SOAR und SIEM – zwei Begriffe, die sich in der Cybersicherheit etabliert haben und viele Gemeinsamkeiten aufweisen. Beide Lösungen sammeln Sicherheitsinformationen aus verschiedenen Quellen. Dennoch grenzen sie sich hinsichtlich ihrer Funktion deutlich voneinander ab. Die Unterschiede und weshalb es durchaus sinnvoll ist, beide Aspekte in die Sicherheitsüberlegungen miteinzubeziehen, erfahren Sie in diesem Beitrag.
Mit der rasanten Zunahme an Geräten in Unternehmen und Datenzentren nimmt die Komplexität zu. Für IT-Administratoren ist es somit nahezu unmöglich, verteilt auftretende Sicherheitsprobleme zu erkennen und darauf zu reagieren. Hier kann ein SIEM helfen, da es die wesentlichen Daten zusammenträgt, normalisiert, analysiert und darauf basierend konsolidierte Aussagen erstellt. Diese Aggregation ist enorm wichtig, da nur so nach bestimmten Mustern über alle gesammelten Daten hinweg gesucht werden kann.
Das sogenannte «Pattern Matching» ist eine der bedeutendsten Eigenschaften von SIEM-Lösungen – allerdings nur, wenn es sorgfältig und zuverlässig ausgeführt wird. Durch die Erkennung bestimmter Muster kann ein SIEM, zusammen mit einem Analysten, Erkenntnisse darüber gewinnen, was effektiv in der gesamten Infrastruktur geschieht. Das funktioniert in Echtzeit, aber auch mit bereits früher gesammelten Daten. Auf Basis dieser Erkenntnisse können dann geeignete Gegenmassnahmen ergriffen werden. SIEM-Lösungen sind zwar sehr gut im Erkennen von Cyberangriffen, erfordern aber dennoch manuelles Eingreifen der Sicherheitsexperten zur Abwehr.
Der Nutzen von SIEM ist unbestritten. So sammeln und aggregieren SIEM-Lösungen Log-Daten aus IT-Infrastrukturen, einschliesslich Anwendungen, Netzwerkverkehr, Endpunktereignisse usw. Aus diesen aggregierten Daten können die Analysten im SOC (Security Operations Center) und CSIRTs (Computer Security Incident Response Team) daraus kritische Ereignisse und Sicherheitsvorfälle erkennen. Anschliessend können weitere Analysen und Reaktionen eingeleitet werden. Die Verarbeitung wird dabei den Sicherheitsteams überlassen, die sich die Daten aus diesen Quellen manuell zusammenstellen müssen, um sich ein vertieftes Gesamtbild der Situation (oder gar des Angriffs) zu verschaffen. Und genau hier liegt das Problem: Viele Daten führen zu mehr Alerts resp. Sicherheitswarnungen. Für die Analysten bedeutet dies ein häufiger Wechsel zwischen verschiedenen Kontexten, Systemen, Daten und Plattformen im Untersuchungsprozess, was zu verzögerten Response-Zeiten führt. Der Mangel an qualifizierten Cyber Security-Experten und die notwendige Einarbeitung in neue Tools tragen ihren Teil dazu bei. Security-Teams sind daher enorm gefordert – nicht selten auch überfordert! Wie praktisch wäre es also, wenn ein Grossteil der Analysen und Reaktionen automatisiert würden? Und genau hier kommt Security Orchestration, Automation and Response (SOAR) ins Spiel.
SOAR ist eine Kombination aus Programmen, welche aus unterschiedlichsten Quellen ergänzende Daten über Sicherheitsbedrohungen sammeln und ohne menschliche Eingriffe automatisch Aktionen auf bestimmte Sicherheitsereignisse einleiten. SOAR übernimmt dabei die:
Da die Komplexität der Cyberangriffsvektoren stetig zunimmt, brauchen Unternehmen intelligente Lösungen, um den steigenden Risiken in einer sich ständig weiterentwickelnden Bedrohungslandschaft zu begegnen. SOAR ist dabei eine der aktuellen Antworten. Security Orchestration, Automation and Response unterstützt – wie es der Name schon sagt – bei der Analyse, Orchestrierung und Reaktionen von Tätigkeiten bei Sicherheitswarnungen. Es stellt somit wertvolle Erkenntnisse sowie Kontext zu Sicherheitsvorfällen bereit und erlaubt es, anpassungsfähige Massnahmen zur Reaktion auf komplexe Cyberbedrohungen umzusetzen. Dynamische Playbooks bieten dazu agile, intelligente und ausgefeilte Funktionen, die für die Bekämpfung komplexer Angriffe erforderlich sind.
Individuelle Playbooks sorgen in einer SOAR-Lösung für die automatische Analyse, Orchestrierung und Reaktion auf Vorfälle und sind vollständig auf die spezifischen Bedürfnisse des jeweiligen Unternehmens anpassbar. Die Aktionen resp. die Reaktionen auf Sicherheitswarnungen können dabei teilweise oder vollständig automatisiert werden. SOAR kann im weitesten Sinne als Workflow-System mit Auswertungsmöglichkeiten und Funktionen zur Verwaltung von Sicherheitsvorfällen bezeichnet verwenden, mit denen der Korrekturstatus von Vorfällen effizient verfolgt und gemeldet werden kann.
Unter Einbezug von AI-Bots (eine auf künstlicher Intelligenz basierende Empfehlungs-Engine) können Empfehlungen auf Incident Response-Reaktionen ausgearbeitet werden. Diese verwenden überwachtes maschinelles Lernen, um Muster von Analystenaktionen zu untersuchen und basierend darauf zukünftige Aktionen zu empfehlen oder zu automatisieren.
Wir haben bereits viel von automatisierten Aktionen und Workflows gesprochen. Aber wie könnten diese Aktionen aussehen? Hier ein paar Beispiele:
SOAR und SIEM schliessen sich also definitiv nicht gegenseitig aus. Deshalb nutzen viele Unternehmen SOAR-Produkte, um eigene Prozesse und Erweiterungen zu bereits bestehender SIEM-Lösungen umzusetzen. Dadurch wird die betriebliche Effizienz verbessert, da durch Automatisierung und Orchestrierung auf priorisierte Bedrohungen mit hohem Risiko reagiert werden kann. SOAR beschleunigt aber auch die Untersuchung durch den Einbezug von Benutzer- und Entitätskontext sowie der AI-basierenden Empfehlungs-Engine, die von ergriffenen Massnahmen der Analysten als Reaktion auf Bedrohungen lernt und anhand der erlernten Massnahmen zukünftige Reaktionsaktionen empfiehlt oder automatisiert. Dies alles reduziert MTTR (Mean-Time-To-Repair; die durchschnittliche Zeit bis zur Auflösung), was schlussendlich entscheidend ist für das Ausmass eines Sicherheitsvorfalls. Daher unsere Empfehlung: Nutzen Sie die Fähigkeiten zur Analyse, Orchestrierung und Reaktion im asymmetrischen Kampf «Mensch gegen Maschine» respektive «Mensch gegen viele Angreifer». Diesem ungleichen Kräfteverhältnis können Sie mit Automatisierung begegnen. Dank SOAR können Sie entscheidende Zeit gewinnen im Kampf gegen die Cyberangreifer!
Cyberkriminalität wird immer professioneller und die Angriffe gezielter. Daher muss heutzutage jedes Unternehmen davon ausgehen, dass Cyberangriffe nicht nur stattfinden, sondern auch erfolgreich sind. Eine wirkungsvolle Abwehr setzt erstklassiges Fachwissen von Cyber-Analysten voraus, ein CSIRT und hochentwickelte Technologien wie SIEM-, SOAR- und Detection- sowie Incident Response-Systeme. Die dafür erforderlichen personellen und finanziellen Ressourcen sind enorm ( mehr dazu lesen Sie in unserem kostenlosen Leitfaden). Deshalb bieten wir unseren Kunden nicht nur dedizierte Beratungsleistungen und Lösungen, sondern bündeln Kompetenz und Technologie in unserem ISO 27001 zertifizierten Cyber Defence Center in der Schweiz. Es steht Ihnen als kompetente Support-Unterstützung, individuelle Cloud und Managed Services oder als Security-as-a-Service rund um die Uhr zur Verfügung. Haben Sie fragen zu SIEM, SOAR oder generell, wie Sie Ihr Unternehmen gegen drohende Cyberattacken schützen können? Unsere Experten stehen Ihnen gerne zur Seite!