Wie „Security Orchestration, Automation and Response“ auf Bedrohungen reagieren kann

Das SIEM ist eine Investition in forensische Technologie, bei der die Reaktion auf Vorfälle durchs eigene Expertenteam erfolgen muss. Weiter geht SOAR, das auf Basis von Daten der allgemeinen Bedrohungslage einen entscheidenden Vorteil bietet: die automatisierte Reaktion darauf. Erfahren Sie, wie Unternehmen beide Technologien ergänzend einsetzen können, um ihre Cyber-Security-Teams mit neuen Fähigkeiten auszustatten.

IT-Infrastrukturen und Netzwerke werden immer komplexer, die Bedrohungslage hat sich geändert: Laut einer Studie der Beratungsgesellschaft KPMG waren in den vergangenen zwei Jahren rund 30 Prozent der deutschen Unternehmen von Hackerangriffen betroffen.

Natürlich weiß das auch das Bundesamt für Sicherheit in der Informationstechnik (BSI), das diesen Oktober zum European Cyber Security Month (ECSM) erklärt hat. Axians macht mit und verrät, warum das Security Information and Event Management (SIEM) durch Security Orchestration, Automation and Response (SOAR) ergänzt werden und so die Fähigkeiten von Cyber-Security-Teams auf ein neues Level heben kann.

In Sachen Cyber Security alles im Blick

Das SIEM sammelt Meldungen und Logfiles verschiedener Systeme, untersucht Ereignisse, erkennt Anomalien und alarmiert bei Bedrohungen – aber was passiert dann? Die Antwort lautet, dass eine entsprechende Reaktion immer noch manuell ausgeführt werden muss.

Und SOAR geht´s: sammeln, verarbeiten, automatisch reagieren

Mit der Datensammlung, Verarbeitung und automatisierten Reaktion passt die grundlegende Funktionsweise von SOAR in eine einzige Überschrift ­– folgende Kernfähigkeiten sollte eine moderne Lösung dafür mitbringen:

Orchestration: Komplexe Abläufe müssen über verschiedene Sicherheitstools hinweg koordiniert werden, um die Effizienz und Geschwindigkeit von Sicherheitsoperationen zu erhöhen.

Automation: Ausführung von ansonsten manuellen und voneinander abhängigen Sicherheitsaktionen durch „Playbooks“, in denen bestimmte Abläufe vordefiniert sind.

Event- und Alert-Management: Eine SOAR-Lösung sollte die von integrierten Plattformen eingehenden Sicherheitsereignisse und Warnungen in eine Warteschlange stellen und priorisieren, um Analysten zu unterstützen.

Case Management: Das Fallmanagement soll es Anwendern ermöglichen, innerhalb eines einzigen Falls zu recherchieren, Zusammenhänge zu bewerten und zusätzliche Untersuchungen durchzuführen.

Metriken & Reporting: Um zu verstehen, wo Optimierungsbedarf besteht, sollte ein SOAR auf bestimmten Metriken basierende Berichte generieren.

Skalierbarkeit: Wenn Organisationen wachsen, sollte ein SOAR mitwachsen –wenn der Plattform immer mehr Anwendungsfälle hinzugefügt werden, kommt auch eine erhöhte Arbeitslast auf sie zu, die es zu bewältigen gilt.

Offenheit und Erweiterbarkeit: Ein SOAR sollte die Einbeziehung neuer Sicherheitsszenarien, Produkte, Aktionen und Playbooks problemlos unterstützen.

Kommen die genannten Fähigkeiten entsprechend zum Zug, besteht der Hauptvorteil einer SOAR-Lösung darin, dass es zeitaufwändige und manuelle Aufgaben automatisiert und orchestriert, ohne dass ein menschliches Eingreifen erforderlich ist.

Welche Rolle Machine Learning dabei spielt

Die Verarbeitung riesiger Datenmengen, die auch noch aus verschiedensten Systemen stammen, geht weit über die menschlichen Fähigkeiten hinaus. Daher ist das Machine Learning (ML) eine wesentliche Komponente vieler SOAR-Plattformen, um False Positives zu minimieren, die Regeln zu deren Identifikation dynamisch anzupassen und somit Analysten bei ihrer täglichen Arbeit zu unterstützen.

Oder anders ausgedrückt: Indem sonst statische Regelwerke sich durch neuronale ML-Netze dem eigenen Unternehmen oder der aktuellen Bedrohungslage „lernend“ anpassen, kann SOAR eine optimierte Entscheidungsbasis bieten, die eine schnellere Reaktion möglich macht

SIEM & SOAR: starkes Teamplay für mehr Sicherheit

SOAR kann zwar keine Log-Dateien einsammeln und in Beziehung zueinander setzen, aber es automatisiert die Arbeit mit den Alarmen aus dem SIEM. Und so werden beide Lösungen für verbesserte Unternehmenssicherheit oft kombiniert. Auch eine Tendenz zur Verschmelzung ist erkennbar: Viele Hersteller gehen dazu über, ihre SIEM-Lösungen um spezielle SOAR-Funktionen zu erweitern.

So können Cyber-Security-Teams Bedrohungen nicht nur schnell erkennen, sondern die immer größere Alarmbelastung auch effizienter bewältigen. Im Ergebnis bleibt mehr Zeit für andere Aufgaben, was am Ende zu einem leistungsfähigeren Cyber-Security-Team führt.

Und leider endet mit diesem Beitrag auch der Europäische Cyber Security Monat vom BSI, während dem wir Ihnen hoffentlich nützliches Know-how vermitteln konnten.

Falls sie Fragen zum Thema haben oder auch in Zukunft etwas für Ihre Cyber Security tun möchten, können Sie mich jederzeit und gerne kontaktieren!

Diesen Beitrag kommentieren

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.