Jakub Jirsák - stock.adobe.com
Wie SIEM und SOAR im SOC zusammenspielen
IT-Teams müssen zunehmend komplexe, hybride Multi-Cloud-Umgebungen überwachen. Cloud-native Automatisierungslösungen können dabei unterstützen, die Sicherheit zu erhöhen.
Die meisten Unternehmen nutzen heute in irgendeiner Form die Cloud. Das bringt neue Anforderungen an die Security. Zwar verfügen die großen Hyperscaler über modernste Sicherheitstechnik und wenden ausgefeilte Schutzmaßnahmen an.
In der Cloud gilt jedoch das Prinzip der geteilten Verantwortung: Die Provider sind bei IaaS (Infrastructure as a Service) und PaaS (Platform as a Service) nur für die Absicherung der Cloud-Infrastruktur zuständig. Kunden müssen sich selbst um die Sicherheit ihrer Applikationen kümmern, die sie in der Cloud betreiben. Für Security-Teams bedeutet das, dass sie es mit einer zunehmend komplexen IT-Umgebung und einer wachsenden Angriffsfläche zu tun haben.
Sie müssen sowohl On-Premises-Systeme als auch die Cloud Services verschiedener Provider kontinuierlich im Blick behalten. Dabei sind sie mit immer raffinierteren und professionell durchgeführten Angriffen konfrontiert.
Herausforderungen im SOC
Unternehmen betreiben ein SOC (Security Operations Center), um Anzeichen für Cyberangriffe schneller zu erkennen und Schaden zu vermeiden. Hier arbeiten spezialisierte Security-Analysten, die sicherheitsrelevante Daten aus der gesamten IT-Umgebung auswerten. Finden sie etwas Verdächtiges, untersuchen sie die Daten genauer und versuchen, Zusammenhänge herzustellen. Falls nötig, leiten sie passende Gegenmaßnahmen ein oder geben den zuständigen IT-Teams entsprechende Handlungsempfehlungen. Ein gut funktionierendes SOC spielt eine wichtige Rolle für die Sicherheit eines Unternehmens.
Denn je früher man einen Cyberangriff erkennt, desto schneller kann man ihn eindämmen und Schaden minimieren. Leider gelingt dies in der Praxis oft nicht gut genug. Immer wieder gibt es Fälle, bei denen Cyberangriffe zu lange unbemerkt bleiben.
Traditionelle SOCs können mit den komplexen Techniken moderner Angreifer nicht mehr Schritt halten. Häufig fehlt zum Beispiel ein ganzheitlicher Blick auf die IT-Umgebung, weil Cloud Services nicht richtig in die Security-Landschaft integriert sind. Dazu kommt, dass Mitarbeiter die Masse an Warnmeldungen, die jeden Tag auf sie einprasseln, gar nicht mehr bewältigen können. Der Fachkräftemangel verschärft die Situation noch.
Das SIEM als wichtiger Helfer und zentrale Informationsquelle
Um sich angesichts der wachsenden Bedrohungslage zu schützen, müssen Unternehmen ihr SOC an die veränderten Herausforderungen anpassen. Dafür spielen Cloud-native Security-Tools und Automatisierung eine wichtige Rolle. Eines der Hauptwerkzeuge im SOC ist das SIEM (Security Information and Event Management). Dieses sammelt die Logfiles aller angeschlossenen Systeme, speichert und analysiert sie. Das SIEM dient den Security-Mitarbeitern als zentrale Informationsquelle. Daher sollten auch die sicherheitsrelevanten Daten der Cloud Services einfließen.
„Automatisierung kann Security-Analysten nicht ersetzen, sie aber erheblich bei ihrer Arbeit unterstützen.“
Girish Bhat, Sumo Logic
Entscheidend ist zudem, dass das SIEM möglichst wenig Falsch Positive ausgibt, sodass Mitarbeiter sich auf die wirklich wichtigen Warnmeldungen konzentrieren können. Hier liegt ein Problem, unter dem viele SOCs leiden: Veraltete Tools erzeugen täglich Hunderte bis Tausende von Alerts, die die Security Analysten mühevoll von Hand sichten und bewerten müssen. Das dauert zu lange und ist fehleranfällig.
Moderne SIEM-Lösungen können dagegen viele Fehlalarme KI-gestützt (künstliche Intelligenz) bereits im Vorfeld aussortieren und Daten korrelieren. Dadurch reduziert sich die Zahl der Alerts, Mitarbeiter werden entlastet und Reaktionszeiten erheblich verkürzt.
Das SOAR automatisiert Analyse-Prozesse
Ein intelligentes SIEM unterstützt also den ersten Schritt der Arbeit im SOC. Anschließend geht es darum, festzustellen, ob tatsächlich ein Angriff vorliegt und welche Systeme betroffen sind. Dafür müssen die SOC-Analysten die Warnmeldungen aus dem SIEM genauer untersuchen.
Sie steigen tiefer in die Recherche ein, stellen Zusammenhänge her und beziehen Threat Intelligence aus anderen Quellen ein. Auch dieser Prozess ist aufwendig und kostet viel Zeit. Er lässt sich aber mit einer Lösung für Security Orchestration, Automation and Response (SOAR) optimieren. Ein SOAR kann Security Workflows mithilfe von sogenannten Playbooks automatisieren. In ihnen sind Abfragen und Abläufe hinterlegt, die das System dann selbstständig abarbeitet – etwa Prüfungen, mit denen sich ein Ransomware- oder Phishing-Angriff erkennen lässt. In der Regel liefern Hersteller solche Playbooks bereits für Standardszenarien mit.
SOC-Teams können diese noch anpassen und um eigene ergänzen. Außerdem dienen moderne SOAR-Lösungen als Collaboration-Plattform für Detection & Response-Aktivitäten und erleichtern ein koordiniertes, schnelles Vorgehen.
Mit Security-Automatisierung die Sicherheit erhöhen
Automatisierung kann Security-Analysten nicht ersetzen, sie aber erheblich bei ihrer Arbeit unterstützen. Das Zusammenspiel von SIEM- und SOAR-Lösungen ermöglicht es ihnen, Gefahren schneller zu erkennen und sofort zu reagieren. Im Idealfall so früh, dass sich ein Angriff abfangen lässt, bevor er überhaupt Schaden anrichtet. Dafür ist es wichtig, Lösungen zu wählen, die einen offenen, ganzheitlichen Ansatz unterstützen, sodass SIEM und SOAR die komplette hybride Multi-Cloud-Umgebung abdecken. Indem Unternehmen aufwendige manuelle Security-Prozesse automatisieren, werden SOC-Teams entlastet und können sich auf die wichtigen Aufgaben konzentrieren. So sind sie in der Lage, die wachsenden Security-Herausforderungen besser zu meistern.
Über den Autor:
Girish Bhat ist Vice President Security, Platform Marketing and Competitive Intel bei Sumo Logic.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.