Risikobewusste Unternehmen haben in der Regel mehrere IT-Sicherheitslösungen im Einsatz, um ihre Organisation vor Cyberbedrohungen zu schützen. Auch wenn die einzelnen Tools optimal funktionieren – sie arbeiten nicht unbedingt zusammen. Aufgrund begrenzter Ressourcen und dem Mangel an verfügbaren Fachkräften besteht für viele Unternehmen die besondere Herausforderung, mit dieser Entwicklung Schritt zu halten. Aus diesem Grund hat die Weiterentwicklung von Security Orchestration, Automation and Response (SOAR) deutlich an Fahrt aufgenommen.
Aber welche Vorteile bieten SOAR-Lösungen eigentlich konkret und was erreichen Unternehmen damit?
IT Security Teams müssen meist zahlreiche, uneinheitliche Sicherheits-Tools im Blick behalten, um die Flut von Bedrohungen einzudämmen. Jede Alarmmeldung der jeweiligen Software muss überwacht, analysiert und interpretiert werden. Die Automatisierung der Cybersicherheit ist für die Bewältigung dieses permanenten Stroms an Bedrohungen von entscheidender Bedeutung. Security Orchestration, Automation and Response (SOAR)- Systeme bieten eine Plattform, um eingehende Alarme unterschiedlicher IT-Sicherheitssysteme innerhalb des Unternehmens effizient zu bearbeiten.
So funktioniert SOAR
SOAR-Systeme vereinen alle relevanten Informationen, die zur Bearbeitung eines potenziellen IT-Sicherheitsvorfalls notwendig sind. Für den initialen Alarm beziehen SOAR-Systeme Informationen aus einem SIEM-, EDR- oder NDR-System. Auch die Anbindung eines E-Mail-Postfachs zur Phishing Analyse ist denkbar. Der Alarm wird zur weiteren Kontextualisierung mit öffentlichen Threat Intelligence Informationen, Ergebnissen von Datei-Analyse-Tools oder internen Datenbanken angereichert. Des Weiteren bietet SOAR die Möglichkeit, über die angebundenen Systeme automatisiert auf Alarmmeldungen zu reagieren und entsprechende Schutzmaßnahmen einzuleiten. Das Deaktivieren von Benutzerkonten, das Isolieren von betroffenen Hosts oder die automatische Erstellung von Domain-Block-Listen können hier beispielhaft genannt werden.
Zur automatischen Verarbeitung der Alarme kommen innerhalb des SOAR-Systems Playbooks zum Einsatz. Diese beinhalten, bezogen auf den jeweiligen Anwendungsfall, einen definierten Ablauf zur Informationssammlung, Analyse und Reaktion. Dabei können Playbooks auf unterschiedliche Ergebnisse innerhalb des Analyseprozesses reagieren und entsprechende Handlungsschritte einleiten. Playbook sind mit dem Aufbau eines Runbooks zur Analyse vergleichbar, arbeiten die erforderlichen Schritte jedoch automatisiert ab.
Die wesentlichen Vorteile von SOAR für Security Teams
Das im Unternehmen integrierte SOAR ist, neben einem SIEM, das zentrale Tool zur Bearbeitung von potenziellen Sicherheitsvorfällen.
Konkret hilft das SOAR Security Analysten durch die automatische (Vor-) Verarbeitung von Informationen und Alarmen. Dazu vereint es auf einer Plattform alle eingesetzten Security Tools, kombiniert die vorliegenden Informationen und unterstützt die Zusammenarbeit mehrerer Analysten an einem Case. Somit können Security Analysten effizienter arbeiten und potenzielle Schäden zielgerichtet abwenden. Auch dient das SOAR zur Dokumentation vergangener Ereignisse.
Zusammengefasst erreichen Security Teams mit einem SOAR:
- Zentrale Anbindung aller Security Tools
- Automatische (Vor-) Verarbeitung eingehender Security Alarme
- Darstellung aller relevanten Informationen auf einen Blick
- Einfache Zusammenarbeit zwischen Analysten und Cases
- Automatische Reaktion bei bestätigten Vorfällen
- Kontinuierliche Dokumentation aller Ereignisse
Kann ein SOAR die Arbeit von Security Analysten ersetzen?
Das SOAR-System unterstützt die Arbeit von Security Analysten gezielt, kann diese aber nicht ersetzten. Die Lösung automatisiert wiederkehrende Aufgaben, aggregiert Alarme eines Alarmtyps und reagiert mit spezifischen Maßnahmen auf Bedrohungen. Auch vereint es für eine zentrale Steuerung alle Security-relevanten Systeme im Unternehmen auf einer Plattform und bietet eine Übersicht für alle Security Analysten.
SOAR-Systeme verfolgen das Ziel, die Arbeit von Security Analysten durch automatisierte Verarbeitungsschritte zu unterstützen sowie erste Schutzmaßnahmen einzuleiten.
Die abschließende Beurteilung eines Alarms obliegt jedoch weiterhin dem Analysten.
Wie SOAR und SIEM zusammenarbeiten
SOAR und SIEM ergänzen sich in mehrfacher Hinsicht, denn die Kombination aus der Arbeit eines SIEM (Protokollierung und Analyse) und der automatisierten Reaktion von SOAR kann sehr effizient sein.
Ein SIEM-System ist für die initiale Erkennung potenzieller Security-Vorfälle zuständig. Hierfür sammelt es zunächst aus unterschiedlichen Quellen Daten ein und analysiert diese mittels Use-Cases in Echtzeit. Werden Auffälligkeiten erkannt, alarmiert das SIEM. Nach dem initialen Alarm des SIEM-Systems, ist es die Aufgabe des Security Analysten, diesen zu kontextualisieren und die Gefährdung für das Unternehmen zu beurteilen. Stellt sich der Alarm als konkrete Bedrohung heraus, ist es notwendig, im Rahmen des Incident Response-Prozesses entsprechend zu reagieren und passende Schutzmaßnahmen, wie die Isolierung eines Hosts oder die Sperrung von Benutzerkonten, zu veranlassen.
Bei allen Arbeitsschritten nach dem initialen Alarm unterstützt ein SOAR den Security Analysten bei seiner Arbeit. Dazu zählen die Automatisierung wiederkehrender Analyseschritte, das Einleiten von ersten Schutzmaßnahmen, die zentrale Steuerung verschiedener Security Tools und die kontinuierliche Dokumentation aller durchgeführten Schritte und deren Ergebnisse.
Wie Unternehmen die beste SOAR-Lösung finden
Immer mehr Unternehmen möchten ihren Security Prozess durch ein SOAR verbessern – was allerdings gerade bei kleinen Budgets oder fehlenden Inhouse IT Security-Experten schwierig bis unmöglich wird. Bestenfalls realisieren sie in diesem Fall ihr individuelles SOAR nach Baukastenprinzip. Dazu planen Cyber Defense Experten wie SECUINFRA zusammen mit dem Unternehmen die Umsetzung und Optimierung verschiedener Analyse-Szenarien und Automatisierungen. Die Betreuung eines SOAR-Systems ist dabei keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess, um auf die stetig veränderte Bedrohungslage bestmöglich zu reagieren.
Fazit
SOAR unterstützt beim Threat- und Vulnerability Management, dem Incident Response Prozess sowie bei der Automatisierung verschiedener Security-bezogener Prozesse. Die Anwendung von SOAR stellt somit ein bedeutsames Instrument zur Gewährleistung der IT-Sicherheit von Unternehmen dar. Die Lösung trägt dazu bei, die Koordination und Zusammenarbeit zwischen Sicherheitsteams zu optimieren, Tätigkeiten zu automatisieren und eine präzisere Übersicht über die Sicherheitslage eines Unternehmens zu erlangen.
Autoren: Simon Hanke – Cyber Defense Consultant – SECUINFRA und Ramon Weil – Founder & CEO – SECUINFRA GmbH
www.secuinfra.com