Was ist SOAR?

Was ist SOAR?

Im Bereich der Cybersicherheit steht SOAR für „Security Orchestration, Automation und Response“. Dazu gehört jede Software oder jedes Tool, mit der oder dem Unternehmen cybersicherheitsbezogene Daten sammeln und analysieren können.

Was ist SOAR und wie funktioniert es?

Mit SOAR-Systemen können Organisationen verschiedene Tools und Funktionen nutzen, um alle ihre sicherheitsrelevanten Daten für eine bessere Reaktion auf Vorfälle einzusetzen.

Die Hauptkomponenten eines SOAR-Systems sind:

Orchestrierung

Die Sicherheitsorchestrierung beschleunigt und verbessert die Reaktion auf Vorfälle durch die Integration und Analyse von Daten aus verschiedenen Technologien und Sicherheitstools. Zur Orchestrierung gehört auch die Koordinierung verschiedener Cybersicherheitstechnologien, um Organisationen bei der Bewältigung komplexer Cybersicherheitsvorfälle zu unterstützen. Ein SOAR-Tool kann beispielsweise IT-Betriebsdaten für die Netzwerksicherheit zusammenstellen, indem es Daten aus Netzwerküberwachungsprogrammen als Grundlage für Firewall-Regeln verwendet.

Automatisierung

Eine der Schlüsselfunktionen jedes SOAR-Tools ist die Automatisierung, wodurch die sehr zeitaufwendige manuelle Erkennung und Reaktion auf Sicherheitsvorfälle entfällt. SOAR-Systeme können beispielsweise bestimmte Arten von Ereignissen automatisch einordnen und es Sicherheitsteams ermöglichen, standardisierte, automatisierte Verfahren zu definieren, wie z. B. Entscheidungsfindungs-Workflows, Zustandsprüfungen, Durchsetzung und Eindämmung sowie Audits.

Reaktion

SOAR-Plattformen sammeln Daten von anderen Sicherheitstools, wie z. B. SIEM-Systemen (Security Information and Event Management) und Threat-Intelligence-Feeds. Sie priorisieren Sicherheitsereignisse und senden wichtige Informationen über den Sicherheitsvorfall an das Sicherheitspersonal.

Fallmanagement

Das Fallmanagement ist eine grundlegende Komponente jeder SOAR-Plattform. Fallmanagementfunktionen ermöglichen Sicherheitsanalysten den Zugriff auf einzelne Falldatensätze, sodass sie alle Daten zu einem bestimmten Vorfall dynamisch analysieren und mit ihnen interagieren können, um ihre Sicherheitsreaktionsprozesse zu verbessern und zu optimieren.

Dashboard

Das Dashboard eines SOAR-Tools bietet einen Überblick über alles, was in Bezug auf die Nummern 1, 2, 3, 4 und darüber hinaus geschieht, d. h. über alle sicherheitsrelevanten Daten und Aktivitäten, einschließlich bemerkenswerter Ereignisse und deren Schweregrad, Playbooks, Verbindungen mit anderen Sicherheitstools, Workloads und sogar einer Zusammenfassung des ROI aus automatisierten Aktivitäten. Normalerweise können Sie ein SOAR-Dashboard nach Zeitraum, Datenquelle oder Benutzer filtern. Widgets können aktiviert oder deaktiviert oder entsprechend Ihren Wünschen neu angeordnet werden. Kurz gesagt, es ist Ihr zentraler Knotenpunkt, über den Sie überwachen können, was Ihr SOAR-System tut und wie gut es das tut.

Wie erkennt eine SOAR-Lösung Bedrohungen?

SOAR-Systeme durchsuchen und sammeln Daten aus einer Vielzahl von Quellen und nutzen dann eine Kombination aus menschlichem und maschinellem Lernen, um diese Daten zu analysieren, potenzielle Bedrohungen zu erkennen und Pläne und Maßnahmen für die Reaktion auf Vorfälle zu priorisieren. In der Regel automatisieren Unternehmen das SOAR-System, damit es die Cybersicherheit möglichst effizient unterstützen kann.

SOAR-Datenquellen

SOAR-Systeme beziehen und analysieren Daten aus einer Reihe verschiedener Quellen, darunter:

  • Schwachstellen-Scanner, d. h. Computerprogramme zur Bewertung von Sicherheitslücken in Computern, Netzwerken oder Anwendungen.
  • Software zum Schutz von Endpunkten, die die Endpunkte einer Organisation, wie Server und PCs, vor Malware-Infektionen, Cyberangriffen und anderen Bedrohungen schützt.
  • Firewalls, wobei es sich um Netzsicherheitssysteme handelt, die den ein- und ausgehenden Netzwerkverkehr auf Basis vorgegebener Sicherheitsregeln überwachen und kontrollieren.
  • Systeme zum Erkennen von Angriffen (IDS, Intrusion Detection System) und zum Verhindern von Angriffen (IPS, Intrusion Prevention System), d. h. Netzsicherheitstools, die Netzwerke kontinuierlich auf böswillige Aktivitäten überwachen und Maßnahmen zu deren Verhinderung ergreifen.
  • SIEM-Plattformen (Security Information and Event Management, Sicherheitsinformations- und -Sicherheitsereignismanagement), die Protokolldaten, Sicherheitswarnungen und Ereignisse in einer zentralisierten Plattform zusammenfassen, um Echtzeitanalysen für die Sicherheitsüberwachung und -warnung durchzuführen.
  • Externe Bedrohungsdaten-Feeds, die alle verwertbaren Bedrohungsdaten enthalten, die von Drittanbietern gesammelt werden, um die Reaktionsfähigkeit auf Cyberbedrohungen und das Bewusstsein dafür zu verbessern.

Die wichtigsten Vorteile von SOAR

SOAR-Systeme ermöglichen eine effektivere und effizientere Reaktion auf Vorfälle über zwei Hauptvorteile:

  • Schnellere Reaktion auf Vorfälle: SOAR hilft Unternehmen, die mittlere Erkennungszeit (MTTD) und die mittlere Wiederherstellungszeit (MTTR) zu verkürzen, indem es die Zeit, die für die Bewertung und Behebung von Sicherheitswarnungen benötigt wird, von Monaten oder Wochen auf Minuten verkürzt. SOAR ermöglicht auch die Automatisierung der Reaktion auf Vorfälle durch Verfahren, was als Playbooks bekannt ist. Zu den aus dieser Automatisierung folgenden Aktionen gehören das Blockieren von IP-Adressen auf einer Firewall oder einem IDS-System, das Sperren von Benutzerkonten und das Entfernen infizierter Endgeräte aus einem Netzwerk.
  • Bessere Cybersicherheitsdaten: Da SOAR-Systeme Daten aus so vielen verschiedenen Quellen zusammenfassen und analysieren können, verbessern sie den Kontext für alle Arten von Cybersicherheitsbedrohungen und reduzieren die Zahl der Fehlalarme, damit Sicherheitsteams schneller arbeiten können statt härter.

SOAR versus SIEM

Sowohl SOAR als auch SIEM befassen sich mit Daten rund um Sicherheitsbedrohungen und ermöglichen eine wesentlich bessere Reaktion auf Sicherheitsvorfälle.

SIEM sammelt und korreliert jedoch Daten aus mehreren Sicherheitssystemen, um Warnungen zu generieren, während SOAR als Abhilfe- und Reaktions-Engine für diese Warnungen fungiert.

Um einen Vergleich mit Autos zu ziehen: SIEM ist der Treibstoff für den Motor des Autos und der Motor selbst ist SOAR, weil er diesen Treibstoff verwendet, um das Ergebnis und die Maßnahme zu liefern und alles automatisch laufen zu lassen.

Worauf Sie bei einem SOAR-Tool achten sollten

Ein SOAR-Tool, das Sie kaufen, sollte Folgendes können:

  • Daten und Warnungen aus verschiedenen Sicherheitssystemen aufnehmen und analysieren
  • Workflows erstellen und automatisieren, die Unternehmen dabei helfen, Cybersicherheitsbedrohungen und -warnungen zu erkennen, zu priorisieren, zu untersuchen und darauf zu reagieren
  • sich einfach mit anderen Tools integrieren lassen, um den Betrieb zu verbessern
  • Analysen nach Vorfällen durchführen, um die Reaktionsprozesse und die Effizienz bei der Reaktion auf Vorfälle zu verbessern
  • die meisten Sicherheitsvorgänge automatisieren, um Redundanzen auszuräumen und es Sicherheitsteams zu ermöglichen, sich auf die Aufgaben zu konzentrieren, die mehr menschliches Eingreifen erfordern

Natürlich gibt es noch mehr Extras, die Teil eines SOAR-Systems sein können, aber betrachten Sie die obige Liste als die Must-Haves für jedes SOAR-Tool.

SOAR-Beispiel aus der Praxis: Reaktion auf Phishing

Phishing-E-Mails stellen nicht nur für Privatpersonen, sondern auch für die Sicherheitsteams von Unternehmen eine große Bedrohung dar, da einige von ihnen so gut gestaltet sind, dass sie zu aufsehenerregenden Datenverletzungen führen können. Mit einem SOAR-System können Unternehmen nicht nur Phishing-Angriffe abwehren, sondern auch verhindern, dass sie in Zukunft auftreten.

Ein SOAR-Tool untersucht mutmaßlich bösartige E-Mails, indem es verschiedene Artefakte extrahiert und analysiert, darunter Header-Informationen, E-Mail-Adressen, URLs und Anhänge. Anschließend wird die Bedrohung eingestuft, um festzustellen, ob es sich überhaupt um eine Bedrohung handelt und wenn ja, wie ernst sie ist.

Wenn das SOAR-Tool feststellt, dass die E-Mail bösartig ist, tut es Folgendes:

  • Es blockiert sie und alle anderen Instanzen in anderen Postfächern.
  • Es verhindert, dass ausführbare Dateien, die mit der E-Mail in Verbindung stehen, ausgeführt werden.
  • Es blockiert Quell-IP-Adressen oder URLs.
  • Es stellt die Workstation des betroffenen Benutzers bei Bedarf unter Quarantäne.

Natürlich können SOAR-Systeme nicht garantieren, dass sie jede Phishing-E-Mail abfangen und blockieren werden. Wenn eine solche E-Mail durchkommt, können die Sicherheitsteams mithilfe der Fallmanagementfunktionen untersuchen, was passiert ist und warum, und dieses Wissen nutzen, um die Erkennung von Bedrohungen durch ihre SOAR-Systeme in Zukunft zu verbessern.

SOAR: Fazit

SOAR-Systeme verkürzen die Untersuchungs- und Reaktionszeit von Stunden auf Minuten. Außerdem reduzieren sie das Risiko für die Organisation erheblich, da nur die hochwertigsten Bedrohungsdaten zur Optimierung der Sicherheitsabläufe verwendet werden. Letztendlich ermöglichen sie eine strategischere Zuweisung von menschlichen Analysten und menschlichem Wissen, sodass Unternehmen ihre internen Ressourcen maximieren und gleichzeitig externe Bedrohungen minimieren können.

800-379-7873 +44 2039741869 +43 720882474 +32 (0) 7 84 80 560 +33 1 83 76 42 54 +49 89 12089253 +353 1 485 4307 +39 02 9475 9422 +31 202457440 +46850541356 +45 2856 6610 +47 2195 4481 +351 210 006 108 +966112118066 +27 87551 7857 +34 51 889 8963 +41 43 505 28 17 +90 850 390 21 64 +971 4 5513176 +7 916 716 7308 +65 3158 0960 +603 2298 7123 +66 (0) 2624 0641 +84 43267 3630 +62 21235 84628 +852 3750 7835 +82 2 6001-3330 +886 2 8729 2111 +61 1800 983 289 +64 21 536 736 +55 11 2655-7370 +52 55 9171-1375 +56 2 2368-4581 +57 1 383-2387 +48 22 343 36 49
Ihr Browser wird nicht mehr unterstützt!

Ältere Browser stellen häufig ein Sicherheitsrisiko dar. Um die bestmögliche Erfahrung bei der Nutzung unserer Website zu ermöglichen, führen Sie bitte ein Update auf einen dieser aktuellen Browser durch.