5 Tipps für den Einstieg in SOAR

SOAR-Plattformen koordinieren Tools und helfen, Bedrohungen effizienter zu bekämpfen. Hier erfahren Sie, wie Sie sich auf den Übergang zu SOAR vorbereiten. [...]

Im Idealfall sollen SOAR-Plattformen dabei helfen, die vorhandenen Ressourcen - einschließlich technischer Tools und Mitarbeiter - besser zu nutzen (c) pixabay.com

SOAR ist der Name für eine relativ neue Art von Sicherheitsplattform, die Informationen koordiniert, die von einer Vielzahl von Sicherheitstools erzeugt werden, und einen Großteil ihrer Analyse und Schutzreaktionen automatisiert. SOAR steht für „Security Orchestration, Automation and Response“ (Sicherheitsorchestrierung, -automatisierung und -reaktion) und ist ein Begriff, der 2015 von Gartner geprägt und seitdem von der Branche übernommen wurde, da Unternehmen mit zunehmenden Sicherheitsbedrohungen, einem angespannten Arbeitsmarkt und einer wachsenden Informationsflut zu kämpfen haben, die sie über den Zustand der Systeme und Netzwerke analysieren müssen, die sie zu schützen versuchen.

Im Idealfall sollen SOAR-Plattformen dabei helfen, die vorhandenen Ressourcen – einschließlich technischer Tools und Mitarbeiter – besser zu nutzen. In der Praxis kann es zu Problemen kommen, insbesondere bei der Umstellung auf ein SOAR-Paradigma, aber insgesamt sind diese Angebote vielversprechend, um all die sicherheitsrelevanten Daten, die moderne Unternehmen analysieren müssen, sinnvoll zu nutzen.

SIEM vs. SOAR

Aufgrund dieser Beschreibung werden Sie sich vielleicht fragen, was der Unterschied zwischen SOAR-Plattformen und SIEM-Software (Security Information and Event Management) ist. SIEM-Software sammelt und analysiert zwar Informationen aus verschiedenen Protokollen und Tools, aber sie unternimmt nicht unbedingt die aktiven Schritte, die SOAR-Plattformen ermöglichen. Tatsächlich nutzen SOAR-Angebote oft SIEM-Software als einen ihrer Inputs. Um vollständig zu verstehen, wie SOAR über SIEM hinausgeht, müssen wir uns damit beschäftigen, was SOAR-Tools bezwecken und wie sie funktionieren.

Was ist der Zweck von SOAR?

Die Geschichte der modernen IT-Sicherheit besteht im Kern darin, dass Sie, um Ihre Systeme abzusichern, eine enorme Menge an Daten von einer sich ständig vervielfältigenden Anzahl von Tools sammeln, verarbeiten und analysieren müssen, und diese Analyse bei Bedarf in Maßnahmen gegen die erkannten Bedrohungen umsetzen. All dies erfordert immer mehr menschlichen Einsatz und Intelligenz, die die wertvollste (und teuerste) Ressource in der IT-Sicherheit ist.

FireEye, selbst ein SOAR-Anbieter, nennt fünf wesentliche SOAR-Vorteile:

  • Budgetbeschränkungen bekämpfen
  • Verbessern Sie Zeitmanagement und Produktivität
  • Effektives Management von Vorfällen
  • Flexibilität
  • Förderung der Zusammenarbeit

Jeder dieser Vorteile stellt eine Möglichkeit dar, das IT-Sicherheitsproblem „zu viele Daten, zu wenig Zeit für Menschen, sich damit zu beschäftigen“ zu lösen. SOAR-Plattformen nutzen KI, Automatisierung und Kollaborationstools, um Ihre Sicherheitsmitarbeiter von sich wiederholenden, weniger anspruchsvollen Aufgaben zu entlasten und sicherzustellen, dass die Aufgaben, die menschliche Aufmerksamkeit erfordern, an die richtigen Personen weitergeleitet und so schnell wie möglich gelöst werden.

Wie der Name schon sagt, nutzt SOAR drei Haupttechniken, um dies zu erreichen: Orchestrierung, Automatisierung und Reaktion.

Orchestrierung. SOAR-Plattformen koordinieren die Eingabe und den Betrieb der vielen, vielen Sicherheitstools, die Sie möglicherweise in Ihren Netzwerken eingesetzt haben. Obwohl die Anbieter stets bemüht sind, Ihnen integrierte Suiten ihrer eigenen Produkte zu verkaufen, rühmen sich die meisten SOAR-Plattformen mit der Fähigkeit, Daten von zahlreichen Tools von Drittanbietern aufzunehmen, entweder über vorgefertigte Connector-Apps, die für die gängigsten Apps verfügbar sein sollten, oder über die APIs, die viele Tools unterstützen. Auf diese Weise können SOAR-Plattformen eine „Single Pane of Glass“-Oberfläche bereitstellen, auf der Sicherheitsexperten relevante Informationen aus verschiedenen Tools in Korrelation zueinander sehen und Befehle für das weitere Vorgehen erteilen können.

Automatisierung. SOAR-Plattformen zielen darauf ab, einen Großteil der analytischen Routinearbeit zu übernehmen, die mit der Verarbeitung all dieser Daten verbunden ist, wobei KI Schwachstellen-Scans und Protokolle durchkämmt, um potenzielle Bedrohungen zu erkennen. Darüber hinaus können relativ einfache Aufgaben, die oft einen Großteil des Tages des Sicherheitspersonals in Anspruch nehmen, weitgehend automatisiert werden, indem Playbooks erstellt werden – vorformulierte Skripte, die Aktionen skizzieren, die nach einem Zeitplan ausgeführt oder mit einem einzigen Klick aufgerufen werden können.

Dank der bereits erwähnten Konnektoren und APIs können SOAR-Angebote nicht nur Daten entgegennehmen, sondern auch konfigurieren und bei Bedarf Befehle an Ihre Tools senden. Einige Aufgaben können vollständig automatisch ausgeführt werden, aber mehr können konsolidiert werden, so dass ein Mitarbeiter einen Alarm eskalieren, Daten aus Protokollen abrufen oder Trouble Tickets mit den entsprechenden Daten erstellen kann, und das alles viel schneller, als wenn er alle Tools einzeln bedienen müsste.

Response. Der Einblick, den SOAR-Plattformen in alle Daten Ihrer Tools bieten, ermöglicht es Ihren Analysten, die Maßnahmen, die sie zur Reaktion auf Bedrohungen ergreifen, schnell zu planen, zu verwalten, zu überwachen und darüber zu berichten. SOAR-Plattformen lassen sich in der Regel auch in Case Management- und Reporting-Tools integrieren, um sicherzustellen, dass Informationen über Angriffe für spätere Referenzzwecke bereitgehalten werden. Die meisten arbeiten auch mit Threat Intelligence Services zusammen, so dass Sie leicht erfahren können, womit andere Sicherheitsprofis zu tun haben, und Ihre eigenen Erfahrungen mit der Community teilen können.

5 Tipps, um sich auf SOAR vorzubereiten

Eine SOAR-Plattform ist nichts, was man einfach von der Stange kauft und installiert. Sie erfordert eine Anpassung an Ihre Umgebung, weshalb Sie sich über die Art der Unterstützung durch den Anbieter erkundigen sollten, die mit den von Ihnen in Betracht gezogenen Angeboten einhergeht. Aber Sie müssen auch Ihre eigenen Sicherheitsabläufe auf die neuen Arbeitsabläufe und Funktionen vorbereiten, die Sie mit einer SOAR-Lösung erhalten. Hier geben Sicherheitsprofis mit Erfahrung in diesem Bereich ihre Ratschläge, wie Sie diesen Übergang angehen sollten.

Stellen Sie sicher, dass Ihre internen Fähigkeiten mit der von Ihnen gewählten Plattform übereinstimmen. „Jede SOAR-Lösung verfolgt einen etwas anderen Ansatz. Einige sind auf hochqualifizierte Analysten zugeschnitten, andere auf Anwender aller Fähigkeitsstufen“, sagt Veronica Miller, Cybersecurity-Expertin bei VPNoverview. Einige SOAR-Angebote setzen zum Beispiel die Fähigkeit voraus, Skriptcode in Perl, Python oder Ruby zu schreiben, um Sicherheitstools zu integrieren und Playbooks zu erstellen.

„Erkundigen Sie sich unbedingt, ob die von Ihnen bevorzugte Plattform sowohl eine grafische Benutzeroberfläche als auch ein Modul zum Schreiben von Skripten enthält, wie etwa eine integrierte Entwicklungsumgebung“, sagt Miller. „Die grafische Benutzeroberfläche kann Nicht-Programmierer dabei unterstützen, die Stärken der SOAR-Lösung sofort zu nutzen, etwa durch einfache Drag-and-Drop-Funktionen, während die IDE Programmierer in die Lage versetzt, bei Bedarf erweiterte Anpassungen vorzunehmen.“

Stellen Sie sicher, dass Ihre Tools die benötigten API-Konnektoren haben. Wie bereits erwähnt, verfügen einige SOAR-Plattformen zwar über integrierte, vorgefertigte Konnektoren für gängige Tools, diese sind jedoch nicht universell – und Sie haben wahrscheinlich auch einige selbst entwickelte Tools, die Sie integrieren möchten. An dieser Stelle kommen API-Konnektoren ins Spiel, und Jason Mitchell, Chief Technology Officer bei Smart Billions, sagt, dass die Erstellung eines Katalogs von Tools, die diese Konnektoren nutzen müssen, ein wichtiger Schritt ist. 

„Schauen Sie sich die Mechanismen an, die zur Durchführung von Audits, Warnungen und Korrekturmaßnahmen innerhalb der Systeme verwendet werden, und stellen Sie sicher, dass alle API-Konnektoren, die Sie finden, nutzbar oder entwicklungsfähig sind und die spezifischen Aktionen ausführen, die Sie durchführen wollen“, sagt er.

Möglicherweise müssen Sie diese API-Konnektoren selbst erstellen; die meisten Anbieter bieten Integrations-Frameworks an, mit denen Sie dies tun können. „Sie können auch Daemons bauen, die SecOps auf einer konstruktiven Basis verbessern“, fügt Mitchell hinzu. „Es gibt keine Einschränkungen für die Arten von Daemons, die Sie erstellen können, wie z. B. neue IoCs in Threat Intelligence-Plattformen oder SIEM-Warnungen für höhere Risiken.“

Zeichnen Sie Ihre Incident-Response-Prozesse auf, bevor Sie sie automatisieren. Da die Automatisierung eines der großen Wertversprechen von SOAR-Plattformen ist, stürzen sich viele Unternehmen, die sie implementieren, in den Automatisierungsprozess. Aber das kann ein großer Fehler sein. „Obwohl die Automatisierung das Potenzial hat, Abläufe deutlich zu verbessern, hat sie auch das Potenzial, ein Problem zu verschlimmern“, sagt Timothy Robinson, CEO von InVPN. „Eine Automatisierung, die zu einem ineffizienten Prozess hinzugefügt wird, würde die Ineffizienz noch verstärken.“

Nutzen Sie die Gelegenheit, die der Übergang zu SOAR bietet, um Ihre Prozesse zu analysieren und zu rationalisieren, bevor Sie Playbooks auf Basis dieser Prozesse erstellen. „Zeichnen Sie zur besseren Visualisierung und Koordination repräsentative Diagramme auf Papier oder auf einem Whiteboard“, rät Robinson. Er fügt außerdem hinzu, dass viele Anbieter vorgefertigte Playbooks mitliefern, die Sie vielleicht als eine Verbesserung Ihrer aktuellen Prozesse empfinden. „Dies kann ein fantastischer Weg sein, um Ihr Team in Gang zu bringen, und Sie können es verfeinern, während Sie lernen, was am besten für Ihr SOC funktioniert.“

Gehen Sie die Automatisierung langsam an. Eine Sache, über die Sie bei der Analyse Ihrer bestehenden Prozesse nachdenken sollten, ist, ob sie von Anfang an automatisiert werden sollten – oder überhaupt. „Selbst die schwierigsten und bösartigsten Fälle erfordern praktisches, kritisches Denken, das nur ein Sicherheitsanalyst bieten kann“, sagt Steve Scott, CTO bei Spreadsheet Planet. „Daher geht es bei jeder SOAR-Implementierung immer darum, die richtige Mischung aus maschinen- und analystengesteuerten Aktivitäten für Ihr spezifisches SOC zu finden. Identifizieren Sie die Prozesse, die sich am besten für eine Automatisierung eignen und führen Sie SOAR zuerst in diesen Bereichen ein, wenn Sie gerade erst anfangen. Von dort aus entscheiden Sie, wie Sie mit dem Automatisierungsteil Ihrer Reise fortfahren.“

Seien Sie darauf vorbereitet, dass sich Ihre SOAR-Implementierung weiterentwickeln wird. Denken Sie daran, dass Ihre Reise mit SOAR wirklich eine Reise ist: Sie werden nach und nach lernen, wie Sie es am besten auf Ihre Bedürfnisse abstimmen können und was funktioniert und was nicht. „Es ist unmöglich, beim ersten Versuch alles richtig zu machen“, sagt Eric McGee, Senior Network Engineer bei TRGDatacenters. „Selbst wenn Sie viel Zeit und Mühe in die Erstellung eines spezifischen Incident-Response-Playbooks stecken, besteht eine faire Chance, dass es nicht fehlerfrei sein wird.“

Und natürlich wissen Sie, dass sich die Bedrohungslandschaft ständig verändert – und dass Ihre SOAR-Playbooks ständig angepasst werden müssen, um neuen Herausforderungen zu begegnen. „Methoden, Strategien und Verfahren für Cyberbedrohungen ändern sich mit der Zeit“, sagt McGee. „Folglich müssen Sie sich anpassen und bei Bedarf Änderungen implementieren. Analysten müssen Prozesse auch nach ihrer Kodifizierung mit einer SOAR-Lösung weiter verfolgen, überprüfen und verfeinern, um sicherzustellen, dass jedes Playbook weiterhin mit optimaler Effektivität und Leistung arbeitet. Die kontinuierliche Entwicklung kann durch SOAR-Lösungen unterstützt werden, mit denen Sie Tests und Warnsimulationen für Ihre Playbooks durchführen können.“

Wenn alles gut geht, wird Ihre SOAR-Plattform die Effizienz Ihres SOC verbessert haben und Ihren Analysten die Zeit geben, die sie brauchen, um strategisch zu denken, anstatt den ganzen Tag nur Feuer zu bekämpfen.

SOAR-Tools

Wenn Sie von dem Konzept einer SOAR-Plattform überzeugt und bereit sind, weiterzumachen, haben wir einige Ressourcen zusammengestellt, die Ihnen bei der Entscheidung helfen können, welches SOAR-Tool das richtige für Ihre Arbeit ist.

Der Wechsel zu SOAR kann ein komplexer Übergang sein – aber er kann auch lohnend sein.

*Josh Fruhlinger ist Buchautor und Redakteur und lebt in Los Angeles.


Mehr Artikel

News

Jahrelanges Katz-und-Maus-Spiel zwischen Hackern und Verteidigern

Sophos hat den umfangreichen Forschungsbericht „Pacific Rim“ veröffentlicht, der detailliert ein jahrelanges Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit mehreren staatlich unterstützten Cybercrime-Gruppierungen aus China beschreibt. Im Lauf der Auseinandersetzung entdeckte Sophos ein riesiges, gegnerisches Cybercrime-Ökosystem. […]

News

Salesforce kündigt autonome KI-Agenten an

Agentforce soll es Unternehmen ermöglichen, autonome KI-Agenten für zahlreiche Unternehmensfunktionen zu entwickeln und einzusetzen. So bearbeitet Agentforce beispielsweise selbstständig Kundenanliegen, qualifiziert Vertriebsleads und optimiert Marketingkampagnen. […]

News

Startschuss für neues Studium „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln

Mit einem fortschrittlichen Konzept und praxisnaher Ausrichtung ist der neue Bachelor-Studiengang „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln der Fachhochschule Wiener Neustadt erfolgreich gestartet. Unter der Leitung von Dominik Hölbling erwartet die Studierenden eine Ausbildung mit Schwerpunkt auf moderne Softwaretechnologien und innovative Digitalisierungslösungen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*