Was ist SOAR (Security Orchestration, Automation, and Response)?
SOAR: Definition
Mit SOAR (Security Orchestration, Automation and Response) können Sicherheitsteams die Reaktion ihrer Organisation auf Cyberangriffe und -Incidents standardisieren und vereinfachen. SOAR optimiert Workflows innerhalb und außerhalb des Security Operations Center (SOC), damit sich die Analysten darauf konzentrieren können, das Ökosystem ihrer Organisation zu schützen.
Was versteht man unter Sicherheitsorchestrierung?
Bei der Sicherheitsorchestrierung werden bislang separate Sicherheits-Tools miteinander verbunden, um bestimmte Aktionen zentralisieren und verteilen zu können. Auf diese Weise können Sicherheitsteams ihre Prozesse vereinfachen und ihren Incident-Response-Prozess beschleunigen.
Was versteht man unter Sicherheitsautomatisierung?
Bei der Sicherheitsautomatisierung werden vorgefertigte Regeln implementiert, die in Kraft treten, wenn bestimmte Aktionen ausgeführt werden oder Anforderungen erfüllt sind. Auf diese Weise werden menschliche Interaktionen minimiert, und die Sicherheitsanalysten können sich mit Problemen befassen, die ein kreativeres Eingreifen erforderlich machen.
Warum ist SOAR wichtig?
SOAR standardisiert SOC-Prozesse, garantiert einheitliche Untersuchungs- und Abwehrmaßnahmen und erweitert die Fähigkeiten von Sicherheitsanalysten auf allen Ebenen. Durch die Automatisierung von Workflows für viele der manuellen und banalen Aufgaben im Zusammenhang mit der Incident-Verwaltung – Logging von Sicherheits-Incidents, Benachrichtigung relevanter Personen, Übermitteln und Aktualisieren von Berichts-Tickets – kann SOAR die mittlere Behebungsdauer (Mean Time to Remediate, MTTR) deutlich verkürzen.
Entstehungsgeschichte von SOAR-Tools
Als gegen Mitte der 2010er-Jahre spezialisierte Workflow-Lösungen zur Untersuchung und Abwehr von Sicherheits-Incidents aufkamen, begann Gartner, den Begriff „Security Orchestration, Automation, and Response“ (SOAR) zu verwenden. Damals wurden viele SOAR-Startups von großen Sicherheitsunternehmen aufgekauft und zu vorhandenen SIEM-Lösungen (Security Information and Event Management), UEBA oder Netzwerkerkennungs- und Abwehrtechnologien hinzugefügt. In der Folge hat eine neue Generation von SOAR-Anbietern ihre Technologien erweitert, um eine größere Menge an Sicherheits-Incidents verarbeiten zu können. Seitdem sind die Automatisierungs-Playbooks immer ausgeklügelter und SOAR-Plattformen immer benutzerfreundlicher geworden.
Wie funktionieren SOAR-Lösungen?
Eine SOAR-Lösung definiert festgelegte Untersuchungs- und Abwehrprotokolle und dient als Anleitung für Analysten sowie als Basis für die Automatisierung. Bidirektionale Integrationen im gesamten Ökosystem unterstützen routinemäßige Untersuchungs- und Abwehrprozesse, die entweder selbständig (z. B. Prozesse abrufen) oder von Analysten (z. B. Host isolieren) ausgelöst werden. Für die Workflows im Sicherheitsbetrieb liefert SOAR relevante Kontextdaten über Integrationen mit Threat-Intelligence-Feeds und anderen Datenquellen.
Welche Vorteile bietet SOAR?
Mit dem Effizienzgewinn durch SOAR kann das SOAR Zeit und Aufwand einsparen, und Cybersicherheitsteams können ihren Sicherheitsbetrieb vereinfachen, indem manuelle Eingriffe reduziert werden. Auf diese Weise können sich Analysten auf dringende Probleme konzentrieren, die menschliche Kreativität und Intuition erfordern. Weitere Vorteile:
Verringertes Risiko
Eine effektive SOAR-Lösung neutralisiert Angriffe, bevor Schäden entstehen, indem Untersuchungs- und Abwehrmaßnahmen durch Analysten beschleunigt werden.
Kürzere mittlere Wiederherstellungsfrist (Mean Time to Respond, MTTR)
SOAR koordiniert Personen, Prozesse und Technologien, um Abwehrmaßnahmen sofort und automatisch ausführen zu können und menschliche Reaktionszeiten zu eliminieren.
Schutz vor Burnouts
Analysten haben es nicht einfach. Automatisieren Sie banale Aufgaben, um ihnen mehr Zeit für kreative Problemlösungen zu verschaffen.
Optimierte Workflows
Stellen Sie Threat Intelligence und Einblicke wie Attributhäufigkeit und Anomaliebewertungen für Hosts bereit, und entwickeln Sie Code für Untersuchungs- und Abwehrprozeduren. Auf diese Weise muss Ihr Team nicht lange überlegen, was Prozesse und nächste Schritte angeht.
Umfassende Integrationen
Integrieren Sie Ihre bevorzugten Tools in einen einzigen Workflow. Auf diese Weise können Sie die Vorteile der jeweiligen Technologie nutzen, ohne zwischen Umgebungen hin- und herwechseln zu müssen.
Gegenüberstellung: SOAR und SIEM
Mit der SOAR-Technologie kann das SOC die kombinierte Power von Personen und Technologien nutzen, da wichtige Prozesse in einer zentralen Plattform koordiniert und automatisiert werden. SOAR ist üblicherweise eng mit einer SIEM-Lösung integriert, um die Team-Prozesse und Daten zu vereinheitlichen. SIEM unterstützt Analysten bei Anwendungsfällen wie Sicherheitsüberwachung, Bedrohungserkennung, Threat Hunting, Ereigniskorrelation usw.
SOAR ist dagegen eher für Workflows und Behebungsprozesse zuständig, bei denen die mit SIEM gewonnenen Erkenntnisse durch automatisierte Folgeaktionen und die Orchestrierung der notwendigen Schritte umgesetzt werden, um Bedrohungen abzuwehren, bevor sie Schäden anrichten können. In der Praxis kommen diese Lösungen einander immer näher.
Gegenüberstellung: Automatisierung und Orchestrierung
Automatisierung und Orchestrierung im Sicherheitsbereich haben zwar vergleichbare Ergebnisse – minimale menschliche Eingriffe bei verschiedenen Prozessen –, werden jedoch in unterschiedlichen Bereichen implementiert.
Die Sicherheitsautomatisierung dient hauptsächlich dazu, Bedrohungen sofort abzuwehren, wenn diese von einer Sicherheitstechnologie erkannt werden. Die Sicherheitsorchestrierung dient dagegen zur Vereinfachung von Workflows, bei denen passende Aktionen ausgeführt, relevante Personen benachrichtigt und sonstige Prozessschritte umgesetzt werden, um die Organisation optimal zu schützen.
SOAR-Anwendungsfälle
Incident-Response
Nach einem Sicherheits-Incident ist es wichtig, die Auswirkungen mit einer koordinierten Reaktion zu minimieren.
Fallverwaltung
Bei Erkennung einer Bedrohung wird ein Fall ausgelöst. Die Anzahl der Fälle kann leicht überhand nehmen, und mit einer gut funktionierenden SOAR-Lösung können die Teams diese Fälle effizient priorisieren und verarbeiten.
Schwachstellenverwaltung
Es ist wichtig, das allgemeine Potenzial für Sicherheitsrisiken einer Organisation ständig im Auge zu behalten. SOAR-Lösungen liefern eine objektive Risikobeurteilung und sind damit unverzichtbar für alle CISOs (Chief Information Security Officer).
Threat Hunting
Die proaktive Suche nach Bedrohungen in der IT-Umgebung. Für erfolgreiches Threat Hunting wird eine Suchmaschine benötigt, die große Datenmengen schnell durchsuchen kann.
Vorteile von SOAR-Technologien für Organisationen
SOAR ist eine entscheidende Technologie für alle modernen Sicherheitsfunktionen. Sie können sich die Rolle der SOAR-Lösung im Sicherheitsstack ungefähr so wie die Rolle eines Trainers in einer Sportmannschaft vorstellen. Sie bildet die vom Management vorgegebenen Ziele und Prozesse ab, führt Playbooks für verschiedene Szenarien aus und benachrichtigt das Team, wenn ein Problem erkannt wird.
Elastic Security for SOAR entdecken
Automatisieren Sie die Reaktion Ihres Teams auf Sicherheits-Incidents mit Elastic SOAR. Sie können die Lösung entweder herunterladen oder in Elastic Cloud hosten.
SOAR-Ressourcen
- Elastic 8.4 – SOAR für moderne Sicherheitsstandards
- Elastic provides the foundation for the DoD’s pillars of Zero Trust Networking (Elastic liefert das Fundament für die Zero-Trust-Networking-Vorgaben des US-Verteidigungsministeriums, in englischer Sprache)
- Elastic modernizes security teams with SOAR and automates actionable threat intelligence within SIEM (Elastic modernisiert Sicherheitsteams mit SOAR und automatisiert umsetzbare Threat Intelligence in SIEM, in englischer Sprache)