Security Orchestration, Automation and Response (SOAR)

Juni 17, 2022

Security Orchestration, Automation and Response (SOAR) bezeichnet eine Reihe von Software-Programmen, die zur Stärkung der Cybersicherheit von Unternehmen entwickelt wurden. Eine SOAR-Plattform ermöglicht es Sicherheitsanalysten, Daten aus verschiedenen Quellen zu überwachen, einschließlich Sicherheitsinformations- und Managementsysteme sowie Bedrohungsanalyse-Plattformen.

Mit einer SOAR-Plattform kann Ihr Sicherheitsteam die Effizienz und Reaktionszeit verbessern. Die Plattform erfasst Bedrohungsinformationen, automatisiert typische Reaktionen und triagiert komplexe Bedrohungen, um die Notwendigkeit menschlicher Eingriffe zu minimieren.

Was ist das Ziel von SOAR?

Der von Gartner stammende Begriff SOAR deckt drei Software-Funktionen ab: die Bedrohungs- und Schwachstellenverwaltung, die Reaktion auf Sicherheitszwischenfälle und die Automatisierung von Sicherheitsabläufen. Der Zweck einer SOAR-Plattform ist die Erfassung bedrohungsbezogener Daten und die Automatisierung der Reaktion auf Bedrohungen.

Eine SOAR-Lösung setzt auf manuelle Eingriffe durch Menschen sowie Machine-Learning-Technologie, um eingehende Sicherheitsdaten zu analysieren und Aktionen zur Reaktion auf Zwischenfälle zu priorisieren.

Die erste Kernkompetenz einer SOAR-Plattform ist die Sicherheitsorchestrierung, d. h. die Koordination der Sicherheitstools, damit sie zusammenarbeiten, miteinander kommunizieren und so den Sicherheitsprozess optimieren können. Durch das Zusammenführen der Daten an einem Ort kann eine zentralisierte Sicherheitsreaktion erfolgen.

Die zweite Kernkompetenz ist die Automatisierung, d. h. die Durchführung von Aufgaben ohne das Eingreifen von Menschen. Die letzte Kernkompetenz, die Reaktion, ermöglicht Ihrem Team die Beseitigung von Bedrohung durch eine automatisierte Reaktion oder mithilfe von Aktionen durch einen Menschen.

Was sind die wichtigsten Funktionen einer SOAR-Lösung?

SOAR-Lösungen priorisieren und standardisieren die Untersuchung und Verwaltung von Zwischenfällen, sodass Sicherheitsteams effektiver zusammenarbeiten können. Automatisierbare Workflows durchlaufen standardisierte Reaktionsprozesse, die in Playbooks definiert sind.

SOAR-Plattformen variieren je nach Anbieter, sollten aber die folgenden wichtigen Funktionen umfassen:

  • Orchestrierung: Vereinfachte Verknüpfung von Sicherheits- und Produktivitätstools, z. B. von Firewalls und Tools zur Erkennung von Eindringungsversuchen
  • Automatisierung: Automatisierung typischer Cybersicherheits-Workflows, z. B. die Identifizierung von Sicherheitswarnungen und potenziellen Eindringungsversuchen
  • Reaktion: Nutzung automatisierter und manueller Prozesse, um schnelle Reaktionen auf Sicherheitsbedrohungen zu ermöglichen
  • Integration: Zusammenarbeit mit verschiedenen weiteren Sicherheitsprodukten, um die allgemeine Sicherheit des Unternehmens zu verbessern

Warum sollten Unternehmen SOAR-Tools verwenden?

Sicherheitsteams haben es häufig mit zahlreichen Bedrohungen wie Malware und Phishing zu tun. Lou Charlier, der stellvertretende CIO des US-amerikanischen Arbeitsministeriums, berichtete FedTech, dass seine Behörde typischerweise jeden Monat 77 Millionen E-Mails blockiert.

Die Automatisierung der Cybersicherheit ist für die Bewältigung dieses stetigen Stroms an Bedrohungen entscheidend. Machine Learning-Plattformen können die Reaktion auf Zwischenfälle verbessern, indem sie aus historischen Daten lernen und selbstständig Maßnahmen ergreifen, sodass sich das Sicherheitsteam um die Aufgaben kümmern können, bei denen eine Automatisierung nicht möglich ist.

SOAR-Tools können die Reaktion auf Zwischenfälle auch verbessern, indem sie Bedrohungen antizipieren. Durch die steigende Anzahl intelligenter Geräte in einem Netzwerk nimmt auch die Anzahl der Zugangspunkte für Hacker zu.

Unternehmen wie Cyber-resiliente Banken verwenden SOAR-Systeme zur Erfassung der Daten von diesen separaten Geräten und schnellen Reaktion auf potenzielle Sicherheitsbedrohungen, bevor es zu Exploits kommen kann.

Wann sollten SOAR-Tools verwendet werden?

Vor der Entscheidung für eine SOAR-Lösung sollten Sie sich ein Bild von der allgemeinen Sicherheitslage Ihres Unternehmens machen. Unternehmen sollten zuerst über solide Sicherheitsabläufe mit standardisierten Playbooks und eine Bibliothek mit Reaktions-Workflows verfügen.

Wenn Ihre Sicherheitsabläufe vollständig definiert sind, können Sie den Fokus auf die Automatisierung Ihrer bestehenden Sicherheitsprozesse mit einem erweiterten Sicherheitstool wie SOAR verlagern.

Welchen Zusammenhang gibt es zwischen SOAR und SIEM?

SIEM-Software (Sicherheitsinformations- und Ereignismanagement) erfasst Protokolldaten und nutzt diese anschließend zur Identifizierung, Kategorisierung und Analyse von Zwischenfällen und Ereignissen.

SIEM-Software hat zwei Ziele:

  • Erstellung von Berichten zu Zwischenfällen und Ereignissen: Die Software kann Berichte zu Ereignisdaten zur Verfügung stellen, z. B. zu fehlgeschlagenen Anmeldeversuchen und Malware-Aktivitäten.
  • Versand von Warnungen bei potenziellen Sicherheitsproblemen: Die Software kann anhand festgelegter Parameter bestimmen, ob es sich bei einem Ereignis um ein potenzielles Sicherheitsproblem handelt.

SOAR und SIEM im Vergleich

SOAR- und SIEM-Lösungen übernehmen unterschiedliche Rollen in Ihren Sicherheitsabläufen. Der Zweck einer SIEM-Software-Lösung besteht ausschließlich in der Erfassung und dem Versand von Warnungen an das Sicherheitsteam, das dann die entsprechenden Untersuchungen anstellt.

Das SOAR-Tool verwendet Daten zu Sicherheitsproblemen, um die Reaktion zu automatisieren, und nutzt auch künstliche Intelligenz, um ähnliche Bedrohungen in Zukunft vorherzusagen und darauf zu reagieren.

SOAR mit SIEM

Sicherheitsteams kombinieren oft SOAR- und SIEM-Tools, da sich diese Plattformen ergänzen und zusammen zur Verbesserung der allgemeinen Sicherheitsabläufe beitragen können.

SOAR und SIEM haben im Grunde die gleiche Beziehung wie ein Assistent und ein Manager. Die SIEM-Lösung erfasst und korreliert Protokolle, um Ereignisse zu ermitteln, die einer Warnung bedürfen. Sie verfügt über Protokoll-Repository- und Analysefunktionen, die SOAR-Plattformen nicht bieten.

Wenn Sie eine SOAR-Plattform mit einer SIEM-Plattform kombinieren, kann die SOAR-Plattform Daten von der SIEM-Lösung empfangen und dann die entsprechenden Maßnahmen einleiten. Die SOAR-Plattform dient als zentrale Anlaufstelle für Sicherheitsteams, um sich über den Kontext zu informieren und auf Warnungen zu reagieren.

Ohne SOAR müssten Sicherheitsteams mit verschiedenen Schnittstellen außerhalb der SIEM-Lösung arbeiten. Durch die Kombination von SOAR und SIEM können Sicherheitsteams effizient arbeiten, da die Plattformen ihnen zusammen die Warnungen präsentieren, die weitere Untersuchungen und Lösungsschritte erfordern.

SOAR mit anderen Produkten

Genau wie es für Sicherheitsteams von Vorteil sein kann, SIEM- und SOAR-Tools zu kombinieren, können auch andere Sicherheitsprodukte auf den Funktionen Ihrer SOAR-Lösung aufsetzen. Sie könnten beispielsweise eine dedizierte Plattform zur Bedrohungsanalyse verwenden, um die entsprechenden Funktionen einer SOAR-Lösung zu erweitern.

Eine Plattform zur Bedrohungsanalyse ist eine Lösung, die Bedrohungsdaten aus mehreren Quellen erfasst und verarbeitet. Sie liefert Sicherheitsteams detaillierte Informationen zu Bedrohungen wie bekannte Malware. Die SOAR-Plattform kann die Informationen der Plattform als Grundlage für die Strategie und erforderlichen Lösungsschritte bei kritischen Bedrohungen verwenden.

Welche besonderen Vorteile bieten SOAR-Tools?

Alles in allem zeichnet sich eine SOAR-Plattform durch vier besondere Funktionen aus:

  • Playbooks und Automatisierung: Mit einer SOAR-Lösung können Sicherheitsteams mit den erfassten Daten ihre Abläufe per Sicherheitsautomatisierung sowie mithilfe von Playbooks optimieren.
  • Priorisierung von Bedrohungen: SOAR-Tools helfen Sicherheitsteams, Warnungen für effizientere Bedrohungserkennungen und Untersuchungen zu priorisieren und in Gruppen zusammenzufassen.
  • Berichterstellung und Analyse: SOAR-Plattformen können Berichte generieren, um Sicherheitsteams bei der Identifizierung von Trends in ihrem Unternehmen zu unterstützen.
  • Sicherheits-Dashboard: SOAR-Plattformen können als zentrales Dashboard dienen, damit Sicherheitsteams Warnungen gemeinsam überwachen und darauf reagieren können.