Security Orchestration, Automation and Response (SOAR)

Security Orchestration, Automation and Response (SOAR) beschreibt Programme, Funktionen und Prozesse, die es einem Unternehmen ermöglichen, Angriffe nicht nur zu erkennen, sondern auf Sicherheitsbedrohungen auch automatisch ohne menschlichen Eingriff zu reagieren. Der Einsatz von SOAR soll Unternehmen dabei unterstützen, IT-Security-Mitarbeiter zu entlasten und gleichzeitig auf Sicherheitsvorfälle schneller und effizienter zu reagieren. Dadurch verbessert sich der Incident-Response-Prozess, außerdem wird das Bedrohungs- und Schwachstellenmanagement im Unternehmen insgesamt verbessert.

Vom SIEM zum SOAR

SIEM und SOAR haben viele Gemeinsamkeiten. Sowohl SIEM als auch SOAR sammeln Loginformationen aus verschiedenen Quellen, aggregieren sie und verarbeiten sie automatisiert, teilweise durch Nutzung künstlicher Intelligenz (KI) oder intelligenter Algorithmen weiter.

Ein SIEM beschränkt sich jedoch auf die Auswertung der gesammelten Daten um Sicherheitsbedrohungen zu erkennen und alarmiert den verantwortlichen Administrator. Dieser muss dann manuell auf die Bedrohung reagieren und gegebenenfalls Gegenmaßnahmen umsetzen. Ein SOAR geht hier noch einen Schritt weiter und reagiert automatisch, d.h. ohne Eingriff eines Mitarbeiters, mit Maßnahmen zur Abwehr.

Reifegradanalyse

Der Reifegrad eines Unternehmens bezogen auf SOAR kann in vier Stufen unterteilt werden:

  • Reifegrad 1: Das Unternehmen nutzt verschiedene Sicherheitslösungen wie Firewall und Virenscanner, wertet Logfiles jedoch nicht systematisch, sondern nur zufällig oder bei besonderen Vorfällen aus.
  • Reifegrad 2: Es gibt zwar eine systematische, regelmäßige Auswertung der Logfiles. Die verschiedenen Sicherheitslösungen arbeiten jedoch isoliert. Administratoren im SOC (Security Operation Center) müssen die einzelnen Logfiles der verschiedenen Produkte manuell auswerten und analysieren.
  • Reifegrad 3: Logfiles verschiedener IT-Sicherheitslösungen werden in einem SIEM (Security Information and Event Management) zusammengeführt und automatisch ausgewertet. Durch die Korrelation mehrerer Informationsquellen können Ereignisse identifiziert und Administratoren alarmiert werden.
  • Reifegrad 4: Das SIEM alarmiert die SOAR-Lösung, die den Vorfall entsprechend eines vordefinierten Playbooks, einem Drehbuch mit einzelnen Schritten und Handlungsanweisungen, behandelt. In diesem Playbook kann beispielsweise beschrieben werden, dass ein von einem Angreifer genutzter Account automatisch deaktiviert und der zugehörige VPN-Zugang gesperrt wird.

Insbesondere die zentrale Zusammenführung wichtiger Logfiles ist elementare Voraussetzung für die Implementierung einer SOAR-Lösung. Ob die Logfiles dabei in einem SIEM oder direkt im SOAR gesammelt werden ist dabei zweitrangig, da der Trend zu integrierten Lösungen geht, die SIEM und SOAR in einem integrierten System anbieten.

Anforderungen

Eine Lösung für die Sicherheitsorchestrierung und -automatisierung muss verschiedene Anforderungen erfüllen. Dazu gehören beispielsweise:

Flexible Anbindung an vorhandene Systeme: Ihr SOAR braucht Zugriff auf große Datenmengen die in unterschiedlichsten Formaten vorliegen. Logfiles können z.B. per Syslog, Datenbankanbindung, E-Mail, standardisierte Formate wie CEF (Common Event Format) oder über proprietäre Schnittstellen bereitgestellt werden. Außerdem sollten vorhandene SIEM- und sonstige Auswertungssysteme in das SOAR integriert werden können.

Einfache Integration in Ihre Infrastruktur: Hierunter fällt insbesondere die breite Unterstützung von Systemen unterschiedlichster Hersteller, die direkt angesprochen und konfiguriert werden können. Die Zusammenstellung notwendiger Playbooks muss ohne Programmierkenntnisse möglich sein. Dazu gehört aber auch die Möglichkeit der Erweiterung durch selbstentwickelte Software, um eigene Inhouse-Systeme anbinden zu können. Die SOAR-Plattform sollte deshalb entweder über eine API oder durch die Integration von Skriptsprachen wie Python oder Perl.

Unterstützung vorhandener Prozesse: Zugegeben, in einigen Fällen ist es sinnvoll, vorhandene Prozesse oder Workflows bei der Einführung eines SOAR zu hinterfragen und neu zu definieren. In den meisten Fällen wird das SOAR jedoch Schritt für Schritt Prozesse übernehmen und automatisieren, die zuvor manuell ausgeführt wurden. Das SOAR sollte es deshalb erlauben, einzelne Tasks zu automatisieren, während gleichzeitig Zwischenschritte manuell ausgeführt werden oder an verschiedenen Stellen Checkpoints eingebaut werden, an denen ein Analytiker den Stand überprüfen kann und die weitere Prozessausführung freigeben muss.

Umfassende Threat Intelligenz, d.h. Kenntnis aktueller Bedrohungen: Ein SOAR muss eine detaillierte Bibliothek bekannter Bedrohungen, z.B. auf Basis der MITRE ATT&CK Matrix sowie Indikatoren zur Erkennung von Angriffen und sinnvolle Empfehlungen zur Bekämpfung mitbringen. Gleichzeitig müssen False Positive jedoch zuverlässig erkannt werden, um Schaden von Ihrem Unternehmen abzuwenden. Beispielsweise könnte bei Erkennung eines Lateral Movement Angriffs durch einen konkreten Account, dieser Benutzer auf allen Systemen temporär gesperrt werden. Eine vollständige dauerhafte Sperre wird jedoch nicht angebracht sein.

Unsere Leistung

Wir beraten Sie bei der Auswahl und Implementierung Ihrer SOAR-Lösung. Wir bringen einerseits umfangreiche Erfahrung in der Automatisierung und Orchestrierung von Sicherheitslösungen wie Firewalls, VPN-Gateways und Virenschutz allgemein mit. Wir kennen aber auch die verschiedenen Anbieter von SOAR-Lösungen und können den für Sie passenden herausfinden.

Gerne helfen wir Ihnen auch bei der Definition oder Anpassung Ihrer Prozesse und der Erstellung und Implementierung geeigneter Playbooks.