SOAR, das für Security Orchestration, Automation and Response steht, ist eine Funktion oder Lösung, die die Reaktion auf Cyberangriffe und Sicherheitsabläufe automatisiert. Es reduziert die Arbeitsbelastung der Mitarbeiterinnen und Mitarbeiter, indem es Workflows automatisch verarbeitet, wenn bestimmte Bedingungen erfüllt sind. Das geschieht auf der Grundlage von durch den Anbieter vordefinierten Regeln oder vom Benutzer definierten Playbooks.
SOAR führt die Verarbeitung auf der Grundlage von herstellerdefinierten Regeln oder benutzerdefinierten Playbooks durch (eine Liste von Abläufen, die eine Reihe von in einem Skript festgelegten Aktionen ausführen, wenn bestimmte Bedingungen erfüllt sind). Es unterstützt Sicherheitsbeauftragte, indem es automatisch Aktionen als Reaktion auf vorher angenommene Situationen durchführt. So wird beispielsweise die Kommunikation blockiert, wenn innerhalb eines bestimmten Zeitraums eine unbestimmte Anzahl von Mitteilungen an einen Server erfolgt, auf dem wichtige Informationen gespeichert sind. Außerdem werden automatisch Maßnahmen ergriffen, wie die Sperrung von Terminals, die mit Malware infiziert sind oder auf Command-and-Control-Server (C&C) zugreifen, in einem Quarantäne-Netzwerk.
SOAR wird benötigt, weil sofort reagiert werden muss, wenn Anzeichen von Cyberangriffen entdeckt werden, und weil die Arbeitsbelastung der Sicherheitsbeauftragten immer größer wird.
Wenn das Hintergrundrauschen minimiert ist, können sich die Mitarbeiter auf solche Fälle konzentrieren, die ein manuelles Eingreifen erfordern. Unerfahrene Mitarbeiter können problemlos vordefinierte Aktionen in Playbooks ausführen. Dies ist besonders wichtig angesichts des derzeitigen Mangels an qualifizierten Mitarbeitern.
Cyberangriffe finden rund um die Uhr statt, und es ist nicht abzusehen, wann sie auftreten.
Cyberangriffe finden rund um die Uhr und an allen 365 Tagen des Jahrs statt, und es ist nicht abzusehen, wann sie auftreten. Zwar verfügen einige Unternehmen über SOCs, die auf Anzeichen von Cyberangriffen achten. Doch ist es sowohl aus Sicherheits- als auch aus operativer Sicht besser, automatisch zu reagieren, wenn bereits Anzeichen entdeckt werden. So würde beispielsweise eine grundlegende Richtlinie zur Abschaltung von Terminals mit bekannten Malware-Infektionen oder Zugang zu Command-and-Control-Servern (C&C) in einem Quarantäne-Netzwerk das Risiko verringern, dass sich Bedrohungen anschließend im gesamten Unternehmen ausbreiten. Durch die Erstellung und Automatisierung eines Playbooks, das auf Anzeichen früherer Cyberangriffe auf das Unternehmen basiert, können Cyberangriffe außerdem schneller verhindert werden.
Die Arbeitsbelastung des Sicherheitspersonals nimmt laut einer Studie von Trend Micro zu
In nur sieben Tagen* werden 1,25 Milliarden Protokolle von 1.000 Geräten gesammelt. Einige dieser Protokolle ähneln Cyberangriffen, die gegen andere Unternehmen oder in derselben Branche verübt wurden, oder sie ähneln Cyberangriffen, die in der Vergangenheit gegen Ihr Unternehmen verübt wurden. Wenn Sie beispielsweise in einem Monat etwa zehn mit Malware infizierte Endgeräte finden, ist es für das Sicherheitspersonal sehr zeit- und arbeitsaufwendig, sich für eine Reaktionsstrategie zu entscheiden und jedes Mal Maßnahmen zu ergreifen. Indem die Reaktion auf nachfolgende Vorfälle auf der Grundlage der ersten Vorfälle automatisiert wird, kann die Arbeitsbelastung des Sicherheitspersonals verringert werden.
* Berechnet aus Stichprobendaten von 1.000 Geräten / 7 Tagen, die von Trend Micro verifiziert wurden.
Wie lässt sich vor diesem Hintergrund die Effizienz der Sicherheitsabläufe mit den vorhandenen Ressourcen verbessern? SOAR ist eine Technologie, die mit dem Ziel entwickelt wurde, die Effizienz von Sicherheitsabläufen mit vorhandenen Ressourcen zu verbessern.
SIEM ist ein Produkt, das Protokolle und Ereignisse von PCs, Servern, Proxies, Firewalls, Sicherheitsprodukten usw. sammelt und auf sinnvolle Weise visualisiert. SOAR handelt automatisch, wenn bestimmte Aktionen (z. B. viele Zugriffe auf einen bestimmten Server innerhalb einer bestimmten Zeit) auf der Grundlage von vordefinierten Regeln und unter Verwendung der von SIEM gesammelten Informationen stattfinden. XDR ist ein Produkt, das Spuren von Angriffen erkennt und visualisiert, um zu untersuchen, die Ursache zu ermitteln und auf Vorfälle zu reagieren, wenn eine Bedrohung in die Umgebung eines Benutzers eindringt. SOAR hat in den letzten Jahren viel Aufmerksamkeit auf sich gezogen. Es ist in der Lage, riesige Mengen von Protokolldaten mechanisch zu verarbeiten, um Rauschen zu entfernen und nur die Alarme zu extrahieren, die wirklich Maßnahmen erfordern.
SOAR kann in Fällen effektiv sein, in denen es eine breite Palette von Produkten und Diensten gibt, die in Verbindung mit APIs und detaillierten Bedingungen für Skripteinstellungen verwendet werden können. Außerdem sollte erfahrenes Sicherheitspersonal die Einstellungen kontinuierlich pflegen können. Einige XDRs können auch in SOAR integriert werden. XDRs könnten also als Ergänzung zu den Fachkenntnissen bei der Erkennung von Cyberangriffen eingesetzt werden. Gleichzeitig könnte SOAR zur Integration mit einer breiten Palette von Produkten und zur Automatisierung von Reaktionen verwendet werden.