SOAR (für Security Orchestration, Automation and Response) ist eine Softwarelösung, die es Sicherheitsteams ermöglicht, separate Sicherheitstools zu integrieren und zu koordinieren, sich wiederholende Aufgaben zu automatisieren und Arbeitsabläufe bei der Reaktion auf Vorfälle und Bedrohungen zu optimieren.
In großen Unternehmen verlassen sich Security Operations Center (SOCs) auf zahlreiche Tools, um Cyberbedrohungen zu verfolgen und darauf zu reagieren – oft manuell.
SOAR-Plattformen bieten SOCs eine zentrale Konsole, über die sie diese Tools in optimierte Workflows zur Reaktion auf Bedrohungen integrieren und untergeordnete, sich wiederholende Aufgaben in diesen Workflows automatisieren können. Diese Konsole ermöglicht es SOCs auch, alle von diesen Tools generierten Sicherheitswarnungen an einem zentralen Ort zu verwalten.
Durch die Optimierung der Warnmeldungssichtung und die Gewährleistung der Zusammenarbeit verschiedener Sicherheitstools helfen SOARs SOCs dabei, die mittlere Zeit bis zur Erkennung (MTTD) und die mittlere Zeit bis zur Reaktion (MTTR) zu verkürzen und so die allgemeine Sicherheitslage zu verbessern. Durch schnelleres Erkennen und Reagieren auf Sicherheitsbedrohungen können die Auswirkungen von Cyberangriffen abgemildert werden. Laut IBMs neuestem Bericht über die Kosten einer Datenschutzverletzung ist ein kürzerer Lebenszyklus von Datenschutzverletzungen mit geringeren Kosten verbunden. Verstöße, die in weniger als 200 Tagen behoben werden, kosten die Unternehmen im Durchschnitt 1,02 Mio. USD weniger, was einem Unterschied von 23 % entspricht.
Mit dem neuesten Bericht über die Kosten einer Datenschutzverletzung erhalten Sie Erkenntnisse, um das Risiko einer Datenschutzverletzung besser zu managen.
Registrieren Sie sich für den X-Force Threat Intelligence Index
Die SOAR-Technologie entstand als Konsolidierung von drei früheren Sicherheitstools. Laut Gartner, das den Begriff „SOAR“ im Jahr 2015 erstmals geprägt hat, vereinen SOAR-Plattformen die Funktionen von Plattformen zur Reaktion auf Sicherheitsvorfälle, Plattformen zur Sicherheitsorchestrierung und -automatisierung sowie Plattformen zur Bedrohungsaufklärung in einem Angebot.
Um zu verstehen, wie moderne SOAR-Lösungen funktionieren, kann es hilfreich sein, sie in ihre Kernfunktionen aufzuteilen: Sicherheitsorchestrierung, Sicherheitsautomatisierung und Ereignisreaktion.
„Sicherheitsorchestrierung“ bezieht sich auf die Art und Weise, wie SOAR-Plattformen die Hardware- und Softwaretools im Sicherheitssystem eines Unternehmens verbinden und koordinieren.
SOCs nutzen verschiedene Lösungen, um Bedrohungen wie Firewalls, Threat Intelligence Feeds und Endgeräteschutz-Tools zu überwachen und darauf zu reagieren. Selbst einfache Sicherheitsprozesse können mehrere Tools umfassen. Beispielsweise benötigt ein Sicherheitsanalyst, der eine Phishing-E-Mail untersucht, möglicherweise ein sicheres E-Mail-Gateway, eine Threat-Intelligence-Plattform und Antivirensoftware, um die Bedrohung zu identifizieren, zu verstehen und zu beseitigen. Diese Tools stammen oft von verschiedenen Anbietern und lassen sich nicht problemlos integrieren, sodass Analysten während der Arbeit manuell zwischen den Tools wechseln müssen.
Mit einem SOAR können SOCs diese Tools in einem kohärenten, wiederholbaren Security Operations (SecOps)-Workflow vereinen. SOARs verwenden Programmierschnittstellen (APIs), vorgefertigte Plugins und benutzerdefinierte Integration, um Sicherheitstools (und einige Nicht-Sicherheitstools) zu verbinden. Sobald diese Tools integriert sind, können SOCs ihre Aktivitäten mit Playbook koordinieren.
Playbooks sind Prozesslandkarten, mit denen Sicherheitsanalysten die Schritte von Standardsicherheitsprozessen wie Bedrohungserkennung, -untersuchung und -reaktion skizzieren können. Playbooks können sich über mehrere Tools und Apps erstrecken. Sie können vollständig automatisiert, vollständig manuell oder eine Kombination aus automatisierten und manuellen Aufgaben sein.
SOAR-Sicherheitslösungen können zeitaufwändige, sich wiederholende Aufgaben auf niedriger Ebene wie das Öffnen und Schließen von Support-Tickets, die Anreicherung von Ereignissen und die Priorisierung von Warnmeldungen automatisieren. SOARs können auch die automatisierten Aktionen integrierter Sicherheitstools auslösen. Das bedeutet, dass Sicherheitsanalysten Playbook-Workflows verwenden können, um mehrere Tools miteinander zu verknüpfen und komplexere Sicherheitsabläufe zu automatisieren.
Denken Sie zum Beispiel daran, wie eine SOAR-Plattform die Untersuchung eines kompromittierten Laptops automatisieren könnte. Der erste Hinweis darauf, dass etwas nicht stimmt, kommt von einer EDR-Lösung (Endpoint Detection and Response), die verdächtige Aktivitäten auf dem Laptop erkennt. Der EDR sendet einen Alert an den SOAR, der den SOAR veranlasst, ein vordefiniertes Playbook auszuführen. Zunächst öffnet der SOAR ein Ticket für den Vorfall. Es reichert die Warnung mit Daten aus integrierten Threat-Intelligence-Feeds und anderen Sicherheitstools an. Anschließend führt der SOAR automatisierte Reaktionen aus, beispielsweise das Auslösen eines NDR-Tools (Network Detection and Response), um den Endpunkt unter Quarantäne zu stellen, oder die Aufforderung an Antivirensoftware, Malware zu finden und zu detonieren. Schließlich leitet der SOAR das Ticket an einen Sicherheitsanalysten weiter, der feststellt, ob der Vorfall behoben wurde oder ein menschliches Eingreifen erforderlich ist.
Einige SOARs umfassen künstliche Intelligenz (KI) und maschinelles Lernen, die Daten aus Sicherheitstools analysieren und künftig Wege zur Bewältigung von Bedrohungen empfehlen.
Die Orchestrierungs- und Automatisierungsfunktionen von SOAR ermöglichen es, als zentrale Konsole für die Reaktion auf Sicherheitsvorfälle (IR) zu dienen. Der Bericht über die Kosten einer Datenschutzverletzung von IBM ergab, dass Unternehmen, die sowohl über ein IR-Team als auch über einen IR-Plan verfügen, Verstöße 54 Tage schneller erkannten als Unternehmen, die weder ein IR-Team noch einen IR-Plan hatten.
Sicherheitsanalysten können SOARs verwenden, um Vorfälle zu untersuchen und zu beheben, ohne zwischen mehreren Tools zu wechseln. Wie Threat-Intelligence -Plattformen aggregieren SOARs Metriken und Warnungen aus externen Feeds und integrierten Sicherheitstools in einem zentralen Dashboard. Analysten können Daten aus verschiedenen Quellen korrelieren, Fehlalarme herausfiltern, Warnungen priorisieren und die spezifischen Bedrohungen identifizieren, mit denen sie es zu tun haben. Anschließend können die Analysten reagieren, indem sie die entsprechenden Playbooks auslösen.
SOCs können SOAR-Tools auch für Post-Incident-Audits und proaktivere Sicherheitsprozesse verwenden. SOAR-Dashboards können Sicherheitsteams dabei helfen, zu verstehen, wie eine bestimmte Bedrohung in das Netzwerk eingedrungen ist, und wie ähnliche Bedrohungen in Zukunft verhindert werden können. Ebenso können Sicherheitsteams mithilfe von SOAR-Daten unbemerkte laufende Bedrohungen identifizieren und ihre Bedrohungsjagd an den richtigen Stellen konzentrieren.
Durch die Integration von Sicherheitstools und die Automatisierung von Aufgaben können SOAR-Plattformen gängige Sicherheits-Workflows wie Case Management, Schwachstellenmanagement und Reaktion auf Vorfälle optimieren. Zu den Vorteilen dieser Rationalisierung gehören:
SOCs müssen sich möglicherweise täglich mit Hunderten oder Tausenden von Sicherheitswarnungen befassen. Dies kann zu Müdigkeit führen, und Analysten können wichtige Anzeichen für Bedrohungsaktivitäten verpassen. SOARs können Warnmeldungen besser verwalten, indem sie Sicherheitsdaten zentralisieren, Ereignisse anreichern und Antworten automatisieren. Dadurch können SOCs mehr Alerts verarbeiten und gleichzeitig die Reaktionszeiten verkürzen.
SOCs können SOAR-Playbooks verwenden, um standardmäßige, skalierbare Incident-Response-Workflows für häufige Bedrohungen zu definieren. Anstatt sich von Fall zu Fall mit Bedrohungen zu befassen, können Sicherheitsanalysten das entsprechende Playbook für eine effektive Abhilfe auslösen.
SOCs können SOAR-Dashboards verwenden, um Einblicke in ihre Netzwerke und die Bedrohungen zu erhalten, denen sie ausgesetzt sind. Diese Informationen können SOCs dabei helfen, Fehlalarme zu erkennen, Alerts besser zu priorisieren und die richtigen Reaktionsprozesse auszuwählen.
SOARs zentralisieren Sicherheitsdaten und Incident-Response-Prozesse, damit Analysten gemeinsam an Untersuchungen arbeiten können. SOARs können SOCs auch in die Lage versetzen, Sicherheitsmetriken mit externen Parteien wie der Personalabteilung, der Rechtsabteilung und den Strafverfolgungsbehörden zu teilen.
SOAR-, SIEM- und XDR-Tools haben einige Kernfunktionen gemeinsam, aber jedes hat seine eigenen einzigartigen Funktionen und Anwendungsfälle.
SIEM-Lösungen (Security Information and Event Management) sammeln Informationen aus internen Sicherheitstools, aggregieren sie in einem zentralen Protokoll und kennzeichnen Anomalien. SIEMs werden hauptsächlich verwendet, um große Mengen an Daten zu Sicherheitsereignissen aufzuzeichnen und zu verwalten.
Die SIEM-Technologie entstand zunächst als Compliance-Reporting-Tool. SOCs führten SIEMs ein, als ihnen klar wurde, dass SIEM-Daten Cybersicherheitsoperationen unterstützen könnten. SOAR-Lösungen entstanden, um sicherheitsorientierte Funktionen hinzuzufügen, die den meisten Standard-SIEMs fehlen, wie etwa Orchestrierung, Automatisierung und Konsolenfunktionen.
Extended Detection and Response (XDR)-Lösungen erfassen und analysieren Sicherheitsdaten von Endgeräten, Netzwerken und der Cloud. Wie SOARs können sie automatisch auf Sicherheitsvorfälle reagieren. Allerdings sind XDRs in der Lage, komplexere und umfassendere Automatisierungen für die Reaktion auf Sicherheitsvorfälle als SOARs durchzuführen. XDRs können auch Sicherheitsintegrationen vereinfachen, die oft weniger Fachwissen oder Kosten erfordern als SOAR-Integrationen. Einige XDRs sind vorintegrierte Lösungen von Einzelanbietern, während andere Sicherheitstools von mehreren Anbietern miteinander verbinden können. XDRs werden häufig für die Bedrohungserkennung in Echtzeit, für Störungstriage und automatisierte Bedrohungsjagd verwendet.
SecOps-Teams in großen Unternehmen verwenden oft alle diese Tools zusammen. Die Anbieter verwischen jedoch die Grenzen zwischen ihnen und führen SIEM-Lösungen ein, die mit SIEM-ähnlicher Datenprotokollierung auf Bedrohungen und XDRs reagieren können. Einige Sicherheitsexperten glauben, dass XDR eines Tages die anderen Tools absorbieren könnte, ähnlich wie SOAR einst seine Vorgänger konsolidierte.
IBM Security® QRadar® SOAR wurde entwickelt, um Ihrem Sicherheitsteam zu helfen, vertrauensvoll auf Cyberbedrohungen zu reagieren, mit Intelligenz zu automatisieren und mit Konsistenz zusammenzuarbeiten.
Die IBM Security® QRadar® XDR-Suite bietet einen einzigen, einheitlichen Workflow für alle Ihre Tools, um Bedrohungen schneller zu erkennen und zu beseitigen.
Helfen Sie Ihrem Team, seinen Plan zur Reaktion auf Vorfälle zu verbessern und die Auswirkungen eines Verstoßes zu minimieren, indem Sie Ihre Teams für die Reaktion auf Vorfälle, Prozesse und Kontrollen vorbereiten.
Hier erhalten Sie die neuesten Erkenntnisse über die immer größer werdende Bedrohungslandschaft und Empfehlungen, wie Zeit gespart und Verluste begrenzt werden können.
Mit SIEM können Unternehmen potenzielle Sicherheitsbedrohungen und Sicherheitslücken erkennen, bevor es zu Unterbrechungen im Betriebsablauf kommt.
Aufbau einer eng integrierten Plattform für Sicherheitsabläufe und Analysen, die die Sicherheitsaktivitäten beschleunigt und den Mitarbeitern die Möglichkeit gibt, sich auf vorrangige Aufgaben zu konzentrieren.