Production Perig - stock.adobe.c
SIEM vs. SOAR vs. XDR: Die Unterschiede im Überblick
SIEM, SOAR und XDR haben ähnliche Definitionen und unterscheiden sich dennoch. Was bieten die Lösungen und was sollte man beachten, um sich für passenden Ansatz zu entscheiden?
IT-Security-Teams sehen sich einer ständigen Herausforderung gegenüber: Wie kann man am besten aus allen Bereichen der IT-Umgebung Ereignisdaten einsammeln und in Bedrohungsdaten umwandeln, um Cyberangriffe zu verhindern oder zu stoppen. Schließlich kann das Ergebnis eines Systems, das die Daten verarbeitet, nur so gut sein, wie die Daten, die ihm zugeführt werden.
Geht es um Lösungen, die Sicherheitsereignisse sammeln und analysieren existieren eine Reihe unterschiedlicher Produktgattungen – und -generationen. Und selbstredend werden die Gattungen durch eine Vielzahl Akronyme gekennzeichnet. Jede neue Generation soll die Unzulänglichkeiten seiner Vorgänger beheben, indem sie die Erfassung und Interpretation von Ereignisdaten verbessert und die Angriffserkennung und Reaktionszeiten verkürzt.
So stehen Sicherheitsteams heute Lösungen aus den Bereichen SIEM (Security Information and Event Management), SOAR (Security Orchestration, Automation and Response) und XDR (Extended Detection and Response) zur Verfügung.
Dabei gibt es durchaus Ähnlichkeiten bei den Definitionen, die Gartner für SIEM, SOAR und XDR liefert. SIEM „unterstützt die Erkennung von Bedrohungen, die Einhaltung von Vorschriften und das Management von Sicherheitsvorfällen durch die Sammlung und Analyse von Sicherheitsereignissen sowie einer Vielzahl anderer Ereignis- und Kontextquelldaten.“. SOAR ermöglicht „Organisationen die Sammlung von Daten, die vom Sicherheitsteam überwacht werden.“. XDR ist eine „einheitliche Plattform zur Erkennung von Sicherheitsvorfällen und zur Reaktion darauf, die automatisch Daten aus mehreren Sicherheitskomponenten sammelt und korreliert.“
So ist es an den IT-Abteilungen herauszufinden, welche der möglichen Optionen am besten zum eigenen Unternehmen passt.
SIEM sammelt Ereignisdaten, erfordert aber manuellen Aufwand
Der ursprüngliche Antrieb für SIEM-Produkte im Jahr 2005 war die Compliance-Berichterstattung. SIEM-Systeme der ersten Generation sammelten Protokolldaten, die von Anwendungen, Endpunkten und Netzwerkgeräten erzeugt wurden. So wurden vermutlich an der ein oder andere Stelle SIEM-Systeme installiert, um Compliance-Anforderungen gerecht zu werden und weniger aus reinen Security-Überlegungen.
SIEM-Plattformen stellten zunächst eine Kombination aus Funktionen zur Verwaltung von Sicherheitsinformationen und zur Verwaltung von Sicherheitsereignisse dar. Sie boten nur begrenzte Möglichkeiten zur Reaktion auf Vorfälle und zur Visualisierung. Solche Systeme analysierten Ereignisdaten von präventiven Technologien wie Antivirensoftware, IDS-Lösungen (Intrusion Detection Systems) und Firewalls. Dies erschwerte die Erkennung von ausgeklügelten angriffen, zumal Ereignisse aus verschiedenen Quellen nicht korreliert wurden. Die Analyse von Bedrohungen war oft schwierig und zeitaufwendig. Die Regeln zur Erkennung von Bedrohungen mussten manuell festgelegt werden. Der Netzwerkverkehr erhöhte die statischen Schwellenwerte und löste eine höhere Anzahl von Warnmeldungen aus, die eine manuelle Analyse erforderten, um falsch-positive Meldungen herauszufiltern.
Spätere SIEM-Generationen erhielten Unterstützung von Big Data und Ereignisanalyse in Echtzeit. Nachfolgend kamen maschinelles Lernen und Verhaltensanalysen hinzu. Hierdurch ließen sich typische Muster für normales Verhalten von Anwender wie Anwendungen erstellen. Dies erleichterte die Identifizierung von Anomalien und verkürzte die Zeit zwischen Kompromittierung und Entdeckung.
Trotz aller Fortschritte ist die schiere Menge an Warnmeldungen, die SIEM-Plattformen liefern können, immer noch eine Herausforderung. Der Bedarf an Werkzeugen, die die Qualität der Warnungen verbessern und Reaktionen automatisieren, ist durchaus zu erkennen.
SOAR reduziert manuelle Eingriffe
Seit 2015 versuchen SOAR-Tools, SIEM-Plattformen zu ergänzen und zu unterstützen. SOAR zielt darauf ab, Ereignisdaten anzureichern, die Identifizierung kritischer Vorfälle zu vereinfachen und Reaktionsmaßnahmen auf bestimmte Ereignisse oder Auslöser zu automatisieren. Ziel war es, die Abhilfe zu beschleunigen und Bedrohungen nur dann zu eskalieren, wenn ein menschliches Eingreifen erforderlich ist.
SOAR-Produkte beziehen Daten aus verschiedenen Quellen, wie beispielsweise Threat-Intelligence-Feeds mit den neuesten Angriffssignaturen und Informationen zu Phishing-E-Mails. Dies erfordert die Integration mit anderen Security-Tools. Und die Teams müssen weiterhin Playbooks, benutzerdefinierte Warnstufen und Reaktionsmaßnahmen festlegen.
Einige SIEM-Anbieter habe ihre Produkte um SOAR-Funktionen erweitert, um mit eigenständigen SOAR-Lösungen in Wettbewerb zu treten. So wird der Markt sich hier auch künftig sehr dynamisch entwickeln. Die gesamte IT-Umgebungen im transparenten Überblick zu behalten, bleibt jedoch weiterhin eine Herausforderung für IT-Teams. Dies liegt unter anderem daran, dass moderne IT-Infrastrukturen und Anwendungen immer weiter ausufern. Zudem stützen sich SIEM- und SOAR-Lösungen häufig auf isolierte Sicherheitsprodukte. Dies kann zu Warnmeldungen führen, die auf unvollständigen oder schlecht korrelierten Informationen beruhen. Und dieser Aspekt kann wieder zu unnötigen Unterbrechungen bei Systemen oder Benutzern führen.
Wie unterscheidet sich XDR von SIEM und SOAR?
XDR ist der jüngste Versuch von Security-Anbietern, die Erkennung von Bedrohungen und die Reaktionszeiten zu verbessern. Die Kategorie wurde 2018 entwickelt und hat 2020 an Bedeutung gewonnen. XDR zentralisiert und normalisiert Daten aus allen verbundenen Quellen, einschließlich den Anwendern, dem Netzwerk und dem Ort, an dem sich die Daten und Anwendungen befinden. Das Ziel von XDR ist es, alle Sicherheitsdaten und -warnungen zu korrelierten und eine zentralisierte Erkennungs- und Reaktionsfunktion für Vorfälle mit umfassender Überwachung der gesamten Angriffsfläche bereitzustellen.
XDR integriert eine Reihe von Untersuchungstools, Verhaltensanalysen und automatisierten Abhilfemaßnahmen, die traditionell punktuelle Sicherheitsprodukte waren, in einer einzigen Plattform. Der Fokus liegt auf einer fortschrittlichen Bedrohungserkennung und maßgeschneiderten Reaktionen.
Die neueste Generation von SIEM-Tools bietet zwar XDR-Funktionen, doch handelt es sich dabei häufig – wie bei SOAR-Plattformen - um Add-ons oder Plug-ins, die ihrerseits konfiguriert und eingestellt werden müssen. XDR verfügt hingegen nicht über die Funktionen in Sachen Protokollierung, Aufbewahrung oder Compliance wie SIEM. Daher ist es wichtig, eine XDR-Plattform zu finden, die sich in bestehende Sicherheitskontrollen integrieren lässt oder eine offene Architektur aufweist.
Unabhängig davon, ob sich Unternehmen für den Einsatz unterschiedlicher Produkte oder einer einheitlichen Plattform entscheiden: Sie benötigen Werkzeuge für die Protokollverwaltung und -aufbewahrung sowie die automatische Erkennung von und Reaktion auf Bedrohungen. Nur so ist es angesichts der Bedrohungslage möglich, Daten und Systeme sicher und konform zu halten. Die gewählten Lösungen müssen integriert, konfiguriert und feinabgestimmt werden, um Sicherheitsvorfälle effektiv und effizient zu erkennen und darauf zu reagieren.