valerybrozhinsky - stock.adobe.c
Sechs gute Gründe für die Einführung von SOAR im SOC
Die hohe Zahl von Alerts kann von menschlichen Analysten nicht mehr bewältigt werden. SOAR automatisiert viele Arbeiten im SOC und schafft so wieder Zeit für aufwendigere Aufgaben.
Der „Hacker-Powered Security Report 2022“ von HackerOne hat ergeben, dass 88 Prozent der befragten ethischen Hacker der Meinung sind, dass die Angriffsflächen in Unternehmen wachsen. Angesichts des Wertes der digitalisierten Unternehmensressourcen und der sich ausweitenden Topologie der IT-Infrastruktur und Big Data stehen Unternehmen vor einer dringenden Frage: Wie sollen sie auf die zunehmende Menge und Vielfalt der Bedrohungen reagieren?
Viele Unternehmen beginnen damit, grundlegende Aufgaben des Security Operations Center (SOC) zu automatisieren. Die Automatisierung trägt dazu bei, dass Bedrohungen schneller und flexibler erkannt und beseitigt werden können, während gleichzeitig der Zeit- und Arbeitsaufwand für diese Aufgaben reduziert wird (siehe auch Kostenloses E-Handbook: Mit einem SOC die Security erhöhen). Hinter der Weiterentwicklung Security Orchestration, Automation and Response (SOAR) verstecken sich mehrere Technologien und Überlegungen, mit denen die Abläufe im SOC weiter automatisiert werden können.
SOAR umfasst die folgenden Funktionen in einem SOC-Kontext:
- Die Orchestrierung der Security-Maßnahmen sorgt dafür, dass die verschiedenen Werkzeuge im SOC miteinander verbunden und koordiniert eingesetzt werden können. So erhalten die Betreiber einen besseren Einblick in aktuelle Bedrohungen, mehr Informationen über Gefahren und sicherheitsrelevante Vorfälle sowie ein besseres Monitoring.
- Die Automatisierung hilft SOCs, eine proaktivere Sicherheitshaltung einzunehmen, indem sie automatisch Workflows, Aufgaben und Warnmeldungen auf der Grundlage vordefinierter Parameter auslöst.
- Response beschleunigt allgemeine und gezielte SOC-Reaktionen auf Vorfälle mit geringerem Risiko und unterstützt die Reaktion von Analysten, indem es eine einzige Ansicht für den Zugriff, die Abfrage und den Austausch von Bedrohungsdaten ermöglicht.
Innerhalb dieser drei Kategorien gibt es eine Vielzahl von Möglichkeiten, wie die Automatisierung von ehemals manuellen Aufgaben beschleunigt werden kann. Der Hauptwert von SOAR-Tools liegt in der Unterstützung menschlicher Analysten bei der Skalierung und Automatisierung sich wiederholender und langwieriger Aufgaben, damit sich die SOC-Mitarbeiter auf komplexere Bedrohungen konzentrieren können.
Im Folgenden finden Sie sechs gute Gründe für SOAR, die die Arbeit der Sicherheitsanalysten im SOC verbessern:
1. Bessere Koordinierung im Bereich Threat Intelligence
Jeden Tag verarbeiten SOAR-Plattformen hunderttausende von IOCs (Indicators of Compromise). Die Daten stammen aus internen und externen Threat-Intelligence-Feeds, aus Malware-Analyse-Tools, aus EDR-Lösungen (Endpoint Detection and Response), SIEM-Systemen (Security Information and Event Management), aus Tools zur Netzwerkanalyse und -überwachung, Mailboxen, RDS-Feeds, von Regulierungsbehörden und aus zahlreichen weiteren Quellen. SOAR-Plattformen fassen diese Alerts zusammen, verarbeiten und priorisieren sie und erkennen darin neue IOCs.
2. Fallmanagement
Potenzielle Bedrohungen können durch zahlreiche verschiedene Tools aufgespürt werden. Deswegen geht in der Regel sehr viel wertvolle Zeit verloren, während sich die Analysten durch die anfallenden Daten arbeiten. Mit SOAR ist es dagegen möglich, die verschiedenen Informationen zu einem Ereignis in einem einzigen Fall zusammenzufassen. Dadurch können sie schneller bearbeitet werden. Die mittleren Zeiten zum Entdecken und Reagieren auf Vorfälle, sei es durch Automatisierung oder durch menschliche Eingriffe, sinken in der Folge.
3. Schwachstellenmanagement
In der Vergangenheit waren die meisten in einem SOC beschäftigten Analysten auf ein mehrheitlich manuelles Bearbeiten von Sicherheitslücken angewiesen. Durch den Umstieg auf SOAR lassen sich jedoch viele dieser Aufgaben automatisieren, so dass sogar automatisierte Reaktionen auf einfache sicherheitsrelevante Vorfälle durchgeführt werden können. SOAR korreliert die Daten verschiedener eingesetzter Sicherheitslösungen, um das Risiko einer bestimmten Bedrohung zu erkennen und um den vermuteten Gefährlichkeitsgrad zu bestimmen.
4. Automatisches Anreichern von Daten für Gegenmaßnahmen
SOAR-Plattformen beschleunigen das Anreichern von IOC-Daten, indem sie auf die verschiedenen zur Verfügung stehenden Datenbanken zugreifen oder indem sie unterschiedliche Threat-Intelligence-Tools nutzen. So lassen sich Zusammenhänge leichter erkennen. Die Mitarbeiter können die anfallenden Daten genauer und effizienter untersuchen, verifizieren, sichten und dann gegebenenfalls angemessen reagieren. Dieser Anwendungsfall spart den Analysten viel Zeit, da deutlich schneller Daten zu IP-Adressen, URLs und Hashes auf verdächtige Hinweise überprüft werden können, ohne dabei die erforderliche Tiefe der Untersuchungen zu beeinträchtigen.
5. Threat Hunting
Jenseits der Verarbeitung der Daten und ihrer Anreicherung dient das Entdecken von IOCs durch SOAR-Plattformen auch als eine Art proaktives Jagen nach Gefahren im Unternehmen. Dieses Threat Hunting gehört zu den wichtigsten Aufgaben der menschlichen Analysten. Es wird allerdings immer zeitaufwendiger, da laufend neue Bedrohungen gefunden werden. SOAR ist daher hilfreich, um eine Überlastung und Ermüdung der Mitarbeiter zu vermeiden. Das gilt ebenso für die damit mögliche Skalierung nach oben, indem einfach immer mehr Datensätze hinzugefügt werden, um sie automatisch zu analysieren. Darüber hinaus ist SOAR bei der Jagd nach Bedrohungen hilfreich, indem es nach Malware oder verdächtigen Domains sucht und an entscheidenden Punkten auch menschliche Entscheidungen mit einbezieht.
6. Reaktionen auf Vorfälle
Die Automatisierung der Prozesse zur Behebung von Vorfällen und zur Reaktion darauf kann Bedrohungen bereits im Vorfeld verhindern. Spätere Kosten lassen sich damit vermeiden. SOAR sorgt für schnellere Reaktionen auf häufiger anzutreffende sicherheitsrelevante Vorfälle. Man denke nur an Phishing, Malware, Denial of Service (DoS), Manipulationen an Webseiten oder auch Ransomware.
Je nach Art der Bedrohung können die automatischen Reaktionen viele unterschiedliche Formen annehmen. Ein paar Beispiele:
- automatisches Hinzufügen von Indikatoren auf Beobachtungslisten,
- automatisches Blockieren bösartiger Indikatoren,
- automatisches Patchen von Infrastruktur-Hardware/Software.
- Quarantäne für bestimmte Indikatoren oder verseuchte Endgeräte,
- automatisches Erstellen von Tickets,
- automatisches Blockieren verdächtiger E-Mails oder IP-Adressen,
- automatisches Löschen verdächtiger E-Mails aus anderen Postfächern,
- automatisches Löschen von Benutzerkonten,
- automatisches Durchführen von Antiviren-Scans oder Überprüfungen auf die Einhaltung der Compliance-Vorgaben sowie
- automatische Benachrichtigung von bestimmten Analysten, Mitarbeitern, Lieferanten, Partnern oder Kunden.
Einer der wichtigsten Vorteile von SOAR ist das Teilen von Informationen zwischen verschiedenen Sicherheitstechnologien. Das setzt Kapazitäten bei den menschlichen Analysten frei, da sie sich auf kompliziertere Bedrohungen konzentrieren können. Außerdem wird dadurch die Threat Intelligence verbessert. Von der Verarbeitung, über die Anreicherung bis zur Erkennung von Bedrohungen, dem Sichten, der Reaktion und der Eindämmung von Gefahren trägt SOAR im Security Operations Center also dazu bei, einen größeren Überblick über die gesamte IT-Security-Situation zu erhalten.
Es ist zu erwarten, dass sich SOAR künftig weiterentwickelt, um den Bedarf an Mensch-Maschine-Orchestrierung noch weiter zu reduzieren. Heute benötigen SOAR-Systeme noch immer Input von SecOps-Teams, um komplexe Entscheidungen zu treffen und automatisierte Aufgaben anzustoßen. Je stärker die KI in SOAR-Systemen wird und je mehr sich SecOps-Teams damit anfreunden können, KI und Automatisierung komplexere Entscheidungsaufgaben zu überlassen, desto weiter werden sich SOAR-Plattformen in Richtung Autonomie bewegen.
Es ist erwähnenswert, dass SOAR nicht nur für die Automatisierung von Sicherheits-Playbooks, sondern auch für deren Optimierung nützlich ist. SOAR kann nicht nur die individuelle Erfahrung eines Analysten verbessern, sondern auch die Fähigkeit des SOC-Teams, über eine zentralisierte und hochgradig gemeinsam nutzbare Plattform unternehmensweit zu kommunizieren. Bei ordnungsgemäßer Implementierung und unter Berücksichtigung kultureller und branchenspezifischer Erwägungen kann die Implementierung von SOAR-Anwendungsfällen die Grundlage für die Sicherheitslage eines Unternehmens stärken.