KI-gestützte Incident-Reports – strukturierte Dokumentation für NIS2- und ISO-Compliance

Gutes Security-Reporting ist entscheidend für eine gute Sicherheitslage, da es detaillierte Einblicke in Incidents bietet. Mit diesen Informationen können Organisationen Schwachstellen besser verstehen, Verteidigungsmaßnahmen verbessern und ähnliche Bedrohungen künftig verhindern. Bei GitLab hat die Security Division Use Cases für GitLab Duo entwickelt, um Reporting-Fähigkeiten zu verbessern und die operative Effizienz zu steigern.

GitLab Duos Security-Fähigkeiten

Die GitLab Security Division nutzt GitLabs integrierte Incidents für Management und Reporting von Security-Incidents. Incidents werden in GitLab bearbeitet, dokumentiert und gelöst, was den Einsatz von KI-getriebenem GitLab Duo als Assistenten bei Security-Operationen wie Incident Response ermöglicht.

Bei der Incident-Analyse und -Berichterstattung unterstützt GitLab Duo Security Teams bei der Dokumentationserstellung und kann beim Lösen von Security-Incidents hilfreich sein.

Die strukturierte Incident-Dokumentation in GitLab Issues erfüllt Audit-Anforderungen für Security-Reporting: NIS2 Artikel 23 verlangt Incident-Meldungen innerhalb von 24 Stunden mit dokumentierten Details zu Auswirkungen, technischen Einzelheiten und Gegenmaßnahmen. GitLab Issues bieten diese Struktur durch Issue-Beschreibungen, Kommentare und Labels, die alle Informationen zentral erfassen. ISO 27001 A.16.1.6 fordert strukturierte Incident-Analyse zur Ursachenidentifikation - die vordefinierten Berichtsabschnitte (Executive Summary, Mitigations & Remediations, Scope & Impact, Cause, Detection Capabilities) gewährleisten vollständige Dokumentation. Diese systematische Erfassung bildet einen lückenlosen Audit-Trail für Compliance-Nachweise.

GitLab Duo Features für Security-Reporting

GitLab Duo bietet viele Features, die Security-Reporting unterstützen:

• Root Cause Analysis: GitLab Duo kann Schwachstellen erklären und den Kontext eines Incident-Issues verstehen, was es zu einem hilfreichen Assistenten für Root-Cause-Analysen von Security-Incidents macht.
• Vulnerability Explanation: Bietet detaillierte Einblicke in identifizierte Schwachstellen, einschließlich potenzieller Exploitation-Methoden und Remediation-Schritten. Dieses Feature unterstützt Entwickler und Security-Analysten beim Verstehen und Adressieren von Security-Problemen.
• Vulnerability Resolution: Unterstützt beim Beheben von Schwachstellen durch Generierung von Merge Requests, die identifizierte Probleme adressieren, und optimiert den Remediation-Prozess.
• Code Explanation: Hilft beim Verstehen spezifischer Code-Segmente durch klare Erklärungen, was besonders bei komplexen oder unbekannten Codebases nützlich ist.
• Test Generation: Ermöglicht frühe Bug-Erkennung durch Generierung von Tests für ausgewählten Code und stellt sicher, dass Security-Schwachstellen zeitnah identifiziert und adressiert werden.
• Refactor Code: Schlägt Verbesserungen oder Refactoring für ausgewählten Code vor, um Qualität und Wartbarkeit zu erhöhen und zu einer sichereren Codebase beizutragen.
• Fix Code: Identifiziert und behebt Qualitätsprobleme wie Bugs oder Tippfehler im ausgewählten Code und hilft, eine robuste und sichere Codebase aufrechtzuerhalten.

Praktische Use Cases

Der systematische Ansatz mit drei strukturierten Use Cases (Incident Reporting, Root Cause Analysis, Executive Updates) adressiert verschiedene Reporting-Anforderungen: Initiale Dokumentation erfasst Incident-Details, Root-Cause-Analyse identifiziert Ursachen systematisch, und Executive Summaries bereiten Information für Management auf. Prompt-Engineering ermöglicht reproduzierbare Reporting-Prozesse mit definierten Abschnitten, die Compliance-Anforderungen erfüllen.

Für die Demonstration praktischer Use Cases hat das Security Incident Response Team einen Dummy-Incident mit folgenden limitierten Informationen erstellt:

Mehrere Kommentare wurden hinzugefügt, wie das Team normalerweise vorgehen würde:

Incident Reporting

GitLab Duo erfasst Informationen aus Incident-Issues vollständig, einschließlich Issue-Beschreibung, Kommentaren und Labels. Bei Security-Incidents verteilen sich Informationen oft über mehrere Quellen und ändern sich im Zeitverlauf. Sie können verloren gehen oder übersehen werden. GitLab Duo kann helfen, relevante Informationen wiederzufinden und präzise Incident-Reports zu erstellen.

Zum Incident-Issue navigieren und GitLab Duo Chat öffnen. Prompts lassen sich so gestalten, dass GitLab Duo exakte Reporting-Anforderungen berücksichtigt, etwa welche Abschnitte benötigt werden und wie sie ausgefüllt werden sollen. Hier ist ein Beispiel des Prompts, den wir bei GitLab Security verwenden:

Required sections:

• Executive Summary - bottom-line-up-front that is adequate for an audience like senior leadership and CISO
• Mitigations & Remediations
• Scope & Impact (Environments, customers, team members)
• Cause
• Detection Capabilities

Based on the issue and the required section, write the security incident report. Flag any missing information.

Unten ist GitLab Duos Output, den wir nutzen können, um unseren umfassenden Incident-Report zu erstellen:

Root Cause Analysis

GitLab Duo kann Schwachstellen erklären und den Kontext eines Incident-Issues verstehen. Diese Fähigkeiten machen GitLab Duo zu einem hilfreichen Assistenten für Root-Cause-Analysen von Security-Incidents.

Wie oben gezeigt, kann GitLab Duo einen eigenen Abschnitt zur Incident-Ursache basierend ausschließlich auf den Issue-Inhalten schreiben. Mit Unterstützung von GitLab Duo lässt sich dies weiter vertiefen, um mehrere Kandidaten für Root Cause(s) zu identifizieren.

Unser Prompt ist wie folgt aufgebaut:

"The root cause of the incident was the exposure of a personal access token in CI job logs. The token was leaked in a project that was not included in the current list of projects for token detection, indicating a gap in the security monitoring process." Name a few potential root causes for a PAT finding itself in CI job logs.

GitLab Duos Response ist folgende:

On-Demand-Updates

Security-Incidents entwickeln sich schnell und können verwirrend sein, und Informationen ändern sich ständig. Incidents mit höherem Schweregrad erfordern ein gewisses Maß an Gründlichkeit beim Reporting an Senior Leadership, besonders wenn die Zielgruppe auf Director+-Ebene ist. Engineers, die mitten in einem Security-Incident arbeiten, kann es schwerfallen, Informationen so zu verdichten, dass sie für Executives verständlich sind.

Wie oben gezeigt, kann GitLab Duo Executive Summaries erstellen. Während ein Incident andauert, müssen regelmäßige Updates an Senior Leadership über Incident-Status und nächste Schritte geliefert werden. GitLab Duo kann auch dabei unterstützen. Falls Informationen über das Issue verteilt sind in Form von Beschreibung oder Kommentaren, kann GitLab Duo helfen, diese Informationen zu einem "bottom-line-up-front" oder BLUF-Summary zusammenzufassen, das wir für Executive Updates benötigen.

Wir haben denselben Incident kurz vor Token-Revocation genommen und GitLab Duo um ein BLUF-Summary gebeten, bei dem die Zielgruppe der Director of Security Operations ist.

Erste Schritte mit GitLab Duo für Security

GitLab Security hat mehrere Teile des Reporting-Prozesses mit GitLab Duo automatisiert. Um zu starten, ist lediglich Zugriff auf GitLab Duo Chat erforderlich. GitLab Duo Chat kann ein gut informierter Assistent für viele Security-Reporting-Fälle und Post-Mortem-Analysen sein.

Wie geht es weiter mit GitLab Duo?

GitLab ist committed, GitLab Duos Fähigkeiten kontinuierlich zu erweitern. Künftige Entwicklungen zielen darauf ab, KI-getriebene Features tiefer in Security-Workflows zu integrieren, proaktive Erkennung und Behebung von Schwachstellen bereitzustellen, Incident Management zu optimieren und umfassende Reporting-Tools anzubieten. Diese Weiterentwicklungen werden Security Teams weiter befähigen, robuste Security-Positionen aufrechtzuerhalten und effektiv auf neue Bedrohungen zu reagieren.

GitLab Duo kostenlos testen!