valerybrozhinsky - stock.adobe.c

Sechs gute Gründe für die Einführung von SOAR im SOC

Die hohe Zahl von Alerts kann von menschlichen Analysten nicht mehr bewältigt werden. SOAR automatisiert viele Arbeiten im SOC und schafft so wieder Zeit für aufwendigere Aufgaben.

Cybergefahren gehören laut dem vom Weltwirtschaftsforum (WEF) erstellten Global Risks Report 2020 zu den weltweit am häufigsten durch Menschen verursachten Risiken. In Anbetracht des hohen Wertes ihrer Güter und der zunehmend breiter werdenden digitalen Infrastrukturen der meisten Betriebe führt das zu einer drängenden Frage: Wie sollen Unternehmen auf die immer zahlreicher und ausgefeilter werdenden Cyberattacken reagieren?

Viele Firmen haben sich in den vergangenen Jahren für eine Zentralisierung ihrer IT-Security-Bemühungen entschieden, indem sie alleine oder in Zusammenarbeit mit einem Dienstleister ein Security Operations Center (SOC) eingerichtet haben (siehe auch Kostenloses E-Handbook: Mit einem SOC die Security erhöhen). Hinter der Weiterentwicklung Security Orchestration, Automation and Response (SOAR) verstecken sich mehrere Technologien und Überlegungen, mit denen die Abläufe im SOC weiter automatisiert werden können.

Zu SOAR gehören die folgenden Funktionen:

  • Die Orchestrierung der Security-Maßnahmen sorgt dafür, dass die verschiedenen Werkzeuge im SOC miteinander verbunden und koordiniert eingesetzt werden können. So erhalten die Betreiber einen besseren Einblick in aktuelle Bedrohungen, mehr Informationen über Gefahren und sicherheitsrelevante Vorfälle sowie ein besseres Monitoring.
  • Die Automatisierung im SOC ist hilfreich, um eine proaktive Haltung einzunehmen, indem Abläufe, Aufgaben und Gegenmaßnahmen auf Basis von vordefinierten Parametern automatisch durchgeführt werden.
  • Der Bereich Response beschleunigt allgemeine und zielgerichtete Reaktionen des SOCs auf zunächst weniger gefährliche Bedrohungen. Darüber hinaus unterstützt dieses Element die menschlichen Analysten dabei, Gegenmaßnahmen zu ergreifen, indem sie einen weit umfassenderen Einblick in die Bedrohungen erhalten.

Innerhalb dieser drei Kategorien gibt es für die Automatisierung endlos viele Möglichkeiten, um bisher manuell zu erledigende Aufgaben zu beschleunigen. Die größte Bedeutung moderner SOAR-Tools liegt darin, sich wiederholende und zeitaufwendige Aufgaben zu automatisieren und skalierbar zu machen. Dadurch erhalten die im SOC eingesetzten Analysten neue Freiräume, um sich auf die gefährlicheren Bedrohungen konzentrieren zu können.

Im Folgenden finden Sie sechs gute Gründe für SOAR, die die Arbeit der Sicherheitsanalysten im SOC verbessern:

1. Bessere Koordinierung im Bereich Threat Intelligence

Jeden Tag verarbeiten SOAR-Plattformen hunderttausende von IOCs (Indicators of Compromise). Die Daten stammen aus internen und externen Threat-Intelligence-Feeds, aus Malware-Analyse-Tools, aus EDR-Lösungen (Endpoint Detection and Response), SIEM-Systemen (Security Information and Event Management), aus Tools zur Netzwerkanalyse und -überwachung, Mailboxen, RDS-Feeds, von Regulierungsbehörden und aus zahlreichen weiteren Quellen. SOAR-Plattformen fassen diese Alerts zusammen, verarbeiten und priorisieren sie und erkennen darin neue IOCs.

2. Fallmanagement

Potenzielle Bedrohungen können durch zahlreiche verschiedene Tools aufgespürt werden. Deswegen geht in der Regel sehr viel wertvolle Zeit verloren, während sich die Analysten durch die anfallenden Daten arbeiten. Mit SOAR ist es dagegen möglich, die verschiedenen Informationen zu einem Ereignis in einem einzigen Fall zusammenzufassen. Dadurch können sie schneller bearbeitet werden. Die mittleren Zeiten zum Entdecken und Reagieren auf Vorfälle, sei es durch Automatisierung oder durch menschliche Eingriffe, sinken in der Folge.

3. Schwachstellenmanagement

In der Vergangenheit waren die meisten in einem SOC beschäftigten Analysten auf ein mehrheitlich manuelles Bearbeiten von Sicherheitslücken angewiesen. Durch den Umstieg auf SOAR lassen sich jedoch viele dieser Aufgaben automatisieren, so dass sogar automatisierte Reaktionen auf einfache sicherheitsrelevante Vorfälle durchgeführt werden können. SOAR korreliert die Daten verschiedener eingesetzter Sicherheitslösungen, um das Risiko einer bestimmten Bedrohung zu erkennen und um den vermuteten Gefährlichkeitsgrad zu bestimmen.

4. Automatisches Anreichern von Daten für Gegenmaßnahmen

SOAR-Plattformen beschleunigen das Anreichern von IOC-Daten, indem sie auf die verschiedenen zur Verfügung stehenden Datenbanken zugreifen oder indem sie unterschiedliche Threat-Intelligence-Tools nutzen. So lassen sich Zusammenhänge leichter erkennen. Die Mitarbeiter können die anfallenden Daten genauer und effizienter untersuchen, verifizieren, sichten und dann gegebenenfalls angemessen reagieren. Dieser Anwendungsfall spart den Analysten viel Zeit, da deutlich schneller Daten zu IP-Adressen, URLs und Hashes auf verdächtige Hinweise überprüft werden können, ohne dabei die erforderliche Tiefe der Untersuchungen zu beeinträchtigen.

5. Jagd auf Bedrohungen

Jenseits der Verarbeitung der Daten und ihrer Anreicherung dient das Entdecken von IOCs durch SOAR-Plattformen auch als eine Art proaktives Jagen nach Gefahren im Unternehmen. Dieses Threat Hunting gehört zu den wichtigsten Aufgaben der menschlichen Analysten. Es wird allerdings immer zeitaufwendiger, da laufend neue Bedrohungen gefunden werden. SOAR ist daher hilfreich, um eine Überlastung und Ermüdung der Mitarbeiter zu vermeiden.

Das gilt ebenso für die damit mögliche Skalierung nach oben, indem einfach immer mehr Datensätze hinzugefügt werden, um sie automatisch zu analysieren. Darüber hinaus ist SOAR bei der Jagd nach Bedrohungen hilfreich, indem es nach Malware oder verdächtigen Domains sucht und an entscheidenden Punkten auch menschliche Entscheidungen mit einbezieht.

6. Reaktionen auf Vorfälle

Die Automatisierung der Prozesse zur Behebung von Vorfällen und zur Reaktion darauf kann Bedrohungen bereits im Vorfeld verhindern. Spätere Kosten lassen sich damit vermeiden. SOAR sorgt für schnellere Reaktionen auf häufiger anzutreffende sicherheitsrelevante Vorfälle. Man denke nur an Phishing, Malware, Denial of Service (DoS), Manipulationen an Webseiten oder auch Ransomware.

Je nach Art der Bedrohung können die automatischen Reaktionen viele unterschiedliche Formen annehmen. Ein paar Beispiele:

  • Automatisches Hinzufügen von Indikatoren auf Beobachtungslisten,
  • automatisches Blockieren bösartiger Indikatoren,
  • automatische Quarantäne für bestimmte Indikatoren oder verseuchte Endgeräte,
  • automatisches Erstellen von Tickets,
  • automatisches Blockieren verdächtiger E-Mails oder IP-Adressen,
  • automatisches Löschen verdächtiger E-Mails aus anderen Postfächern,
  • automatisches Löschen von Benutzerkonten,
  • automatisches Durchführen von Antiviren-Scans oder Überprüfungen auf die Einhaltung der Compliance-Vorgaben sowie
  • automatisches Absenden von Alerts an bestimmte Analysten, Mitarbeiter, Hersteller, Partner oder Kunden.
  • Einer der wichtigsten Vorteile von SOAR ist das Teilen von Informationen zwischen verschiedenen Sicherheitstechnologien. Das setzt Kapazitäten bei den menschlichen Analysten frei, da sie sich auf kompliziertere Bedrohungen konzentrieren können. Außerdem wird dadurch die Threat Intelligence verbessert. Von der Verarbeitung, über die Anreicherung bis zur Erkennung von Bedrohungen, dem Sichten, der Reaktion und der Eindämmung von Gefahren trägt SOAR im Security Operations Center also dazu bei, einen größeren Überblick über die gesamte IT-Security-Situation zu erhalten.

SOAR ist nicht nur für eine Automatisierung der Playbooks im SOC nützlich, sondern auch für ihre Optimierung. Dadurch nehmen nicht nur die Erfahrungen der Analysten zu, auch die Möglichkeiten des gesamten SOC-Teams steigen, ihre Erkenntnisse im Unternehmen zu kommunizieren. Eine geeignete Implementierung zusammen mit den nötigen kulturellen sowie wirtschaftlichen Überlegungen sorgt daher dafür, dass die beschriebenen SOAR-Anwendungsfälle die Sicherheitslage eines Unternehmens nachhaltig stärken können.

Fortsetzung des Inhalts unten

Erfahren Sie mehr über IT-Sicherheits-Management

ComputerWeekly.de
Close