< Übersicht
Risikobewusste Unternehmen haben in der Regel mehrere IT-Sicherheitslösungen im Einsatz, um ihre Organisation vor Cyberbedrohungen zu schützen. Auch wenn die einzelnen Tools optimal funktionieren - sie arbeiten nicht unbedingt zusammen. Aufgrund begrenzter Ressourcen und dem Mangel an verfügbaren Fachkräften besteht für viele Unternehmen die besondere Herausforderung, mit dieser Entwicklung Schritt zu halten. Aus diesem Grund hat die Weiterentwicklung von Security Orchestration, Automation and Response (SOAR) deutlich an Fahrt aufgenommen. Aber welche Vorteile bieten SOAR-Lösungen eigentlich konkret und was erreichen Unternehmen damit?

Wie SOAR-Lösungen die Cybersicherheit revolutionieren

IT Security Teams müssen meist zahlreiche, uneinheitliche Sicherheits-Tools im Blick behalten, um die Flut von Bedrohungen einzudämmen. Jede Alarmmeldung der jeweiligen Software muss überwacht, analysiert und interpretiert werden. Die Automatisierung der Cybersicherheit ist für die Bewältigung dieses permanenten Stroms an Bedrohungen von entscheidender Bedeutung. Security Orchestration, Automation and Response (SOAR)- Systeme bieten eine Plattform, um eingehende Alarme unterschiedlicher IT-Sicherheitssysteme innerhalb des Unternehmens effizient zu bearbeiten.

So funktioniert SOAR

SOAR-Systeme vereinen alle relevanten Informationen, die zur Bearbeitung eines potenziellen IT-Sicherheitsvorfalls notwendig sind. Für den initialen Alarm beziehen SOAR-Systeme Informationen aus einem SIEM-, EDR- oder NDR-System. Auch die Anbindung eines E-Mail-Postfachs zur Phishing Analyse ist denkbar. Der Alarm wird zur weiteren Kontextualisierung mit öffentlichen Threat Intelligence Informationen, Ergebnissen von Datei-Analyse-Tools oder internen Datenbanken angereichert. Des Weiteren bietet SOAR die Möglichkeit, über die angebundenen Systeme automatisiert auf Alarmmeldungen zu reagieren und entsprechende Schutzmaßnahmen einzuleiten. Das Deaktivieren von Benutzerkonten, das Isolieren von betroffenen Hosts oder die automatische Erstellung von Domain-Block-Listen können hier beispielhaft genannt werden.

Zur automatischen Verarbeitung der Alarme kommen innerhalb des SOAR-Systems Playbooks zum Einsatz. Diese beinhalten, bezogen auf den jeweiligen Anwendungsfall, einen definierten Ablauf zur Informationssammlung, Analyse und Reaktion. Dabei können Playbooks auf unterschiedliche Ergebnisse innerhalb des Analyseprozesses reagieren und entsprechende Handlungsschritte einleiten. Playbook sind mit dem Aufbau eines Runbooks zur Analyse vergleichbar, arbeiten die erforderlichen Schritte jedoch automatisiert ab. 

Die wesentlichen Vorteile von SOAR für Security Teams

Das im Unternehmen integrierte SOAR ist, neben einem SIEM, das zentrale Tool zur Bearbeitung von potenziellen Sicherheitsvorfällen.

Konkret hilft das SOAR Security Analysten durch die automatische (Vor-) Verarbeitung von Informationen und Alarmen. Dazu vereint es auf einer Plattform alle eingesetzten Security Tools, kombiniert die vorliegenden Informationen und unterstützt die Zusammenarbeit mehrerer Analysten an einem Case. Somit können Security Analysten effizienter arbeiten und potenzielle Schäden zielgerichtet abwenden. Auch dient das SOAR zur Dokumentation vergangener Ereignisse.

Zusammengefasst erreichen Security Teams mit einem SOAR:

  • Zentrale Anbindung aller Security Tools
  • Automatische (Vor-) Verarbeitung eingehender Security Alarme
  • Darstellung aller relevanten Informationen auf einen Blick
  • Einfache Zusammenarbeit zwischen Analysten und Cases
  • Automatische Reaktion bei bestätigten Vorfällen
  • Kontinuierliche Dokumentation aller Ereignisse

Kann ein SOAR die Arbeit von Security Analysten ersetzen?

Das SOAR-System unterstützt die Arbeit von Security Analysten gezielt, kann diese aber nicht ersetzten. Die Lösung automatisiert wiederkehrende Aufgaben, aggregiert Alarme eines Alarmtyps und reagiert mit spezifischen Maßnahmen auf Bedrohungen. Auch vereint es für eine zentrale Steuerung alle Security-relevanten Systeme im Unternehmen auf einer Plattform und bietet eine Übersicht für alle Security Analysten.

SOAR-Systeme verfolgen das Ziel, die Arbeit von Security Analysten durch automatisierte Verarbeitungsschritte zu unterstützen sowie erste Schutzmaßnahmen einzuleiten.

Die abschließende Beurteilung eines Alarms obliegt jedoch weiterhin dem Analysten.

Wie SOAR und SIEM zusammenarbeiten

SOAR und SIEM ergänzen sich in mehrfacher Hinsicht, denn die Kombination aus der Arbeit eines SIEM (Protokollierung und Analyse) und der automatisierten Reaktion von SOAR kann sehr effizient sein.

Ein SIEM-System ist für die initiale Erkennung potenzieller Security-Vorfälle zuständig. Hierfür sammelt es zunächst aus unterschiedlichen Quellen Daten ein und analysiert diese mittels Use-Cases in Echtzeit. Werden Auffälligkeiten erkannt, alarmiert das SIEM. Nach dem initialen Alarm des SIEM-Systems, ist es die Aufgabe des Security Analysten, diesen zu kontextualisieren und die Gefährdung für das Unternehmen zu beurteilen. Stellt sich der Alarm als konkrete Bedrohung heraus, ist es notwendig, im Rahmen des Incident Response-Prozesses entsprechend zu reagieren und passende Schutzmaßnahmen, wie die Isolierung eines Hosts oder die Sperrung von Benutzerkonten, zu veranlassen.

Bei allen Arbeitsschritten nach dem initialen Alarm unterstützt ein SOAR den Security Analysten bei seiner Arbeit. Dazu zählen die Automatisierung wiederkehrender Analyseschritte, das Einleiten von ersten Schutzmaßnahmen, die zentrale Steuerung verschiedener Security Tools und die kontinuierliche Dokumentation aller durchgeführten Schritte und deren Ergebnisse. 

Wie Unternehmen die beste SOAR-Lösung finden

Immer mehr Unternehmen möchten ihren Security Prozess durch ein SOAR verbessern – was allerdings gerade bei kleinen Budgets oder fehlenden Inhouse IT Security-Experten schwierig bis unmöglich wird. Bestenfalls realisieren sie in diesem Fall ihr individuelles SOAR nach Baukastenprinzip. Dazu planen Cyber Defense Experten wie SECUINFRA zusammen mit dem Unternehmen die Umsetzung und Optimierung verschiedener Analyse-Szenarien und Automatisierungen. Die Betreuung eines SOAR-Systems ist dabei keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess, um auf die stetig veränderte Bedrohungslage bestmöglich zu reagieren.

Fazit

SOAR unterstützt beim Threat- und Vulnerability Management, dem Incident Response Prozess sowie bei der Automatisierung verschiedener Security-bezogener Prozesse. Die Anwendung von SOAR stellt somit ein bedeutsames Instrument zur Gewährleistung der IT-Sicherheit von Unternehmen dar. Die Lösung trägt dazu bei, die Koordination und Zusammenarbeit zwischen Sicherheitsteams zu optimieren, Tätigkeiten zu automatisieren und eine präzisere Übersicht über die Sicherheitslage eines Unternehmens zu erlangen.

Simon Hanke · Autor

Cyber Defense Consultant

Im Rahmen seines dualen Informatik-Studiums mit SECUINFRA hat sich Simon bereits früh im Bereich der IT Security spezialisiert und sein Interesse an diesem Feld stetig gefestigt. In den verschiedenen Praxisphasen des Studiums fokussierte er sich auf die Gebiete der Netzwerkanalyse und Automatisation von Security Prozessen.

Im Rahmen seines dualen Informatik-Studiums mit SECUINFRA hat sich Simon bereits früh im Bereich der IT Security spezialisiert und sein Interesse an diesem Feld stetig gefestigt. In den verschiedenen Praxisphasen des Studiums fokussierte er sich auf die Gebiete der Netzwerkanalyse und Automatisation von Security Prozessen. Dabei konnte er sein Wissen über Tools und Erkennungsmöglichkeiten von Angriffen weiter ausbauen und vertiefen. In verschiedenen Projekten wendet Simon seine Kenntnisse an und stärkt die Cyber Defense bei Kunden der SECUINFRA.

Cyber Defense Consultant

During his dual computer science studies with SECUINFRA, Simon specialized in the field of IT security at an early stage and steadily consolidated his interest in this field. In the various practical phases of his studies, he focused on the areas of network analysis and automation of security processes.

During his dual computer science studies with SECUINFRA, Simon specialized in the field of IT security at an early stage and steadily consolidated his interest in this field. In the various practical phases of his studies, he focused on the areas of network analysis and automation of security processes. In doing so, he was able to further expand and deepen his knowledge of tools and detection options for attacks. In various projects Simon applies his knowledge and strengthens the Cyber Defense at SECUINFRA's customers.

> Alle Artikel

Ramon Weil · Autor

Founder & CEO

Ramon Weil ist Gründer und Geschäftsführer der SECUINFRA GmbH. Seit 2010 hat er SECUINFRA zu einem der führenden Unternehmen im Bereich der Erkennung, Analyse und Abwehr von Cyberangriffen in Deutschland entwickelt.

Ramon Weil ist Gründer und Geschäftsführer der SECUINFRA GmbH. Seit 2010 hat er SECUINFRA zu einem der führenden Unternehmen im Bereich der Erkennung, Analyse und Abwehr von Cyberangriffen in Deutschland entwickelt. Vor der Gründung von SECUINFRA war Ramon mehr als 20 Jahre im Bereich IT & IT-Security tätig. Unter anderem hat er bei Siemens im Security Operation Center (SOC) gearbeitet, den Back Level Support für IT-Security Produkte bei Siemens aufgebaut und weltweit IT- Security Projekte umgesetzt und geleitet. Von 2006 bis zur Gründung von SECUINFRA hat Ramon das IT-Security Geschäft für Siemens und später Nokia Siemens Networks (NSN) in der Region Asia Pacific (APAC) aufgebaut. Neben zahlreichen IT-Security Produkt-Zertifizierungen ist er seit 2006 CISSP und seit 2010 CISM.

Founder & CEO

Ramon Weil is founder and managing director of SECUINFRA GmbH. Since 2010, he has developed SECUINFRA into one of the leading companies in the field of detection, analysis and defense against cyber attacks in Germany.

Ramon Weil is founder and managing director of SECUINFRA GmbH. Since 2010, he has developed SECUINFRA into one of the leading companies in the field of detection, analysis and defense against cyber attacks in Germany. Before founding SECUINFRA, Ramon worked for more than 20 years in the field of IT & IT security. Among other things, he worked at Siemens in the Security Operation Center (SOC), established the back level support for IT security products at Siemens and implemented and managed IT security projects worldwide. From 2006 until the foundation of SECUINFRA, Ramon built up the IT Security business for Siemens and later Nokia Siemens Networks (NSN) in the Asia Pacific (APAC) region. In addition to numerous IT security product certifications, he has been a CISSP since 2006 and a CISM since 2010.

> Alle Artikel

Beitrag teilen auf: