass diese ihre internen Warnsysteme optimal gestalten können, wie it-daily.net dazu ausführt. Wie es weiter dazu heißt, bedürfen Sicherheitsrisiken einer schnellen Übermittlung und Prüfung. In vielen Fällen kommt es aber dazu, dass Sicherheitsteams von Alarmen auch bei kleinsten Verdachtsfällen informiert werden. Ein Umstand, der dazu führt, dass die zahlreichen Warnungen die Sicherheitsexperten mit Informationen überschwemmen und es schwierig wird,dass diese die ernsteren Vorfälle herausfiltern. Viele dieser Alerts sind sogar Falschmeldungen, die entstehen, weil einige Mitarbeiter von Zeit zu Zeit die Befehle sudo -i oder nmap ausführen.
Zur aufwendigen Analyse und Verifizierung der Alerts wurde nun von Slack Technologies ein automatisiertes System entwickelt, das die Mitarbeiter kontaktiert und dem Sicherheitsteam alle Benachrichtigungen gebündelt übermittelt. Das hat Dropbox inspiriert. Als Gründungsmitglied der TODO Group (kurz für Talk Openly, Develop Openly) hat Dropbox entschieden, durch die Unterstützung von Open Source-Projekten das Wissen mit einer größeren Tech-Gemeinde zu teilen. So gibt das Unternehmen seine Erkenntnisse in der Hoffnung bekannt, dass auch andere Unternehmen von ihnen profitieren können.
Effiziente Früherkennung
Das automatische System ermöglicht effizient Alarmsignale zu bearbeiten, da mehrere Nutzer gleichzeitig erreicht werden können. So erhält das Sicherheitsteam mehr Zeit, um Erkennungswerkzeuge zu bauen und wirklich bösartige Akteure zu verfolgen.
Securitybot ist inzwischen im Früherkennungssystem von Dropbox integriert. Sobald ein Alarm ausgelöst wird, erhält der betroffene Mitarbeiter automatisch eine Nachricht, in der er gefragt wird, ob er möglicherweise eine kritische Aktion ausgeführt haben könnte. Die Antwort des Mitarbeiters wird gespeichert und an das Sicherheitsteam weitergegeben. Die abgewickelten Alarmauslösungen werden gesammelt und mit den Beschreibungen der Mitarbeiter an den Securitybot übermittelt. Und falls ein Mitarbeiter einmal antworten sollte, die besagte Aktion nicht ausgeführt zu haben, wird das Sicherheitsteam sofort benachrichtigt.
Optimierung der allgemeinen Unternehmenssicherheit
Die meisten Alerts bleiben im Hintergrund, damit diejenigen Alerts in den Vordergrund rücken, die wirklich schnelle Aufmerksamkeit und Nachverfolgung benötigen. Somit haben die Dropbox-Techniker mehr Zeit, sich mit grundlegenden Projekten zu befassen, die die allgemeine Sicherheit des Unternehmens betreffen.
Design
Bei der Entwicklung des Securitybots wollte Dropbox die Kernideen von Slack Technologies beibehalten: Securitybot ist ebenfalls mit dem Überwachungssystem von Dropbox und dem unternehmensweiten Nachrichtensystem verknüpft. Außerdem wurde das Design ausgeweitet, um es noch nützlicher für Dropbox und die ganze Tech-Gemeinde zu machen. Ziel war es, die Umsetzung modular und somit wiederverwertbar zu gestalten. So wurde beispielsweise das Nachrichten- oder Überwachungssystem verändert, ohne den Basis-Quellcode umschreiben zu müssen. Securitybot wurde also um einige Kernfunktionen herum entwickelt, die mithilfe einfacher kombinierbarer Plug-ins mit Monitoring- und Kommunikationssystemen in Kontakt treten.
Securitybot verbindet das Erfassen neuer Warnungen mit der Mitarbeiterkommunikation und garantiert eine optimierte und unverzügliche Interaktion mit dem Mitarbeiter. Bei jedem Alarm wird dieser schnell benachrichtigt und gefragt, ob er für das Auslösen des Alarms verantwortlich ist. Anschließend wird er um eine kurze Erklärung gebeten. Die Antworten werden gesammelt und über das Überwachungssystem an die Dropbox-Techniker weitergeleitet, sodass ihnen alle Daten für eine regelmäßige Überprüfung sofort zur Verfügung stehen. Alle Rückmeldungen werden via 2FA gespeichert, also selbst wenn das Nachrichtensystem beeinträchtigt wäre, würde Securitybot einen Angriff erkennen.
Benutzerfreundlichkeit
In erster Linie hilft Securitybot dem Sicherheitsteam, Alarmsignale schneller als jemals zuvor zu analysieren. Ziel war es außerdem auch, Securitybot so benutzerfreundlich wie möglich zu gestalten. Anstatt Mitarbeiter mit Anfragen zu bombardieren, wird bei den meisten Signalen die „Schlummertaste“ betätigt. Wenn jemand beispielsweise benachrichtigt wird, weil er sudo ausgeführt hat, ist es wahrscheinlich, dass derjenige den Befehl im selben Kontext noch einmal benutzt. In solchen Fällen verzichtet der Bot darauf, jemanden dreimal hintereinander zu kontaktieren.
Falschmeldungen werden erkannt, ohne jeden einzelnen Mitarbeiter persönlich benachrichtigen zu müssen und mögliche Vorfälle werden sofort gemeldet. Damit unterstützt Securitybot nicht nur das Sicherheitsteam, sondern alle Dropbox-Mitarbeiter. Eine automatisch gestellte Anfrage lässt sich schneller beantworten, als auf die Anfrage eines Technikers mit ausformulierten Sätzen zu reagieren. So lässt sich wertvolle Zeit einsparen – sowohl die der Techniker als auch die der Mitarbeiter. Schließlich stellt Securitybot auch ungewöhnliche Vorfälle in E-Mail- und Dropbox-Konten von Mitarbeitern oder auf ihren Laptops fest. Dropbox weiß, dass es lästig sein kann, sich immer wieder bei einem hartnäckigen Sicherheitsteam zu rechtfertigen. Mit einem Bot zu kommunizieren, der Aussagen wie „Grad keine Zeit, mach ich später!“ nicht versteht, macht das Ganze nicht zwangsläufig leichter. Also hat Dropbox etwas Zeit investiert, um den Dialog zwischen Securitybot und Nutzer so angenehm wie möglich zu gestalten. Der Bot wirkt persönlicher, freundlicher, höflicher und somit weniger roboterhaft.
Open Source
Dropbox stellt den Securitybot als Open Source zur Verfügung. Nach Dropbox Erkenntnissen ist es bisher das einzige Open Source-Projekt, das automatisch verdächtige Vorfälle direkt von Mitarbeitern bestätigen lassen, sammeln und speichern kann. Durch die Einführung als Open Source will Dropbox anderen Unternehmen dabei helfen, ihr internes Warnsystem zu verbessern und ihr Sicherheitssystem so schnell wie möglich in Betrieb zu nehmen. Dropbox hofft auch, dass die Security-Community den Code teilen und verbessern wird. Denn während der Securitybot bislang für die interne Überwachung genutzt wird, könnte dasselbe System zu einem externen, nutzerorientierten Frühwarnsystem ausgebaut werden. In jedem Fall bietet es anderen Teams einen guten Ausgangspunkt, um ein eigenes System zu entwickeln.
