Anmelden / Registrieren Konto

SICHERHEIT

Was ist SOAR?

Jump to section

SOAR (Security Orchestration, Automation and Response) bezeichnet eine Reihe von Funktionen, mit denen IT-Systeme vor Bedrohungen geschützt werden.

SOAR umfasst drei wichtige Software-Funktionen, die Sicherheits-Teams verwenden: Case- und Workflow-Management, Aufgabenautomatisierung sowie eine zentrale Methode, um Bedrohungsinformationen (die so genannte Threat Intelligence) aufzurufen, zu durchsuchen und zu teilen. Der Begriff SOAR wurde von der Analystengruppe Gartner geprägt. Andere Analysten beschreiben SOAR mit anderen Begriffen: IDC bezeichnet das Konzept als AIRO (Security Analytics, Intelligence, Response and Orchestration). Forrester verwendet für dieselben Funktionen die Abkürzung SAO (Security Automation and Orchestration). 

SOAR wird üblicherweise in Koordination mit dem Security Operations Center (SOC) einer Organisation implementiert. SOAR-Plattformen können Threat-Intelligence-Feeds überwachen und automatische Reaktionen auslösen, um Sicherheitsprobleme zu beheben.

Case- und Workflow-Management in SOAR

Egal, ob Sie bereits ein ausgereiftes und etabliertes SOC haben oder Ihre Organisation erst am Anfang ihrer Sicherheitstransformation steht: Best Practices zufolge sollte jeder Sicherheitsvorfall dokumentiert und als Case gemanagt werden. Case-Management-Praktiken sind die Methoden, nach denen Vorfälle dokumentiert werden und Wissen über die Bedrohung gesammelt wird. So wird dafür gesorgt, dass Sicherheitsbedrohungen identifiziert, dem Risiko entsprechend priorisiert und untersucht werden. Außerdem können Reaktionen auf den Vorfall dokumentiert und innerhalb von Organisationen und Communities geteilt werden. 

SOAR-Technologie bietet für häufige Use Cases oft vorkonfigurierte Workflows. Wenn diese standardisierten Use Cases die besonderen Anforderungen Ihrer Organisation nicht erfüllen, können sie durch eine kundenspezifische Entwicklung entsprechend angepasst werden.

Automatisierung und Orchestrierung von Aufgaben

Unter Sicherheitsautomatisierung versteht man die Durchführung von Sicherheitsprozessen ohne manuelles Eingreifen. Im Bereich der Sicherheit besteht ein erhöhter Automatisierungsbedarf, wenn eine komplexe Infrastruktur vorliegt, deren Komponenten nicht miteinander integriert sind. Wie können Sie feststellen, welche Aufgaben automatisiert werden sollten? Beantworten Sie folgende Fragen:

  1. Ist es eine Routineaufgabe? Muss sie regelmäßig ausgeführt werden?
  2. Ist die Aufgabe eintönig? Muss eine bestimmte Schrittfolge immer wieder ausgeführt werden? 
  3. Ist die Aufgabe zeitaufwändig? Nehmen diese Schritte sehr viel Zeit in Anspruch?

Wenn Sie eine dieser Fragen mit „Ja“ beantwortet haben, kann Automatisierung Ihnen helfen. Die möglichen positiven Auswirkungen für Ihre Organisation sind zahlreich: weniger menschliche Fehler, höhere Effizienz und Geschwindigkeit sowie konsistentere Reaktionen.

Was spricht für die Automatisierung von Sicherheitsprozessen?

Ein Hauptvorteil der Aufgabenautomatisierung besteht darin, dass Sicherheitsteams dadurch effizienter arbeiten und ihre Zeit für andere Bereiche nutzen können. Automatisierung kann einem Unternehmen dabei helfen, Kompetenzlücken in seiner Branche zu schließen. Und es gibt einfach nicht genügend Sicherheitsexperten, die die Anforderungen eines jeden Unternehmens erfüllen können. Durch die Automatisierung von Sicherheitsaufgaben können diese Teams mehr Arbeit in kürzerer Zeit erledigen.

Sicherheitsteams haben mit zahlreichen unterschiedlichen Tools und Produkten zu kämpfen, die vermutlich nicht miteinander integriert sind. Eine manuelle Verwaltung kann dabei zu einer verlangsamten Erkennung und Behebung von Problemen, zu Fehlern bei der Ressourcenkonfiguration und zu einer inkonsistenten Durchsetzung von Richtlinien führen. Dadurch werden Ihre Systeme anfällig für schwerwiegende Angriffe und Compliance-Probleme. Mithilfe von Automatisierung können Sie tägliche Betriebsabläufe optimieren und von Anfang an Sicherheit in Prozesse, Anwendungen und Infrastruktur integrieren – wie bei einem DevSecOps-Ansatz. Vollständig automatisierte Sicherheitsprozesse können sogar die Gesamtkosten einer Sicherheitsverletzung um 95 % senken.

Durch die schnelle Erkennung einer Bedrohung können die Wahrscheinlichkeit für das Auftreten einer Sicherheitsverletzung in Ihrem Unternehmen sowie die mit einer Verletzung verbundenen Kosten gesenkt werden. Werden Sicherheitsverletzungen innerhalb von 200 Tagen oder weniger identifiziert und bekämpft, lassen sich die Kosten um durchschnittlich USD 1,22 Millionen senken. Manuelle Prozesse können die Erkennung von Bedrohungen in komplexen IT-Umgebungen verzögern und so Ihr Unternehmen gefährden. Indem Sie Ihre Sicherheitsprozesse automatisieren, können Sie Bedrohungen schneller und ohne manuelle Eingriffe erkennen, validieren und eskalieren.

Allerdings kann sich die Behebung bei mehreren Plattformen und Tools als extrem komplex, zeitaufwändig und fehleranfällig gestalten. Mithilfe der Automatisierung können Sicherheitsteams die Fehler in den betroffenen Systemen in Ihrer gesamten Umgebung rasch und gleichzeitig beheben und insgesamt schneller auf Vorfälle reagieren.

Der Unterschied zwischen Automatisierung und Orchestrierung

Sicherheitsorchestrierung bezeichnet das Verfahren, wie Sie unterschiedliche Sicherheitstools und -systeme verbinden und integrieren, um Ihre Prozesse zu optimieren. Durch die Verbindung Ihrer Tools und Systeme können Sie die Vorteile der Automatisierung in all Ihren Umgebungen nutzen. Die Orchestrierung basiert auf Prozessen, die Automatisierung auf Aufgaben. Den Hauptunterschied zwischen Orchestrierung und Automatisierung bildet der Mensch. Die allgemeine Sicherheitsorchestrierung stellt den größten Wert von SOAR dar. Und bei einer Orchestrierung definieren die Teams den Prozess, gemäß dem die automatisierten Aufgaben ausgeführt werden. Die Orchestrierung von Sicherheitsprozessen basiert darauf, dass Menschen in diesen Teams entscheiden, was, warum und wann automatisiert wird.

Zentrale Threat Intelligence

Threat Intelligence umfasst das Wissen, das man über vorhandene und neue Sicherheitsbedrohungen für die Assets Ihrer Organisation hat. Viele Sicherheitslücken-Datenbanken dienen als Quelle für Threat Intelligence. Referenzmethoden wie die CVE-Liste machen es einfacher, diese Schwachstellen zu identifizieren, da sie auf allen Datenbanken und Plattformen geteilt werden können. Threat-Intelligence-Plattformen sammeln dieses Wissen über eine Vielzahl an Feeds. SOAR-Tools verwenden mehrere Threat-Intelligence-Feeds, um potenzielle Bedrohungen zu erkennen. SOAR fasst diese Feeds in einer einheitlichen Quelle zusammen, die dann von Teams durchsucht und genutzt werden kann, um Automatisierungsaufgaben zu starten.

Organisatorisch gesehen ist das SOC Ihr Reaktionszentrum für Sicherheitsvorfälle. Es kann trotzdem immer noch schwierig sein, die vielen Abteilungen Ihres Unternehmens zu koordinieren und mit ihnen zu kommunizieren. Die Automatisierung kann hier als vereinigende Kraft zwischen den Abteilungen dienen – und als gemeinsame Sprache. Eine Automatisierungslösung für alle Ihre Plattformen und Abteilungen kann klare Interaktionskanäle schaffen, wenn es darum geht, auf Sicherheitsbedrohungen zu reagieren.

Wie kann Red Hat Sie unterstützen?

Unternehmensfähige Open Source-Software verwendet ein Entwicklungsmodell, das Testprozesse und Performance Tuning verbessert. Gestützt wird dieses Modell in der Regel durch ein dediziertes Sicherheits-Team, durch Prozesse, die auf neue Sicherheitsschwachstellen reagieren, und durch Protokolle, die den Nutzer über Sicherheitsprobleme (inklusive Schritte zur Behebung) informieren. All dies stellt eine verbesserte Version des Open Source Web of Trust dar, das Ihnen im Bereich der IT-Sicherheit Unterstützung rund um die Uhr bietet.

Mit der Red Hat® Ansible® Automation Platform können Sie verschiedene Sicherheitslösungen automatisieren und integrieren. Dadurch können Bedrohungen im gesamten Unternehmen einfacher gefunden werden. Sie können schneller auf koordinierte und einheitliche Weise reagieren, da Sie durch eine kuratierte Sammlung von Modulen, Rollen und Playbooks unterstützt werden. Über APIs, SSH, WinRM und andere standardmäßige oder vorhandene Zugriffsmethoden können Sie zudem externe Anwendungen integrieren.

Red Hat Ansible ermöglicht Full Stack-Prozesse von der Infrastruktur bis zu den Anwendungen, sodass alle Bestandteile durch eine einheitliche Schicht von Sicherheitstechnologien koordiniert werden. Sicherheitsteams können Red Hat Ansible auch dafür nutzen, andere Unternehmensanwendungen zu managen – zum Beispiel SOAR-Lösungen.

Wir haben die Tools, Sie haben die Talente

Red Hat Ansible Automation Platform

Eine agentenlose Automatisierungsplattform.

Red Hat Insights

So identifizieren und beheben Sie Sicherheits-, Compliance- und Konfigurationsrisiken in Ihren Red Hat® Enterprise Linux® Umgebungen.