Im Bereich der Cybersicherheit steht SOAR für „Security Orchestration, Automation und Response“. Dazu gehört jede Software oder jedes Tool, mit der oder dem Unternehmen cybersicherheitsbezogene Daten sammeln und analysieren können.
Mit SOAR-Systemen können Organisationen verschiedene Tools und Funktionen nutzen, um alle ihre sicherheitsrelevanten Daten für eine bessere Reaktion auf Vorfälle einzusetzen.
Die Hauptkomponenten eines SOAR-Systems sind:
Orchestrierung
Die Sicherheitsorchestrierung beschleunigt und verbessert die Reaktion auf Vorfälle durch die Integration und Analyse von Daten aus verschiedenen Technologien und Sicherheitstools. Zur Orchestrierung gehört auch die Koordinierung verschiedener Cybersicherheitstechnologien, um Organisationen bei der Bewältigung komplexer Cybersicherheitsvorfälle zu unterstützen. Ein SOAR-Tool kann beispielsweise IT-Betriebsdaten für die Netzwerksicherheit zusammenstellen, indem es Daten aus Netzwerküberwachungsprogrammen als Grundlage für Firewall-Regeln verwendet.
Automatisierung
Eine der Schlüsselfunktionen jedes SOAR-Tools ist die Automatisierung, wodurch die sehr zeitaufwendige manuelle Erkennung und Reaktion auf Sicherheitsvorfälle entfällt. SOAR-Systeme können beispielsweise bestimmte Arten von Ereignissen automatisch einordnen und es Sicherheitsteams ermöglichen, standardisierte, automatisierte Verfahren zu definieren, wie z. B. Entscheidungsfindungs-Workflows, Zustandsprüfungen, Durchsetzung und Eindämmung sowie Audits.
Reaktion
SOAR-Plattformen sammeln Daten von anderen Sicherheitstools, wie z. B. SIEM-Systemen (Security Information and Event Management) und Threat-Intelligence-Feeds. Sie priorisieren Sicherheitsereignisse und senden wichtige Informationen über den Sicherheitsvorfall an das Sicherheitspersonal.
Fallmanagement
Das Fallmanagement ist eine grundlegende Komponente jeder SOAR-Plattform. Fallmanagementfunktionen ermöglichen Sicherheitsanalysten den Zugriff auf einzelne Falldatensätze, sodass sie alle Daten zu einem bestimmten Vorfall dynamisch analysieren und mit ihnen interagieren können, um ihre Sicherheitsreaktionsprozesse zu verbessern und zu optimieren.
Dashboard
Das Dashboard eines SOAR-Tools bietet einen Überblick über alles, was in Bezug auf die Nummern 1, 2, 3, 4 und darüber hinaus geschieht, d. h. über alle sicherheitsrelevanten Daten und Aktivitäten, einschließlich bemerkenswerter Ereignisse und deren Schweregrad, Playbooks, Verbindungen mit anderen Sicherheitstools, Workloads und sogar einer Zusammenfassung des ROI aus automatisierten Aktivitäten. Normalerweise können Sie ein SOAR-Dashboard nach Zeitraum, Datenquelle oder Benutzer filtern. Widgets können aktiviert oder deaktiviert oder entsprechend Ihren Wünschen neu angeordnet werden. Kurz gesagt, es ist Ihr zentraler Knotenpunkt, über den Sie überwachen können, was Ihr SOAR-System tut und wie gut es das tut.
SOAR-Systeme durchsuchen und sammeln Daten aus einer Vielzahl von Quellen und nutzen dann eine Kombination aus menschlichem und maschinellem Lernen, um diese Daten zu analysieren, potenzielle Bedrohungen zu erkennen und Pläne und Maßnahmen für die Reaktion auf Vorfälle zu priorisieren. In der Regel automatisieren Unternehmen das SOAR-System, damit es die Cybersicherheit möglichst effizient unterstützen kann.
SOAR-Systeme beziehen und analysieren Daten aus einer Reihe verschiedener Quellen, darunter:
SOAR-Systeme ermöglichen eine effektivere und effizientere Reaktion auf Vorfälle über zwei Hauptvorteile:
Sowohl SOAR als auch SIEM befassen sich mit Daten rund um Sicherheitsbedrohungen und ermöglichen eine wesentlich bessere Reaktion auf Sicherheitsvorfälle.
SIEM sammelt und korreliert jedoch Daten aus mehreren Sicherheitssystemen, um Warnungen zu generieren, während SOAR als Abhilfe- und Reaktions-Engine für diese Warnungen fungiert.
Um einen Vergleich mit Autos zu ziehen: SIEM ist der Treibstoff für den Motor des Autos und der Motor selbst ist SOAR, weil er diesen Treibstoff verwendet, um das Ergebnis und die Maßnahme zu liefern und alles automatisch laufen zu lassen.
Ein SOAR-Tool, das Sie kaufen, sollte Folgendes können:
Natürlich gibt es noch mehr Extras, die Teil eines SOAR-Systems sein können, aber betrachten Sie die obige Liste als die Must-Haves für jedes SOAR-Tool.
Phishing-E-Mails stellen nicht nur für Privatpersonen, sondern auch für die Sicherheitsteams von Unternehmen eine große Bedrohung dar, da einige von ihnen so gut gestaltet sind, dass sie zu aufsehenerregenden Datenverletzungen führen können. Mit einem SOAR-System können Unternehmen nicht nur Phishing-Angriffe abwehren, sondern auch verhindern, dass sie in Zukunft auftreten.
Ein SOAR-Tool untersucht mutmaßlich bösartige E-Mails, indem es verschiedene Artefakte extrahiert und analysiert, darunter Header-Informationen, E-Mail-Adressen, URLs und Anhänge. Anschließend wird die Bedrohung eingestuft, um festzustellen, ob es sich überhaupt um eine Bedrohung handelt und wenn ja, wie ernst sie ist.
Wenn das SOAR-Tool feststellt, dass die E-Mail bösartig ist, tut es Folgendes:
Natürlich können SOAR-Systeme nicht garantieren, dass sie jede Phishing-E-Mail abfangen und blockieren werden. Wenn eine solche E-Mail durchkommt, können die Sicherheitsteams mithilfe der Fallmanagementfunktionen untersuchen, was passiert ist und warum, und dieses Wissen nutzen, um die Erkennung von Bedrohungen durch ihre SOAR-Systeme in Zukunft zu verbessern.
SOAR-Systeme verkürzen die Untersuchungs- und Reaktionszeit von Stunden auf Minuten. Außerdem reduzieren sie das Risiko für die Organisation erheblich, da nur die hochwertigsten Bedrohungsdaten zur Optimierung der Sicherheitsabläufe verwendet werden. Letztendlich ermöglichen sie eine strategischere Zuweisung von menschlichen Analysten und menschlichem Wissen, sodass Unternehmen ihre internen Ressourcen maximieren und gleichzeitig externe Bedrohungen minimieren können.
Haben Sie eine Frage oder einen Kommentar zu Produkten oder Zertifizierungen von Pure? Wir helfen Ihnen gerne!
Vereinbaren Sie einen Termin für eine Live-Demo und sehen Sie selbst, wie Pure Ihnen helfen kann, Ihre Daten in überzeugende Ergebnisse zu verwandeln.
Rufen Sie uns an: +49 89 26200662
Presse: pr@purestorage.com
Pure Storage Germany GmbH
Mies-van-der-Rohe-Straße 6
80807 München
Deutschland