Spionage, Sabotage, Datendiebstahl und vieles mehr: die IT-Sicherheitslage in Deutschland spitzt sich unverändert zu. Deshalb sind wirksame Sicherheitsmaßnahmen gefragt, um IT-Systeme zuverlässig zu schützen und das Thema Automatisierung nachhaltig voranzutreiben. Eine effektive Möglichkeit dazu bietet das Sicherheitskonzept SOAR (Security Orchestration Automation Response). Hierbei werden über eine integrierte Plattform-Lösung verschiedene Sicherheitswerkzeuge und Programme kombiniert, die laufend Informationen zu potenziellen Bedrohungen sammeln und analysieren. Kommt es zu einem Ereignis, welches die IT-Sicherheit eines Unternehmens betrifft, werden über SOAR umgehend automatisierte Aktionen angestoßen, um Angriffe abzuwehren.
Was genau hinter dem Konzept steckt, wie SOAR funktioniert und welche Vorteile sich für Unternehmen durch den Einsatz der Plattform ergeben, erfahren Sie hier.
Die IT-Sicherheit kontinuierlich auf einem hohen Niveau zu halten und Sicherheitslücken umgehend zu schließen, bedeutet enormen Aufwand. Tägliche Routineaufgaben nehmen bereits einen Großteil der Zeit ein, die besonders in kleineren Unternehmen dann an anderer Stelle fehlt, etwa bei der Überprüfung der Systeme auf Schwachstellen. Effizienter ist es, solche Sicherheitsprozesse zu automatisieren. Denn besonders hinsichtlich der immer komplexer werdenden IT-Infrastrukturen – und in diesem Sinne zeitgleich auch der technologisch fortgeschrittenen Bedrohungen – kann Automatisierung dabei unterstützen, solchen Herausforderungen besser zu begegnen. Auch die Anzahl der Clients spielt eine wichtige Rolle: je mehr Systeme im Einsatz sind, desto einfacher werden diese mit Konzepten wie SOAR synchronisiert und geschützt.
SOAR verbindet Prozesse, Plattformen und Sicherheitstools, um die IT-Sicherheit eines Unternehmens ganzheitlich abzubilden und automatisierte Workflows zu erstellen. Je nach Systemlandschaft und IT-Architektur fallen die notwendigen Technologien innerhalb einer SOAR-Strategie unterschiedlich aus, doch in der Regel kommen folgende Komponenten zum Einsatz:
• Schwachstellenmanagement
Über veraltete Programme, fehlerhafte Konfigurationen und Sicherheitslücken können sich Cyberkriminelle Zugang zu geschützten Systemen verschaffen. Mit einem umfassenden und softwaregestütztem Schwachstellenmanagement lassen sich sämtliche Clients automatisch aktualisieren und ungewollte Zutrittsmöglichkeiten schließen. Automatische Scans über eine SOAR-Plattform sorgen dafür, dass Schwachstellen meist effektiver identifiziert und umgehend behoben.
• Desktop Automation
IT-Administratoren können mittels einer Desktop Automation komplexe Prozesse standardisieren und automatisieren. Für die Bewältigung von administrativen Aufgaben dienen Client Commands, die sich meist bequem über Drag-and-Drop erstellen lassen. Eine weitere Entlastung stellt die automatische Verschiebung von Clients in vordefinierte Filter dar. Zum Beispiel, wenn ein System sich an einem anderen Standort anmeldet, werden die passenden Laufwerke und Sicherheitseinstellungen geladen.
• Managed Software
Mithilfe von Software-Bundles können Updates für verschiedenste Third-Party-Softwares planbar verteilt und durchgeführt werden. Befindet sich beispielsweise ein Mitarbeiter eines Unternehmens im Urlaub und wird in dieser Zeit eine neue Version einer Third-Party-Software (zum Beispiel Internetbrowser wie Google Chrome) veröffentlicht, wird das Update dennoch für den entsprechenden Client bereitgestellt – und automatisch installiert, sobald das System wieder gestartet wird.
• Patch-Management
Zu einem SOAR-Sicherheitskonzept kann auch ein Patch-Management gehören. Hierzu gehören die Identifizierung, Bewertung, Priorisierung und Bereitstellung von Software-Patches. SOAR-Plattformen unterstützen das Patch-Management, da sie dazu beitragen Workflows und Prozesse zu automatisieren und zu orchestrieren. Patches lassen sich über SOAR automatisch identifizieren und dazu priorisieren.
• Antivirus-Management
Malware und Ransomware gehören weiterhin zu den größten Bedrohungen für Unternehmen und die Angriffszahl wächst weiter, auch wenn die dadurch entstehenden Lösegeldzahlungen in 2022 deutlich zurückgegangen sind. Einmal ins System gelangt, können sich Viren oft über eine lange Zeit unbemerkt im Unternehmen verbreiten. Doch das Risiko, zur Zielscheibe von Cyberkriminellen zu werden, kann mit einem umfassenden SOAR-Konzept minimiert werden. Ein Antivirenschutz kann dazu problemlos in eine SOAR-Strategie integriert werden und automatisiert auf Vorfälle reagieren. Die regelmäßige Überprüfung auf Viren und Co. führt dazu, dass die Effektivität der IT-Sicherheit erhöht wird.
Kommt es wider Erwarten in einem Unternehmen zu einem Sicherheitsvorfall, lässt sich der Ablauf über eine SOAR-Strategie in vier grundlegenden Schritten erklären:
Erkennen | Über Sicherheitswerkzeuge (darunter Firewall-Logs, DER-Informationen, IDS/IPS-Alarmen oder SIEM-Events) werden Daten anhand definierter Regeln und Richtlinien abgeglichen. Wird festgestellt, dass eine akute Bedrohung vorliegt, wird ein Sicherheitsvorfall ausgelöst. |
Automatisieren | Die SOAR-Plattform orchestriert nach Auslösen des Sicherheitsvorfalls einen automatisierten Workflow, um das Ereignis zu untersuchen und entsprechende Reaktionen einzuleiten. Zu den automatisierten Optionen gehört unter anderem, mit Malware infizierte Clients vom Firmennetzwerk zu trennen und zu isolieren, um die weitere Ausbreitung der Malware zu stoppen. Zudem können auch Benutzer- und Zugriffsrechte umgehend angepasst oder IP-Adressen gezielt blockiert werden. |
Untersuchen | Sicherheitsvorfälle können über SOAR-Plattformen eingehend untersucht werden. Dazu bietet die Plattform einen transparenten Überblick über alle Ereignisse, die mit dem Vorfall in Verbindung stehen, außerdem integrierte Analysetools. |
Reporten | Damit nachvollzogen werden kann, warum es zu einem Sicherheitsvorfall gekommen ist, können über SOAR aussagekräftige Reportings erstellt werden. Die Berichte liefern wichtige Erkenntnisse, ob die getroffenen Sicherheitseinstellungen weiterhin wirksam sind an welchen Stellen Handlungsbedarf besteht, um Maßnahmen zu optimieren. |
Innerhalb einer SOAR-Strategie kann festgelegt werden, ob ein Vorfall nach einer festgelegten Prozedur behandelt wird, oder ob die Bearbeitung durch einen IT-Experten erfolgen soll. Beispiel: Wird über die SOAR-Plattform eine Bedrohung identifiziert, lässt sich diese (über ein integriertes Schwachstellenmanagement) anhand der von ihr ausgehenden Risikostufe priorisieren. Die nötigen Abwehrmechanismen können dann entweder automatisiert angestoßen werden, oder die Mitarbeiter der IT erhalten über das System eine Warnung und können umgehend entscheiden, wie der weitere Ablauf aussieht.
Um Prozesse zu automatisieren und in diesem Sinne zu beschleunigen, ist der Einsatz von leistungsfähigen Technologien gefragt. Die Art der Automatisierung unterschiedet sich je nach Anwendungsfall und Zweck. Künstliche Intelligenz (KI), Maschinelles Lernen (ML) sowie Deep Learning (DL) können zum Einsatz kommen, eignen sich in den meisten Fällen aber eher für große Unternehmen und Konzerne. Für kleine und mittlere Unternehmen (KMU) reichen die zuvor vorgestellten Komponenten wie Desktop Automation, Managed Software, Patch- und Antiviren-Management in der Regel aus.
Um sich ein umfassendes Bild einer Bedrohung zu verschaffen, werden bei Threat Intelligence entweder die Daten, die mit einer anzunehmenden Bedrohung in Verbindung stehen, betrachtet, oder der dahinterstehende Prozess. Dazu gehören neben der Erfassung der Daten auch die Verarbeitung und Analyse. Mit dieser ganzheitlichen Betrachtung können Daten im Kontext untersucht werden, um Probleme besser zu verstehen und ihren Ursprung nachzuvollziehen. Ist dieser bekannt, können spezifische Lösungen entwickelt und eingesetzt werden.
Unter den Begriff Orchestrierung fallen die Konfiguration, Verwaltung und Koordinierung von IT-Systemen, Services und Anwendungen. Auf diese Weise können komplexe Aufgaben und anspruchsvolle Workflows besser bewältigt werden. Die Sicherheitsorchestrierung über SOAR bezieht sich dabei auf die Integration der Sicherheitswerkzeuge sowie Sicherheitsprozesse. Ziel ist es, beides so zu koordinieren und automatisieren, dass sie wirksamer und effizienter ablaufen und zu einer höheren IT-Sicherheit beitragen.
SOAR und SIEM (Security Information and Event Management) verfolgen unterschiedliche Ansätze, um dazu beizutragen Bedrohungen zu erkennen und Maßnahmen einzuleiten.
SIEM - Security Information and Event Management
Eine SIEM-Lösung ist in der Lage, über eine zentralisierte Plattform innerhalb kurzer Zeit große Datensätze aus verschiedenen Quellen zu untersuchen. Wird ein abweichendes Verhalten oder ein potenzielles Risiko festgestellt, sendet die Software-Lösung einen Alarm aus. Da jedoch im Zuge der digitalen Transformation und der zunehmend komplexeren Software-Architekturen auch die Anzahl der Alarme zunimmt, laufen wichtige Meldungen Gefahr, in der Nachrichtenflut unterzugehen und erst zu spät bearbeitet zu werden.
SOAR - Security Orchestration Automation Response
Bei einer SOAR-Strategie dient eine integrierte Lösung als Basis zur Automatisierung von Sicherheitsprozessen. Aufgabe ist es hier, Sicherheitsvorfälle automatisch zu erkennen und zu priorisieren. Anschließend werden automatisierte Reaktionen zur Behebung ausgelöst.
Allgemein lässt sich sagen, dass bei SIEM-Lösungen der Fokus auf der Analyse von Ereignisdaten und anschließender Meldung liegt, während bei SOAR-Lösungen schnelle und effektive Reaktionen im Mittelpunkt stehen.
Das SOAR-Konzept kann überall dort eingesetzt werden, wo Sicherheitsprozesse verbessert und nach Möglichkeit automatisiert ablaufen sollen. Neben den bereits erwähntem Schwachstellenmanagement und der Erkennung von Sicherheitsvorfällen bietet SOAR auch im Bereich Compliance Entlastung: die Einhaltung von Richtlinien kann über automatisierte Prozesse und standardisierte Vorgehensweisen beispielsweise einfacher bewerkstelligt werden. Auch beim Zugriffsmanagement bietet SOAR viele Vorteile, etwa bei der Verwaltung von Benutzerzugriffen auf geschützte Daten oder Systeme.
Für eine umfassende Sicherheitslösung verfügt die ACMP Core von Aagon über vollautomatisierte Möglichkeiten zur Erfassung von Hard- und Software. Dazu lassen sich im Rahmen einer SOAR-Strategie viele weitere administrative Funktionen in die ACMP integrieren, darunter Schwachstellenmanagement, Complete Aagon Windows Update Management sowie BitLocker Management. In unserem kostenlosen Handout “SOAR - Security Orchestration Automation Responses” erhalten Sie viele weitere Informationen und Einblicke dazu, wie Sie mit SOAR Ihre Prozesse automatisieren und für mehr IT-Sicherheit und Schutz Ihrer Daten und Systeme sorgen.
Unternehmen profitieren vom Einsatz einer SOAR-Strategie, da die Plattform effektiv dazu beiträgt, die Reaktionszeiten bei kritischen Sicherheitsvorfällen aufgrund von automatisierten Prozessen deutlich zu reduzieren. Weil bei SOAR verschiedene Sicherheitstools und -systeme integriert werden, fallen IT-Sicherheitsstrategien wesentlich wirksamer aus. Zudem sinkt durch orchestrierte und automatisierte Sicherheitsprozesse die Fehlerrate, da repetitive Aufgaben nicht mehr manuell ausgeführt werden. Somit steigt neben der IT-Sicherheit gleichzeitig auch die Qualität der Prozesse.
HANDOUT
Erfahren Sie im kostenlosen Handout
Hier können Sie das Handout herunterladen.
Es scheint, als wären Sie auf nicht auf der gewünschten Sprachversion dieser Website gelandet. Möchten Sie wechseln?