Dropbox stellt Open Source Securitybot vor

Dropbox hat heute einen Securitybot vorgestellt, der für mehr Sicherheit, Effizienz und weniger Falschmeldungen sorgen soll. Dem Cloudspeicher-Anbieter zufolge hilft Securitybot dem Dropbox-Sicherheitsteam, Alarmsignale schneller zu analysieren, indem er mit den betroffenen Mitarbeitern kommuniziert und nur die Alerts an das Sicherheitsteam weitergibt, die wirklich nachverfolgt werden müssen. Dropbox stellt den Securitybot als Open Source auf GifHub zur Verfügung und will damit anderen Unternehmen dabei helfen, ihr internes Warnsystem zu verbessern.

Je schneller Sicherheitsrisiken aufgedeckt werden, desto schneller können sie Sicherheitsteams mitgeteilt und von ihnen überprüft werden. Um eine möglichst rechtzeitige Früherkennung zu gewährleisten, werden diese Teams normalerweise von Überwachungssystemen unterstützt, die den Alarm häufig bereits bei kleineren Verdachtsfällen auslösen. Übermäßig häufige Warnungen können aber dazu führen, dass die Sicherheitsexperten mit Informationen geradezu überschwemmt werden. Das erschwert es, die ernsteren Vorfälle herauszufiltern. Viele dieser Alerts sind laut Dropbox sogar Falschmeldungen, die entstehen, weil einige Mitarbeiter von Zeit zu Zeit die Befehle sudo -i oder nmap ausführen. Schließlich muss jeder Mitarbeiter, der einen Alert schickt, vom Sicherheitsteam kontaktiert werden. Mehr Alarmsignale bedeuten mehr Arbeit.

Slack Technologies hat vor einem Jahr begonnen, genau dieses Problem anzugehen. Anstatt alle Mitarbeiter einzeln zu kontaktieren, damit diese ihre Aktionen verifizieren, wurde ein automatisiertes System entwickelt, das die Mitarbeiter kontaktiert und dem Sicherheitsteam alle Benachrichtigungen gebündelt übermittelt.

Als Gründungsmitglied der TODO Group (Talk Openly, Develop Openly) hat Dropbox entschieden, durch die Unterstützung von Open Source-Projekten das Wissen mit einer größeren Tech-Gemeinde zu teilen. So gibt das Unternehmen seine Erkenntnisse in der Hoffnung bekannt, dass auch andere Unternehmen von ihnen profitieren können.

Der schwerste und zeitlich aufwendigste Teil der Sicherheitsüberwachung ist laut Dropbox das manuelle Kontaktieren der einzelnen Mitarbeiter, damit diese ihre Vorgehensweise rechtfertigen. Und obwohl für diesen Nachrichtenaustausch bereits ein großer Zeitaufwand betrieben wird, kommt es immer wieder dazu, dass wichtige Alarmsignale aus Zeitnot übersehen werden. Abhilfe soll nun ein System schaffen, mit dem mehrere Nutzer gleichzeitig erreicht werden können. So erhält das Sicherheitsteam mehr Zeit, um Erkennungswerkzeuge zu bauen und tatsächlich bösartige Akteure zu verfolgen.

Securitybot ist inzwischen im Früherkennungssystem von Dropbox integriert. Sobald ein Alarm ausgelöst wird, erhält der betroffene Mitarbeiter automatisch eine Nachricht, in der er gefragt wird, ob er möglicherweise eine kritische Aktion ausgeführt haben könnte. Die Antwort des Mitarbeiters wird gespeichert und an das Sicherheitsteam weitergegeben. Die abgewickelten Alarmauslösungen werden gesammelt und mit den Beschreibungen der Mitarbeiter an den Securitybot übermittelt. Falls ein Mitarbeiter antworten sollte, die besagte Aktion nicht ausgeführt zu haben, wird das Sicherheitsteam sofort benachrichtigt.

Dropbox Securitybot (Bild: Dropbox)

Auf diese Weise sollen diejenigen Alerts in den Vordergrund rücken, die wirklich schnelle Aufmerksamkeit und Nachverfolgung benötigen. Somit sollen die Dropbox-Techniker mehr Zeit haben, sich mit grundlegenden Projekten zu befassen, die die allgemeine Sicherheit des Unternehmens betreffen.

Securitybot ist ebenfalls mit dem Überwachungssystem von Dropbox und dem unternehmensweiten Nachrichtensystem verknüpft. Außerdem wurde das Design ausgeweitet, um es noch nützlicher für Dropbox und die ganze Tech-Gemeinde zu machen. Ziel war es, die Umsetzung modular und somit wiederverwertbar zu gestalten. So wurde beispielsweise das Nachrichten- oder Überwachungssystem verändert, ohne den Basis-Quellcode umschreiben zu müssen. Securitybot wurde also um einige Kernfunktionen herum entwickelt, die mithilfe einfacher kombinierbarer Plug-ins mit Monitoring- und Kommunikationssystemen in Kontakt treten.

Ziel war es außerdem auch, Securitybot so benutzerfreundlich wie möglich zu gestalten. Anstatt Mitarbeiter mit Anfragen zu bombardieren, wird bei den meisten Signalen die „Schlummertaste“ betätigt. Wenn jemand beispielsweise benachrichtigt wird, weil er sudo ausgeführt hat, ist es wahrscheinlich, dass derjenige den Befehl im selben Kontext noch einmal benutzt. In solchen Fällen verzichtet der Bot darauf, jemanden dreimal hintereinander zu kontaktieren.

Falschmeldungen werden erkannt, ohne jeden einzelnen Mitarbeiter persönlich benachrichtigen zu müssen und mögliche Vorfälle werden sofort gemeldet. Damit unterstützt Securitybot nicht nur das Sicherheitsteam, sondern alle Dropbox-Mitarbeiter. Eine automatisch gestellte Anfrage lässt sich schneller beantworten, als auf die Anfrage eines Technikers mit ausformulierten Sätzen zu reagieren. Schließlich stellt Securitybot auch ungewöhnliche Vorfälle in E-Mail- und Dropbox-Konten von Mitarbeitern oder auf ihren Laptops fest. Dropbox weiß, dass es lästig sein kann, sich immer wieder bei einem hartnäckigen Sicherheitsteam zu rechtfertigen. Dropbox hat eigenen Angaben zufolge etwas Zeit investiert, um den Dialog zwischen Securitybot und Nutzer so angenehm wie möglich zu gestalten.

Dropbox stellt den Securitybot als Open Source zur Verfügung. Nach Erkenntnissen des Unternehmens handelt es sich bislang um das einzige Open Source-Projekt, das automatisch verdächtige Vorfälle direkt von Mitarbeitern bestätigen lassen, sammeln und speichern kann. Durch die Einführung als Open Source will Dropbox anderen Unternehmen dabei helfen, ihr internes Warnsystem zu verbessern und ihr Sicherheitssystem so schnell wie möglich in Betrieb zu nehmen. Dropbox hofft auch, dass die Security-Community den Code teilen und verbessern wird. Denn während der Securitybot bislang für die interne Überwachung genutzt wird, könnte dasselbe System zu einem externen, nutzerorientierten Frühwarnsystem ausgebaut werden. Es soll anderen Teams eine Ausgangsbasis bietet, um ein eigenes System zu entwickeln, so Dropbox.