SOAR (Security Orchestration, Automation and Response)
Was ist SOAR (Security Orchestration, Automation and Response)?
SOAR (Security Orchestration, Automation and Response) ist eine Kombination aus kompatiblen Softwareprogrammen, die es einer Organisation ermöglicht, Daten über Cybersicherheitsbedrohungen zu sammeln und auf Sicherheitsereignisse mit wenig oder gar keinen menschlichen Eingriffen zu reagieren. Das Ziel der Nutzung einer SOAR-Plattform ist es, die Effizienz physischer und digitaler Sicherheitsmaßnahmen zu verbessern.
SOAR-Plattformen bestehen aus drei Hauptkomponenten: Sicherheitsorchestrierung, Sicherheitsautomatisierung und Ereignisreaktion.
Sicherheitsorchestrierung
Die Sicherheitsorchestrierung verbindet und integriert unterschiedliche interne und externe Tools über integrierte oder benutzerdefinierte Integrationen und APIs. Zu den verbundenen Systemen können Schwachstellenscanner, Endpunktschutzprodukte, Verhaltensanalysen von Benutzern und Entitäten, Firewalls, Intrusion-Detection- und Intrusion-Prevention-Systeme (IDS/IPS), SIEM-Lösungen, Endpunktsicherheitssoftware, externe Bedrohungsdaten-Feeds und andere Drittanbieterquellen gehören.
Je mehr Daten über diese Quellen gesammelt werden, desto größer ist die Chance, Bedrohungen zu erkennen, einen umfassenderen Kontext zu ermitteln und die Zusammenarbeit zu verbessern. Der Nachteil ist jedoch, dass mehr Warnmeldungen und mehr Daten erfasst und analysiert werden müssen. Während die Sicherheitsorchestrierung Daten sammelt und konsolidiert, um Reaktionsfunktionen zu initiieren, wird die Sicherheitsautomatisierung aktiv.
Sicherheitsautomatisierung
Die Sicherheitsautomatisierung, die durch die aus der Sicherheitsorchestrierung gesammelten Daten und Warnmeldungen gespeist wird, nimmt Daten auf, analysiert sie und erstellt wiederkehrende, automatisierte Prozesse, um manuelle Prozesse zu ersetzen. Aufgaben, die zuvor von Analysten ausgeführt wurden, wie beispielsweise Schwachstellenscans, Protokollanalysen, Ticketprüfungen und Auditfunktionen, können standardisiert und automatisch von SOAR-Plattformen ausgeführt werden. Durch den Einsatz von künstlicher Intelligenz (KI) und maschinellem Lernen zur Entschlüsselung und Anpassung von Erkenntnissen von Analysten kann die SOAR-Automatisierung Bedrohungen priorisieren, Empfehlungen aussprechen und zukünftige Reaktionen automatisieren. Alternativ kann die Automatisierung Bedrohungen höher einstufen, wenn menschliches Eingreifen erforderlich ist.
Ereignisreaktion
Security Response (Ereignisreaktion) bietet Analysten eine zentrale Ansicht für die Planung, Verwaltung, Überwachung und Berichterstattung von Maßnahmen, die nach der Erkennung einer Bedrohung durchgeführt werden. Diese zentrale Ansicht ermöglicht die Zusammenarbeit und den Austausch von Bedrohungsinformationen zwischen Sicherheits-, Netzwerk- und Systemteams. Sie umfasst auch Maßnahmen zur Reaktion auf Vorfälle, wie zum Beispiel Fallmanagement und Berichterstattung.

Was sind die Vorteile von SOAR?
SOAR-Plattformen bieten viele Vorteile für Teams, die für die Sicherheit im Unternehmen (SecOps) zuständig sind, darunter die folgenden:
Schnellere Erkennung von Vorfällen und kürzere Reaktionszeiten. Die Menge und Häufigkeit von Sicherheitsbedrohungen und -ereignissen nimmt ständig zu. Der verbesserte Datenkontext von SOAR in Kombination mit Automatisierung kann die mittlere Zeit bis zur Erkennung (MTTD, Mean time to detect) senken und die mittlere Zeit bis zur Reaktion (MTTR, Mean time to respond) verkürzen. Durch eine schnellere Erkennung und Reaktion auf Bedrohungen – mithilfe automatisierter Playbooks, sofern verfügbar – können deren Auswirkungen gemindert werden.
Besserer Bedrohungskontext. Durch die Integration von mehr Daten aus einer größeren Bandbreite von Tools und Systemen können SOAR-Plattformen mehr Kontext, bessere Analysen und aktuelle Bedrohungsinformationen bieten.
Vereinfachte Verwaltung. SOAR-Plattformen konsolidieren die Dashboards verschiedener Sicherheitssysteme in einer einzigen Benutzeroberfläche. Dies hilft SecOps und anderen Teams, indem es die Informations- und Datenverarbeitung zentralisiert, die Verwaltung vereinfacht und Zeit spart.
Skalierbarkeit. Die Skalierung der zeitaufwendigen manuellen Aufgaben kann für die Mitarbeitenden eine Belastung darstellen und es kann sogar unmöglich sein, mit dem wachsenden Volumen an Sicherheitsereignissen Schritt zu halten. Die Orchestrierung, Automatisierung und Workflows können die Anforderungen an die Skalierbarkeit leichter erfüllen.
Verbesserte Produktivität der Analysten. Durch die Automatisierung des Umgangs mit Bedrohungen auf niedrigerem Niveau die Verantwortlichkeiten der SecOps- und SOC-Teams (Security Operations Center) erweitert, sodass sie Aufgaben effektiver priorisieren und schneller auf Bedrohungen reagieren können, die menschliches Eingreifen erfordern.
Optimierte Abläufe. Standardisierte Verfahren und Leitfäden, die Aufgaben auf niedrigerer Ebene automatisieren, ermöglichen es SecOps-Teams, im gleichen Zeitraum auf mehr Bedrohungen zu reagieren. Diese automatisierten Arbeitsabläufe stellen auch sicher, dass unternehmensweit über alle Systeme hinweg die gleichen standardisierten Abhilfemaßnahmen angewendet werden.
Berichterstattung und Zusammenarbeit. Die Berichterstattungs- und Analysefunktionen der SOAR-Plattformen konsolidieren Informationen schnell und ermöglichen so bessere Datenverwaltungsprozesse und Reaktionsbemühungen zur Aktualisierung bestehender Sicherheitsrichtlinien und -programme für eine effektivere Sicherheit. Das zentralisierte Dashboard einer SOAR-Plattform kann auch den Informationsaustausch zwischen unterschiedlichen Unternehmensteams verbessern und so die Kommunikation und Zusammenarbeit fördern.
Geringere Kosten. In vielen Fällen können die Kosten gesenkt werden, wenn Sicherheitsanalysten durch SOAR-Tools unterstützt werden, anstatt alle Bedrohungsanalyse-, Erkennungs- und Reaktions-Workflows manuell durchzuführen.
Was sind die Herausforderungen von SOAR?
SOAR ist weder eine Wunderwaffe noch ein wirklich eigenständiges System. SOAR-Plattformen sollten Teil einer mehrschichtigen Sicherheitsstrategie sein, insbesondere da sie die Unterstützung anderer Sicherheitssysteme benötigen, um Bedrohungen erfolgreich zu erkennen.
SOAR ist eine ergänzende Technologie und kein Substitut für andere Sicherheitswerkzeuge. SOAR-Plattformen sind kein Ersatz für menschliche Analysten, sondern können deren Fähigkeiten und Arbeitsabläufe für eine effektivere Erkennung und Reaktion auf Vorfälle erweitern.
Zu den weiteren potenziellen Nachteilen von SOAR gehören:
- Versäumnis, eine umfassendere Sicherheitsstrategie zu entwickeln.
- Überzogene Erwartungen.
- Komplexe Integration.
- Komplexe Bereitstellung und Verwaltung.
- Fehlende oder begrenzte Metriken.

SOAR-Funktionen und Anwendungsfälle
Der Begriff SOAR, der 2015 von Gartner geprägt wurde, stand ursprünglich für „Security Operations, Analytics and Reporting“. 2017 wurde er in sein heutiges Format überführt, wobei Gartner die drei Hauptfähigkeiten von SOAR wie folgt definiert:
- Technologien für das Bedrohungs- und Schwachstellenmanagement, die die Behebung von Schwachstellen unterstützen und formalisierte Workflows, Berichts- und Kollaborationsfunktionen bereitstellen.
- Technologien zur Reaktion auf Sicherheitsvorfälle, die eine Organisation bei der Planung, Verwaltung, Nachverfolgung und Koordinierung der Reaktion auf einen Sicherheitsvorfall unterstützen.
- Technologien zur Automatisierung von Sicherheitsabläufen, die die Automatisierung und Koordination von Arbeitsabläufen, Prozessen, Richtlinienausführung und Berichterstattung unterstützen.
Gartner erweiterte die Definition weiter und konkretisierte die Technologiekonvergenz von SOAR wie folgt:
- Plattformen zur Reaktion auf Sicherheitsvorfälle, die Funktionen wie Schwachstellenmanagement, Fallmanagement, Vorfallmanagement, Workflows, Wissensdatenbank für Vorfälle, Audit- und Protokollierungsfunktionen, Berichterstellung und vieles mehr umfassen.
- Sicherheitsorchestrierung und -automatisierung, einschließlich Integration, Workflow-Automatisierung, Playbooks, Playbook-Management, Datenerfassung, Protokollanalyse und Account-Lifecycle-Management.
- Plattformen für Bedrohungsdaten, die die Aggregation, Analyse und Verteilung von Bedrohungsdaten, die Kontextanreicherung von Warnmeldungen und die Visualisierung von Bedrohungsdaten umfassen.
Was ist SIEM?
Unabhängig von SOAR-Plattformen sammeln SIEM-Plattformen Protokoll- und Ereignisdaten aus verschiedenen Tools, Technologien und Prozessen, um Organisationen bei der Erkennung, Analyse und Reaktion auf potenzielle Sicherheitsvorfälle zu unterstützen.
SIEM kombiniert Sicherheitsinformationsmanagement (SIM, Security Information Management) und Sicherheitsereignismanagement (SEM, Security Event Management) in einer einzigen Plattform. SIEM-Tools verwenden Erfassungsagenten, um Informationen von Geräten, Servern, Infrastrukturen, Netzwerken und Systemen sowie von Sicherheitstools wie Firewalls, Antimalware, DNS-Servern, Tools zur Verhinderung von Datenverlust, sicheren Web-Gateways und IDS/IPS zu sammeln. Die gesammelten Informationen werden von SIEM-Plattformen verwendet, um potenzielle Anomalien und Bedrohungen zu identifizieren. SIEM-Systeme benachrichtigen dann die Sicherheitsteams über alle Sicherheitsereignisse.
SIEM-Funktionen variieren, aber die meisten umfassen Protokollverwaltung, Datenkorrelation, Analysen, Dashboards und Warnmeldungen.
SOAR vs. SIEM
Obwohl die Plattformen SOAR und SIEM Daten aus mehreren Quellen zusammenführen, sind die Begriffe nicht austauschbar. SIEM-Systeme sammeln Daten, identifizieren Abweichungen, stufen Bedrohungen ein und generieren Sicherheitswarnungen. SOAR-Systeme übernehmen diese Aufgaben ebenfalls, verfügen jedoch über zusätzliche Funktionen. Erstens lassen sich SOAR-Plattformen in eine größere Bandbreite interner und externer Anwendungen integrieren, sowohl sicherheitsrelevante als auch nicht sicherheitsrelevante. Zweitens: Während SIEM-Systeme Sicherheitsanalysten nur vor einem potenziellen Ereignis warnen, nutzen SOAR-Plattformen Automatisierung, KI und maschinelles Lernen, um einen größeren Kontext und automatisierte Reaktionen auf diese Bedrohungen bereitzustellen.
Viele Unternehmen nutzen SOAR, um ihre interne SIEM-Software zu erweitern. In Zukunft wird von den Anbietern von SIEM-Systemen erwartet, dass sie ihre Dienste um SOAR-Funktionen erweitern, was bedeutet, dass der Markt für diese beiden Produktlinien zusammenwachsen wird. Viele Anbieter von SIEM-Systemen bieten SOAR-Funktionen – insbesondere Automatisierung – in ihren SIEM-Produkten an und bezeichnen diese oft als SIEM der nächsten Generation. Auch andere Produkte, wie E-Mail-Sicherheitsgateways, Endpunkt-Erkennung und -Reaktion, Netzwerk-Erkennung und -Reaktion sowie erweiterte Erkennung und Reaktion, übernehmen SOAR-Funktionen.