Bekämpfung von Cyberangriffen mit SOAR

Im Wettlauf zwischen Cyberangreifern und Cyberabwehrlösungen haben viele Unternehmen Schwierigkeiten, sich an die wachsende Bedrohung durch zahlreiche hochentwickelte Angriffe anzupassen. Viele setzen daher auf automatisierte Lösungen wie SOAR um Sicherheitsbedrohungen zu erkennen und darauf zu reagieren. Doch was genau ist SOAR? Lesen Sie weiter, um zu erfahren, wofür SOAR steht, was es kann, wie es sich von SIEM unterscheidet und warum Sie beides gemeinsam nutzen sollten.

---

Was ist SOAR Security?

Security Orchestration, Automation and Response (SOAR) ist ein Begriff, der 2017 von Gartner geprägt wurde, um eine Kategorie von Cybersicherheitslösungen zu beschreiben. SOAR ermöglicht es Unternehmen, Daten und Warnmeldungen zu Sicherheitsbedrohungen aus verschiedenen Quellen zu sammeln. Es kann Cybersicherheitsrisiken automatisch identifizieren und priorisieren sowie auf weniger schwerwiegende Sicherheitsvorfälle reagieren.

Viele Organisationen nutzen SOAR-Lösungen in ihren Security Operations Centern (SOCs), um andere Sicherheitstools wie SIEM (Security Information and Event Management) zu ergänzen. SOCs profitieren von den automatisierten Funktionen SOAR da sie Bedrohungen schneller und effizienter begegnen, gleichzeitig den Arbeitsaufwand reduzieren und die Prozesse zur Reaktion auf Sicherheitsvorfälle standardisieren können.

Jede der SOAR-Komponenten –Sicherheitsorchestrierung, Automatisierung und Reaktion– erfüllt eine andere SOC-Funktion. Zu diesen wichtigen Funktionen gehören:

Orchestrierung integriert verschiedene Technologien und vernetzt Sicherheitstools, um die Reaktionsfähigkeit auf Sicherheitsvorfälle zu verbessern. Sicherheitsorchestrierung unterstützt Unternehmen bei der Bewältigung komplexer und häufiger Cybersicherheitsvorfälle. SOAR ermöglicht die Zusammenarbeit von Cybersicherheits- und IT-Betriebslösungen und bietet so einen umfassenden Überblick über die IT-Umgebung eines Unternehmens.

Automatisierung– stellt automatisierte Untersuchungs- und Reaktionswerkzeuge bereit, um die Zeit zu verkürzen, die Sicherheitsteams für die Identifizierung und Behebung von Sicherheitsvorfällen benötigen, und um deren Arbeitsbelastung zu reduzieren. IT-Sicherheitsvorfall-Reaktionsteams (CSIRTs) können SOAR nutzen, um Schritte wie Statusprüfungen, Entscheidungsprozesse, Audits und Durchsetzungsmaßnahmen zu standardisieren und zu automatisieren.

Die Automatisierung kann reaktive und proaktive Sicherheitsmaßnahmen bieten:

• Reaktiv– reagiert auf Vorfälle, verfolgt deren Kennzahlen und bietet Fallmanagement.
• Proaktiv– automatisiert Sicherheitsaufgaben, um SOC-Analysten dabei zu helfen, Schwachstellen und Cybersicherheitsbedrohungen zu identifizieren und so Vorfälle zu verhindern.

Reaktion– Sicherheitsteams können mithilfe von Playbooks automatisierte Arbeitsabläufe ausführen, um zahlreiche Aktionen durchzuführen, wie z. B. Untersuchungen einzuleiten und Bedrohungen einzudämmen und abzuschwächen. SOAR unterstützt Sicherheitsanalysten bei der Bearbeitung von Cybersicherheitsvorfällen und verbessert die Zusammenarbeit mit anderen Teams, um Vorfalldaten auszutauschen und Korrekturen effizienter umzusetzen. SOAR Lösungen bieten Dashboards, die Berichte generieren und Sicherheitsteams Einblicke in vergangene Vorfälle ermöglichen, damit sie besser auf neue Bedrohungen reagieren können.

---

Fähigkeiten und Vorteile der SOAR Technologie

Gartner nennt drei Hauptfähigkeiten der SOAR-Technologien:

• Bedrohungs- und Schwachstellenmanagement– unterstützt Sicherheitsteams bei der Behebung von Schwachstellen über deren gesamten Lebenszyklus hinweg. SOAR Cybersecurity bietet Berichts- und Kollaborationsfunktionen sowie einen formalisierten Workflow.
• Security IR– unterstützt Organisationen bei der Planung, Verwaltung, Verfolgung und Koordinierung ihrer Reaktion auf Sicherheitsvorfälle.
• Automatisierung von Sicherheitsvorgängen– unterstützt die Automatisierung und Orchestrierung von Prozessen, Arbeitsabläufen, Richtlinienausführung und Berichterstellung.

Unternehmen können von SOAR-Lösungen profitieren, da diese wichtige Sicherheitsprozesse transformieren und SOCs dabei helfen, ihre Effizienz zu steigern und die Arbeitsbelastung zu reduzieren. Zu den wichtigsten Vorteilen der SOAR-Technologie gehören:

• Reduzierter manueller Aufwand–SOAR kann automatisch auf Bedrohungen geringer Komplexität reagieren und die Reaktionszeit auf Sekunden verkürzen, wodurch Angreifer weniger Zugriff auf das System haben. Je kürzer die Verweildauer eines Angriffs im System ist, desto schwieriger ist es für das Incident-Response-Team, kritische Schäden zu beheben und den Diebstahl wertvoller Daten zu verhindern.
• Vereinfachte Plattformen–SOAR Anbieter stellen vorgefertigte Sicherheitsleitfäden bereit, die Anwender durch Untersuchungsabläufe führen. Anwender können sich auf die Leistungsfähigkeit von SOAR-Softwarelösungen verlassen und diese in ihre Sicherheitsframeworks integrieren, ohne sich Gedanken über die Automatisierung einzelner Teile machen zu müssen. Einige SOAR Programme priorisieren Bedrohungen automatisch, um weniger erfahrenen Analysten die Auswahl der zu bearbeitenden Vorfälle zu erleichtern.
• Geringerer Schaden durch Angriffe -die Anzahl der notwendigen Schritte, die ein menschliches Eingreifen erfordern, wird reduziert, und Analysten können schneller untersuchen und reagieren, so dass sie früher mit der Schadensbegrenzung beginnen können. SOAR versorgt Analysten mit den wichtigsten Informationen über Angriffe, so dass sie sich schneller mit Bedrohungen befassen können, wenn dies erforderlich ist.
• Multitool-Integration– SOCs nutzen eine Vielzahl von Sicherheitstools verschiedener Anbieter, die nicht immer reibungslos zusammenarbeiten. Einer der Hauptvorteile eines SOAR Systems für Unternehmen ist die Möglichkeit dieser Integration. SOAR ermöglicht Sicherheitsanalysten die Anzeige von IT-Tools wie Asset-Datensätzen, Konfigurationsmanagementsystemen und Helpdesk-Systemen. Viele SOAR Lösungen bieten eine integrierte Multitool-Integration, sodass sie sich problemlos in die Sicherheitsarchitektur einbinden lassen.
• Reduzierte Kosten–SOAR übernimmt automatisch viele mühsame und zeitaufwändige Sicherheitsaufgaben, wie den Umgang mit Fehlalarmen und Warnmeldungen niedriger Priorität, und hilft Unternehmen so, die Betriebskosten zu senken.

---

SOAR vs SIEM

Security Information and Event Management (SIEM) ist eine Kategorie von Sicherheitslösungen, die statistische Korrelationen und andere Regeln nutzt, um Sicherheitsteams basierend auf Ereignissen im Sicherheitssystem und Protokolleinträgen mit verwertbaren Informationen zu versorgen. SOCs können diese Informationen nutzen, um Bedrohungen in Echtzeit zu erkennen, die Reaktion auf Vorfälle zu steuern, Audits für Compliance-Ziele vorzubereiten und vergangene Sicherheitsvorfälle zu untersuchen.

Was ist SOAR im Zusammenhang mit SIEM?

SOAR und SIEM sind zwei Sicherheitstools, die SOC-Teams durch Automatisierung mehr Arbeitskomfort bieten und gleichzeitig die Effizienz steigern. SIEM bietet wertvolle Lösungen zur Datenerfassung und -analyse. Allerdings erzeugen manche SIEM-Lösungen viele Warnmeldungen und erhöhen so die Arbeitsbelastung der SOC-Mitarbeiter.

Viele Unternehmen nutzen SOAR, um die Funktionen von SIEM zu erweitern. SIEM-Systeme erfassen und speichern Daten in einer nutzerfreundlichen Form, die SOAR zur automatischen Untersuchung und Reaktion auf Vorfälle nutzen kann, wodurch der Bedarf an manuellen Eingriffen reduziert wird. Neuere SIEM-Generationen setzen auf Automatisierung und Deep Learning und bieten so ein umfassendes Spektrum an Funktionen und Möglichkeiten.

Führende SIEM-Lösungen wie Exabeam umfassen Benutzer- und Entitätsverhaltensanalyse (UEBA) und SOAR. Durch die Integration von UEBA- und SOAR Funktionen können sie proaktiv vor komplexen Sicherheitsereignissen warnen und darauf reagieren sowie automatisierte Verhaltensprofile erstellen und gleichzeitig automatisch mit IT- und Sicherheitssystemen interagieren, um Vorfälle zu minimieren.

---

SOAR Anwendungsfälle

Werfen wir einen kurzen Blick auf drei Anwendungsfälle, in denen SOAR Sicherheitsplattformen äußerst nützlich sein können.

Umgang mit Sicherheitswarnungen

SOAR Tools können dabei helfen, die folgenden Arten von Sicherheitswarnungen zu erkennen und darauf zu reagieren, die in den meisten Organisationen häufig auftreten:

• Phishing-E-Mails– Das SOAR System kann den Inhalt potenzieller Phishing-E-Mails scannen, ihn mit Bedrohungsdaten anreichern, ein Sicherheits-Playbook ausführen und wiederkehrende Aufgaben wie die Klassifizierung betroffener Benutzer, die Extraktion von Kennzahlen, die Identifizierung von Fehlalarmen und die Vorbereitung einer standardisierten Reaktion zur Beseitigung der Bedrohung automatisieren.
• Fehler bei der Benutzeranmeldung– Wenn die Anmeldung eines Benutzers eine vorbestimmte Anzahl von Malen fehlschlägt, kann das SOAR System ein Playbook auslösen, um die Benutzer zur Eingabe ihrer Daten aufzufordern, die Antworten auszuwerten und die Passwörter der Benutzer, die nicht angemessen reagieren, ablaufen zu lassen.
• Ungewöhnliche Anmeldeversuche– das SOAR System kann verdächtige VPN-Zugriffsversuche erkennen, die Beteiligung eines Cloud Access Security Brokers (CASB) überprüfen, die IP-Quelle überprüfen, das eigentliche Benutzerkonto kontaktieren und die Verbindung blockieren.
• Malware-Infektion von Endgeräten– das SOAR System kann fortlaufend Bedrohungsdaten von Endpoint-Sicherheitstools abrufen, diese mit Daten aus anderen Teilen der Sicherheitsumgebung anreichern, die Dateien mit Daten aus dem SIEM abgleichen, das Sicherheitsteam alarmieren, den Endpunkt neu installieren und die Endpoint-Sicherheitslösung aktualisieren.

Verwalten von Sicherheitsvorgängen

Ein SOAR Tool kann dazu beitragen, Routineaufgaben von Sicherheitsanalysten zu automatisieren:

• Verwalten von SSL-Zertifikaten– Überprüfen, welche Endpunkt-SSL-Zertifikate bald ablaufen, den Benutzer benachrichtigen, den Status regelmäßig überprüfen und bei Bedarf eskalieren.
• Probleme mit Endpunkt-Agenten diagnostizieren– Überprüfen Sie Verbindungsprobleme mit einem Endpunkt-Sicherheitsagenten, öffnen Sie ein Ticket und starten Sie Agenten und Endpunkte bei Bedarf neu.
• Verwalten Sie Schwachstellen– analysieren Sie Daten zu Softwareschwachstellen, fügen Sie Kontext aus CVE-Daten hinzu, ermitteln Sie den Schweregrad von Schwachstellen und übergeben Sie priorisierte Probleme an das Sicherheitsteam.

Ein SOAR Tool kann dazu beitragen, Routineaufgaben von Sicherheitsanalysten zu automatisieren:

• Verwalten von SSL-Zertifikaten– Überprüfen, welche Endpunkt-SSL-Zertifikate bald ablaufen, den Benutzer benachrichtigen, den Status regelmäßig überprüfen und bei Bedarf eskalieren.
• Probleme mit Endpunkt-Agenten diagnostizieren– Überprüfen Sie Verbindungsprobleme mit einem Endpunkt-Sicherheitsagenten, öffnen Sie ein Ticket und starten Sie Agenten und Endpunkte bei Bedarf neu.
• Verwalten Sie Schwachstellen– analysieren Sie Daten zu Softwareschwachstellen, fügen Sie Kontext aus CVE-Daten hinzu, ermitteln Sie den Schweregrad von Schwachstellen und übergeben Sie priorisierte Probleme an das Sicherheitsteam.

---

SOAR Plattformen und die Integration mit SIEM

Laut Gartner ist SOAR Cybersicherheit keine eigenständige Kategorie. Moderne SOAR Lösungen sollten in SIEM-Plattformen integriert werden, um maximalen Nutzen zu erzielen.

Die Exabeam Security Operations Platform kombiniert SIEM-, UEBA- und SOAR Technologien zu einem vollständigen Workflow für Bedrohungserkennung, -untersuchung und -abwehr (TDIR). Als SIEM-Lösung integriert sie fortschrittliche Analysen, Verhaltensanalysen von Benutzern und Entitäten (UEBA) sowie Sicherheitsautomatisierung in eine Log-Management-Lösung, um Unternehmen bei der Erkennung komplexer Bedrohungen wie kompromittierter Zugangsdaten zu unterstützen.

Exabeam bietet SOAR Komponenten als Teil seiner führenden SIEM-Plattform an:

Exabeam Incident Responder –Sicherheitsfallmanagement, Integration mit Tools von Drittanbietern, Sicherheitsorchestrierung und Sicherheits-Playbooks für eine vollständig automatisierte Reaktion auf Vorfälle.

Exabeam Turnkey Playbooks –vorgefertigte, automatisierte, wiederholbare Workflows zur Untersuchung kompromittierter Anmeldeinformationen, Malware oder böswilliger Insider, sodass Analysten mit einem einzigen Produkt auf gängige Sicherheitsszenarien wie Phishing reagieren können.

Exabeam Case Manager– ermöglicht Analysten, Warnungen von Exabeam und anderen Sicherheitstools in Vorfälle zu organisieren, die weitere Untersuchungen oder Reaktionen erfordern, und hilft dem Analysten, eingehende Ereignisse nach Bedarf zu sortieren.

Exabeam Threat Hunter– unterstützt Sicherheitsanalysten bei der schnellen Suche über eine benutzerfreundliche Oberfläche, um Muster in historischen Sicherheitsdaten aus verschiedenen Quellen zu erkennen. Die Lösung erstellt automatisch vollständige Zeitleisten für jeden Sicherheitsvorfall und verkürzt so den Untersuchungsaufwand erheblich.