Was ist SOAR?

SOAR (Security Orchestration, Automation and Response) bezeichnet eine Reihe von Funktionen, mit denen IT-Systeme vor Bedrohungen geschützt werden.

SOAR umfasst drei wichtige Softwarefunktionen, die Sicherheitsteams verwenden: Case- und Workflow-Management, Aufgabenautomatisierung sowie eine zentrale Methode, um Bedrohungsinformationen (die so genannte Threat Intelligence) aufzurufen, zu durchsuchen und zu teilen. Der Begriff SOAR wurde von der Analystengruppe Gartner geprägt. Security Analysts definieren SOAR auch mit anderen Begriffen: IDC bezeichnet das Konzept als Security Analytics, Intelligence, Response, and Orchestration (AIRO), und Forrester beschreibt die gleichen Funktionen als Security Automation and Orchestration (SAO).

SOAR wird üblicherweise in Koordination mit dem Security Operations Center (SOC) einer Organisation implementiert. SOAR-Plattformen überwachen Threat-Intelligence-Feeds und lösen automatisierte Reaktionen auf Sicherheitsprobleme aus. So können die IT-Teams Bedrohungen in zahlreichen komplexen Systemen schnell und effizient minimieren.

Egal, ob Sie bereits ein ausgereiftes und etabliertes SOC haben oder Ihre Organisation erst am Anfang ihrer Sicherheitstransformation steht: Best Practices beim Schwachstellenmanagement zufolge sollte jeder Sicherheitsvorfall dokumentiert und als Case gemanagt werden. Case-Management-Praktiken sind die Methoden, nach denen Vorfälle dokumentiert werden und Wissen über die Bedrohung gesammelt wird. So wird dafür gesorgt, dass Sicherheitsbedrohungen identifiziert, dem Risiko entsprechend priorisiert und untersucht werden. Außerdem können Reaktionen auf den Vorfall dokumentiert und innerhalb von Organisationen und Communities geteilt werden. 

SOAR-Technologie bietet für häufige Use Cases oft vorkonfigurierte Workflows. Wenn diese standardisierten Use Cases die besonderen Anforderungen Ihrer Organisation nicht erfüllen, können sie durch eine kundenspezifische Entwicklung entsprechend angepasst werden.

Unter Sicherheitsautomatisierung versteht man die Durchführung von Sicherheitsprozessen ohne manuelles Eingreifen. Im Bereich der Sicherheit besteht ein erhöhter Automatisierungsbedarf, wenn eine komplexe Infrastruktur vorliegt, deren verschiedene Komponenten nicht miteinander integriert sind. Wie können Sie feststellen, welche Aufgaben automatisiert werden sollten? Beantworten Sie folgende Fragen:

1. Ist es eine Routineaufgabe? Muss sie regelmäßig ausgeführt werden?
2. Ist die Aufgabe eintönig? Muss eine bestimmte Schrittfolge immer wieder ausgeführt werden? 
3. Ist die Aufgabe zeitaufwändig? Nehmen diese Schritte sehr viel Zeit in Anspruch?

Wenn Sie eine dieser Fragen mit „Ja" beantwortet haben, kann Automatisierung Ihnen helfen. Die möglichen positiven Auswirkungen für Ihre Organisation sind zahlreich: reduzierte menschliche Fehler, erhöhte Effizienz und Geschwindigkeit sowie verbesserte Konsistenz bei der Reaktion auf Sicherheitsvorfälle.

Ein Hauptvorteil der Aufgabenautomatisierung besteht darin, dass Sicherheitsteams dadurch effizienter arbeiten und ihre Zeit für andere Bereiche nutzen können. Da es schlichtweg nicht genügend Sicherheitsexpertinnen und -experten gibt, um den Bedarf aller Unternehmen zu decken, kann die Automatisierung dazu beitragen, diesen Talentmangel auszugleichen, indem sie die Sicherheitsteams bei ihrer Arbeit unterstützt und sie beschleunigt.

Sicherheitsteams müssen sich mit einer Vielzahl unterschiedlicher Tools und Produkte auseinandersetzen, wie beispielsweise EDR-Software (Endpoint Detection and Response), Firewalls und SIEM-Lösungen (Security Information and Event Management), die wahrscheinlich nicht miteinander integriert sind. Eine manuelle Verwaltung kann dabei zu einer verlangsamten Erkennung und Behebung von Problemen, zu Fehlern bei der Ressourcenkonfiguration und zu einer inkonsistenten Durchsetzung von Richtlinien führen. Dadurch werden Systeme anfällig für schwerwiegende Angriffe und Compliance-Probleme. Die Automatisierung kann tägliche Betriebsabläufe optimieren und von Anfang an Sicherheit in Prozesse, Anwendungen und Infrastruktur integrieren – wie bei einem DevSecOps-Ansatz.

Werden Sicherheitsverletzungen innerhalb von 200 Tagen oder weniger identifiziert und bekämpft, lassen sich laut Ponemon Institute die Kosten um durchschnittlich USD 1,22 Millionen senken. Die schnelle Erkennung von Bedrohungen kann die Wahrscheinlichkeit von Sicherheitsverletzungen und die damit verbundenen Kosten verringern. Jedoch kann sich die Behebung in mehreren Plattformen und Tools als kompliziert, zeitaufwändig und fehleranfällig gestalten.

Während manuelle Prozesse die Identifizierung von Bedrohungen in komplexen IT-Ökosystemen verzögern können, kann die Automatisierung von Sicherheitsprozessen Unternehmen dabei unterstützen, Bedrohungen schnell und ohne manuelle Eingriffe zu identifizieren, zu validieren und zu eskalieren. Mithilfe der Automatisierung können Sicherheitsteams die Reaktionszeiten verbessern und gleichzeitig die Problembehebung in den betroffenen Systemen in ihren Umgebungen anwenden.

Die Orchestrierung basiert auf Prozessen, die Automatisierung auf Aufgaben. Sicherheitsorchestrierung bezeichnet das Verfahren, wie Sie unterschiedliche Sicherheitstools und -systeme verbinden und integrieren, um Ihre Reaktions-Workflows zu optimieren. Durch die Verbindung Ihrer Tools und Systeme – und der Prozesse, die sie steuern – können Sie die Vorteile der Automatisierung in Ihren Umgebungen nutzen.

Die Automatisierung kann Workflows vereinfachen, aber für einen der wertvollsten Aspekte von SOAR sind Menschen erforderlich: die hochleistungsfähige Sicherheitsorchestrierung. Bei einer Orchestrierung definieren die IT-Teams den Prozess, gemäß dem die automatisierten Aufgaben ausgeführt werden. Die Orchestrierung von Sicherheitsprozessen basiert darauf, dass Menschen in diesen Teams entscheiden, was, warum und wann automatisiert wird.

Threat Intelligence umfasst das Wissen, das man über vorhandene und neue Sicherheitsbedrohungen für die Assets Ihrer Organisation hat. Viele Sicherheitslücken-Datenbanken dienen als Quelle für Threat Intelligence. Referenzmethoden wie die CVE-Liste machen es einfacher, diese Schwachstellen zu identifizieren, da sie auf allen Datenbanken und Plattformen geteilt werden können. Threat-Intelligence-Plattformen sammeln dieses Wissen über eine Vielzahl an Feeds. SOAR-Tools verwenden mehrere Threat-Intelligence-Feeds, um potenzielle Bedrohungen zu erkennen. SOAR fasst diese Feeds in einer einheitlichen Quelle zusammen, die dann von Teams durchsucht und genutzt werden kann, um Automatisierungsaufgaben zu starten.

Organisatorisch gesehen ist das SOC Ihr Reaktionszentrum für Sicherheitsvorfälle. Es kann trotzdem immer noch schwierig sein, die vielen Abteilungen Ihres Unternehmens zu koordinieren und mit ihnen zu kommunizieren. Die Automatisierung kann hier als vereinigende Kraft und als gemeinsame Sprache zwischen den Abteilungen dienen. Eine Automatisierungslösung für Ihre Plattformen – in jeder Abteilung – kann klare Interaktionskanäle schaffen, die das Erkennen und Einordnen der akuten Sicherheitsbedrohungen vereinfachen.

Unternehmensfähige Open Source-Software verwendet ein Entwicklungsmodell, das Testprozesse und Performance Tuning verbessert. Gestützt wird dieses Modell in der Regel durch ein dediziertes Sicherheits-Team, durch Prozesse, die auf neue Sicherheitsschwachstellen reagieren, und durch Protokolle, die den Nutzer über Sicherheitsprobleme (inklusive Schritte zur Behebung) informieren. All dies stellt eine verbesserte Version des Open Source Web of Trust dar, das Ihnen im Bereich der IT-Sicherheit Unterstützung rund um die Uhr bietet.

Mit der Red Hat® Ansible® Automation Platform können Sie verschiedene Sicherheitslösungen automatisieren und integrieren. Dadurch können Bedrohungen im gesamten Unternehmen einfacher gefunden werden. Sie können schneller auf koordinierte und einheitliche Weise reagieren, da Sie durch eine kuratierte Sammlung von Modulen, Rollen und Playbooks unterstützt werden. Über APIs, SSH, WinRM und andere standardmäßige oder vorhandene Zugriffsmethoden können Sie zudem externe Anwendungen integrieren.

Ansible Automation Platform ermöglicht Full Stack-Prozesse von der Infrastruktur bis zu den Anwendungen, sodass alle Bestandteile durch eine einheitliche Schicht von Sicherheitstechnologien koordiniert werden. Sicherheits-Operations-Teams können Ansible Automation Platform auch dafür nutzen, andere Unternehmensanwendungen zu managen – zum Beispiel SOAR-Lösungen.