BillionPhotos.com - stock.adobe.

SOAR: Orchestrierung und Automatisierung richtig einsetzen

Mit Automatisierung und Orchestrierung lässt sich die Effizienz der Sicherheitsstrategie verbessern. Das ist aber kein Selbstläufer, sondern kann auch mit Tücken verbunden sein.

Organisationen sind stets bestrebt, die Effektivität und Effizienz von SecOps-Prozessen sowie die Zufriedenheit ihrer Mitarbeiter zu verbessern. Der Trend geht dabei klar in Richtung Security Orchestration, Automation und Response (SOAR).

Die Erfahrungen der ersten SOAR-Anwender deuten jedoch darauf hin, dass die Umsetzung mit einigen Herausforderungen und Tücken verbunden ist. Wenn SOAR richtig eingesetzt und implementiert wird, kann sich dieser Ansatz allerdings durchaus lohnen und die Effektivität der Prozesse erhöhen.

Um herauszufinden, wie Orchestrierung und Automatisierung die Effektivität des Sicherheitsbetriebs am besten steigern können, muss man sich die Frage stellen, welcher Technologieansatz für das Unternehmen am besten geeignet ist. Dies ist nicht gleichbedeutend damit, einfach die vermeintlich „beste“ Technologie zu kaufen. Es geht vielmehr darum, eine Technologie einzusetzen, die zu dem Unternehmen, den Möglichkeiten der Sicherheitsabläufe und der Cyberstrategie passt.

SOAR (Security Orchestration, Automation und Response)

Analysten wie Gartner beschreiben SOAR zumeist als drei miteinander verbundene, aber weitgehend unterschiedliche Bereiche: Cyber Threat Intelligence (CTI), Incident Response (IR) sowie Security Orchestration und Automation (SOA).

Diese Funktionen arbeiten Hand in Hand, um bei der Bewältigung vieler gängiger Anwendungsfälle von Sicherheitsoperationen zu helfen, wie zum Beispiel die Priorisierung von Bedrohungen und Schwachstellen sowie Threat Hunting und Alert Triage.

Die Mehrheit der Sicherheitsexperten hat jedoch einen eher eingeschränkten Blick auf den Markt und tendiert dazu, sich auf Automatisierungs- und Orchestrierungsfunktionen zu konzentrieren, da die führenden SOA-Anbieter die Art von grafischen Workflow- und Playbook-Funktionen anbieten, welche mit dem Namen „SOAR“ assoziiert werden.

Die Vorteile von SOAR für Organisationen liegen in den zeitlichen und finanziellen Einsparungen, die sich aus der Steigerung der Effizienz und Effektivität ergeben. Dank der Automatisierung können Mitarbeiter sich auf die wichtigen Aufgaben konzentrieren, da ihnen ein Großteil der monotonen Tätigkeiten abgenommen wird. Wo liegt also das Problem in diesem Ansatz? In vielen Fällen dauern die Durchführung und Implementierung von SOAR-Projekten länger, kostet mehr und hat einen geringeren Nutzen als erwartet.

SOAR arbeitet per Definition innerhalb von SecOps-Prozessen über verschiedene Gruppen hinweg. Dies stellt oft eine große Herausforderung dar. Größere Organisationen verfügen meist über separate Teams für die Bereiche SOC (Security Operations Center), Incident Response, Threat Intelligence, Schwachstellenmanagement und Threat Hunting.

Die Koordinierung eines SOAR-Projekts und seine Umsetzung durch diese verschiedenen Teams ist unglaublich zeitaufwändig und wirft nicht nur Fragen des Budgets und der Personalzuweisung auf. Infolgedessen beginnen Organisationen oft mit einer großen Anzahl möglicher Anwendungsfälle, bevor sie dann doch auf einige wenige grundlegende Automatisierungen ausweichen, die oft auf das Team beschränkt sind, welches die SOAR-Implementierung überhaupt erst initiiert hat.

Daher neigen Projekte dazu, von der Gartner-SOAR-Definition zurück zu einem reinen SOA-Projekt zu verfallen, wodurch einige der funktionsübergreifenden Vorteile auf dem Weg dorthin verloren gehen.

Markus Auer, ThreatQuotient

„Organisationen, die sich mit SOAR befassen, werden die besten Ergebnisse erzielen, wenn sie sich darüber im Klaren sind, welche operativen Ziele sie erreichen wollen.“

Markus Auer, ThreatQuotient

Ebenso ist es wichtig zu bedenken, dass ein Orchestrierungs-Workflow innerhalb einer SOAR-Plattform auch einfach eine automatisierte Aktion eines anderen Systems sein kann.

Beispielsweise ist die Anreicherung von Indicators of Compromise (IOCs) mit einer Ressource wie VirusTotal ein Orchestrierungs-Workflow, der eine Informationsquelle (möglicherweise eine Threat-Intelligence-Plattform, TIP), ein SIEM (Security Information and Event Management) und VirusTotal umfasst. Die Anreicherung von IOCs ist jedoch eine sofort einsatzbereite Automatisierung für eine Threat Intelligence-Plattform. In ähnlicher Weise sind viele der funktionsübergreifenden SOAR-Workflows tatsächlich Automatisierungen in anderen Tools.

Organisationen, die sich mit SOAR befassen, werden die besten Ergebnisse erzielen, wenn sie sich darüber im Klaren sind, welche operativen Ziele sie erreichen wollen. Ist die Analyse von Phishing-E-Mails ein wichtiger Punkt? Oder ist Alert Triage die zeitaufwändigste Aktivität? Oder verbringt das Team viel zu viel Zeit mit dem manuellen Sammeln und Anreichern von Threat Intelligence? Für Organisationen ist es wichtig, die Anwendungsfälle nach der Gruppe oder dem Team zu kategorisieren, in die sie fallen, und diejenigen zu identifizieren, die sich über mehr als ein einzelnes Team erstrecken.

Die Frage, welche Lösung aus der Threat Intelligence-, der Incident Response- oder der SOAR-Plattform die richtige ist, ist ebenfalls von grundlegender Bedeutung für eine effektive Einführung.

Fazit

Manch einer mag jetzt vielleicht denken: „Warum muss ich überhaupt aus einer Reihe von Plattformen wählen? Sicherlich kann ich heutzutage eine vollumfängliche SOAR-Lösung erhalten?“ Trotz der Analystendefinition von SOAR ist das nicht ganz so einfach.

Die derzeit verfügbaren Plattformen haben jeweils Bereiche, in denen sie historisch gesehen ihre Stärken haben und der Konkurrenz überlegen sind. Beispielsweise können Orchestrierungsplattformen Bedrohungsindikatoren für die spätere Entscheidungsfindung zwischenspeichern.

Eine Threat-Intelligence-Plattform hat hingegen auch die Fähigkeit, viele Informationsabläufe zu automatisieren und zu einem zentralen Speicher für Bedrohungen zu werden, aus denen sich SOAR-Operationen entwickeln können. Gleichzeitig bietet sie aber möglicherweise nicht die gleiche Tiefe der nuancierten Entscheidungsfindung wie eine dedizierte Orchestrierungsplattform.

Interessanterweise stützen sich viele der überzeugenden SOAR-Nutzungsfälle auf Threat Intelligence. Cyberaktivitäten wie die Analyse von Phishing-E-Mails, die Anreicherung von Bedrohungsindikatoren, die Automatisierung von Intelligence Feeds, die Bereitstellung von Bedrohungskontexten für SOC-Analysten und die Priorisierung von Schwachstellen-Patches sind nur einige der gängigsten Arbeitsabläufe.

Mithilfe einer einzigen Threat Intelligence-Plattform lassen sich all diese Prozesse automatisieren. Wenn eine vollständige SOAR-Funktionalität eher den Bedürfnissen der eigenen Organisation entspricht, dann kann man sich darauf verlassen, dass die meisten Plattformen auch eine Interaktion ermöglichen. Sie sind im Regelfall untereinander kompatibel, so dass jedes Team weiterhin die bestmöglichen Tools einsetzen kann, die es für seine Effektivität benötigt.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über IT-Sicherheits-Management