Welche Vorteile bietet SOAR? Die 5 wichtigsten FAQ zu Security Orchestration Automation & Response!

IT Security Teams müssen häufig zahlreiche, uneinheitliche Sicherheits-Tools im Blick behalten, um die Flut von Bedrohungen einzudämmen. Denn jede Alarmmeldung der jeweiligen Software muss überwacht, analysiert und interpretiert werden. Aufgrund begrenzter Ressourcen und dem Mangel an verfügbaren Fachkräften besteht für viele Unternehmen die besondere Herausforderung, mit dieser Entwicklung Schritt zu halten. Aus diesem Grund hat die Weiterentwicklung von Security Orchestration, Automation and Response (SOAR) deutlich an Fahrt aufgenommen.

Aber welche Vorteile bieten SOAR-Lösungen eigentlich konkret und was erreichen Unternehmen damit? Wir geben nachfolgend Antworten auf die 5 meist gestellten Fragen zum Thema SOAR!  

Was ist SOAR und wozu brauche ich es?

Security Orchestration, Automation and Response (SOAR)- Systeme bieten eine Plattform, um eingehende Alarme unterschiedlicher IT-Sicherheitssysteme innerhalb des Unternehmens effizient zu bearbeiten. Dazu vereinen sie alle relevanten Informationen, die zur Bearbeitung eines potenziellen IT-Sicherheitsvorfalls notwendig sind. Für den initialen Alarm beziehen SOAR-Systeme Informationen aus einem SIEM-, EDR- oder NDR-System. Auch die Anbindung eines E-Mail-Postfachs zur Phishing Analyse ist denkbar. Der Alarm wird zur weiteren Kontextualisierung mit öffentlichen Threat Intelligence Informationen, Ergebnissen von Datei-Analyse-Tools oder internen Datenbanken angereichert. Weiter bietet SOAR die Möglichkeit, über die angebundenen Systeme automatisiert auf Alarmmeldungen zu reagieren und entsprechende Schutzmaßnahmen einzuleiten. Dazu zählt zum Beispiel das Deaktivieren von Benutzerkonten, das Isolieren von betroffenen Hosts oder die automatische Erstellung von Domain-Block-Listen. Ein SOAR unterstützt Security Analysten beim Threat- und Vulnerability Management, dem Incident Response Prozess sowie bei der Automatisierung verschiedener Security-bezogener Prozesse.

Zur automatischen Verarbeitung der Alarme kommen innerhalb des SOAR-Systems Playbooks zum Einsatz. Diese beinhalten, bezogen auf den jeweiligen Anwendungsfall, einen definierten Ablauf zur Informationssammlung, Analyse und Reaktion. Dabei können Playbooks auf unterschiedliche Ergebnisse innerhalb des Analyseprozesses reagieren und entsprechende Handlungsschritte einleiten.

Playbook sind mit dem Aufbau eines Runbooks zur Analyse vergleichbar, arbeiten die erforderlichen Schritte jedoch automatisiert ab.

Welche Vorteile bietet SOAR?

Das im Unternehmen integrierte SOAR ist, neben einem SIEM, das zentrale Tool zur Bearbeitung von potenziellen Sicherheitsvorfällen im Rahmen des Incident Response Prozesses. Konkret hilft das SOAR Security Analysten durch die automatische (Vor-) Verarbeitung von Informationen und Alarmen. Dazu vereint es auf einer Plattform alle eingesetzten Security Tools, kombiniert die vorliegenden Informationen und unterstützt die Zusammenarbeit mehrerer Analysten an einem Case. Somit können Security Analysten effizienter arbeiten und potenzielle Schäden zielgerichtet abwenden. Auch dient das SOAR zur Dokumentation vergangener Ereignisse.

Zusammengefasst erreichen Sie mit einem SOAR:

• Zentrale Anbindung aller Security Tools
• Automatische (Vor-) Verarbeitung eingehender Security Alarme
• Darstellung aller relevanten Informationen auf einen Blick
• Einfache Zusammenarbeit zwischen Analysten und Cases
• Automatische Reaktion bei bestätigten Vorfällen
• Kontinuierliche Dokumentation aller Ereignisse

Ersetzt ein SOAR unsere Security Analysten?

Das SOAR-System unterstützt die Arbeit von Security Analysten gezielt, kann diese aber nicht ersetzten. Ein SOAR-System automatisiert wiederkehrende Aufgaben, aggregiert Alarme eines Alarmtyps und reagiert mit spezifischen Maßnahmen auf Bedrohungen.

Auch vereint es für eine zentrale Steuerung alle Security relevanten System im Unternehmen auf einer Plattform und bietet eine Übersicht für alle Security Analysten.

SOAR-Systeme verfolgen das Ziel, die Arbeit von Security Analysten durch automatisierte Verarbeitungsschritte zu unterstützen sowie erste Schutzmaßnahmen einzuleiten. Die abschließende Beurteilung eines Alarms obliegt weiterhin dem Analysten.

Kann SOAR unser SIEM ersetzen?

NEIN. Ein SIEM-System ist für die initiale Erkennung potenzieller Security-Vorfälle zuständig. Hierfür sammelt es zunächst aus unterschiedlichen Quellen Daten ein und analysiert diese mittels Use-Cases in Echtzeit. Werden Auffälligkeiten erkannt, alarmiert das SIEM. Nach dem initialen Alarm des SIEM-Systems, ist es die Aufgabe des Security Analysten, diesen zu kontextualisieren und die Gefährdung für das Unternehmen zu beurteilen. Stellt sich der Alarm als konkrete Bedrohung heraus, ist es notwendig, im Rahmen des Incident Response-Prozesses entsprechend zu reagieren und passende Schutzmaßnahmen, wie die Isolierung eines Hosts oder die Sperrung von Benutzerkonten, zu veranlassen.

Bei allen Arbeitsschritten nach dem initialen Alarm unterstützt ein SOAR den Security Analysten bei seiner Arbeit. Dazu zählen die Automatisierung wiederkehrender Analyseschritte, das Einleiten von ersten Schutzmaßnahmen, die zentrale Steuerung verschiedener Security Tools und die kontinuierliche Dokumentation aller durchgeführten Schritte und deren Ergebnisse.

Unsere SOAR-Lösung funktioniert nicht zufriedenstellend. Wie können Sie mir weiterhelfen?

Immer mehr Unternehmen möchten ihren Security Prozess durch ein SOAR verbessern – was allerdings gerade bei kleinen Budgets oder fehlenden Inhouse IT Security-Experten schwierig bis unmöglich wird. Durch SECUINFRA erhalten Sie die Möglichkeit, Ihr individuelles SOAR nach Baukastenprinzip zu realisieren. Dazu planen unsere Experten zusammen mit Ihnen die Umsetzung und Optimierung verschiedener Analyse-Szenarien und Automatisierungen.

Die Betreuung eines SOAR-Systems ist dabei keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess, um auf die stetig veränderte Bedrohungslage bestmöglich zu reagieren.