SOAR und SIEM – so ähnlich, und doch ganz verschieden

Autor
Reinhold Zurfluh
Veröffentlicht
24. August 2020

SOAR und SIEM – zwei Begriffe, die sich in der Cybersicherheit etabliert haben und viele Gemeinsamkeiten aufweisen. Beide Lösungen sammeln Sicherheitsinformationen aus verschiedenen Quellen. Dennoch grenzen sie sich hinsichtlich ihrer Funktion deutlich voneinander ab. Die Unterschiede und weshalb es durchaus sinnvoll ist, beide Aspekte in die Sicherheitsüberlegungen miteinzubeziehen, erfahren Sie in diesem Beitrag.

Security Information & Event Management (SIEM) – Wissen aus verschiedenen Log-Daten

Mit der rasanten Zunahme an Geräten in Unternehmen und Datenzentren nimmt die Komplexität zu. Für IT-Administratoren ist es somit nahezu unmöglich, verteilt auftretende Sicherheitsprobleme zu erkennen und darauf zu reagieren. Hier kann ein SIEM helfen, da es die wesentlichen Daten zusammenträgt, normalisiert, analysiert und darauf basierend konsolidierte Aussagen erstellt. Diese Aggregation ist enorm wichtig, da nur so nach bestimmten Mustern über alle gesammelten Daten hinweg gesucht werden kann.

Das sogenannte «Pattern Matching» ist eine der bedeutendsten Eigenschaften von SIEM-Lösungen – allerdings nur, wenn es sorgfältig und zuverlässig ausgeführt wird. Durch die Erkennung bestimmter Muster kann ein SIEM, zusammen mit einem Analysten, Erkenntnisse darüber gewinnen, was effektiv in der gesamten Infrastruktur geschieht. Das funktioniert in Echtzeit, aber auch mit bereits früher gesammelten Daten. Auf Basis dieser Erkenntnisse können dann geeignete Gegenmassnahmen ergriffen werden. SIEM-Lösungen sind zwar sehr gut im Erkennen von Cyberangriffen, erfordern aber dennoch manuelles Eingreifen der Sicherheitsexperten zur Abwehr.

SIEM sind wichtig, stossen aber an ihre Grenzen

Der Nutzen von SIEM ist unbestritten. So sammeln und aggregieren SIEM-Lösungen Log-Daten aus IT-Infrastrukturen, einschliesslich Anwendungen, Netzwerkverkehr, Endpunktereignisse usw. Aus diesen aggregierten Daten können die Analysten im SOC (Security Operations Center) und CSIRTs (Computer Security Incident Response Team) daraus kritische Ereignisse und Sicherheitsvorfälle erkennen. Anschliessend können weitere Analysen und Reaktionen eingeleitet werden. Die Verarbeitung wird dabei den Sicherheitsteams überlassen, die sich die Daten aus diesen Quellen manuell zusammenstellen müssen, um sich ein vertieftes Gesamtbild der Situation (oder gar des Angriffs) zu verschaffen. Und genau hier liegt das Problem: Viele Daten führen zu mehr Alerts resp. Sicherheitswarnungen. Für die Analysten bedeutet dies ein häufiger Wechsel zwischen verschiedenen Kontexten, Systemen, Daten und Plattformen im Untersuchungsprozess, was zu verzögerten Response-Zeiten führt. Der Mangel an qualifizierten Cyber Security-Experten und die notwendige Einarbeitung in neue Tools tragen ihren Teil dazu bei. Security-Teams sind daher enorm gefordert – nicht selten auch überfordert! Wie praktisch wäre es also, wenn ein Grossteil der Analysen und Reaktionen automatisiert würden? Und genau hier kommt Security Orchestration, Automation and Response (SOAR) ins Spiel.

Security Orchestration, Automation and Response (SOAR) = SIEM 2.0?

SOAR ist eine Kombination aus Programmen, welche aus unterschiedlichsten Quellen ergänzende Daten über Sicherheitsbedrohungen sammeln und ohne menschliche Eingriffe automatisch Aktionen auf bestimmte Sicherheitsereignisse einleiten. SOAR übernimmt dabei die:

  • Sicherheits-Orchestrierung, sprich die maschinengestützte Koordinierung von unterschiedlichen, aber voneinander abhängigen Sicherheitslösungen. Durch die Sammlung und Zentralisierung von Ereignisdaten sind alle Informationen, die zur Bewertung und Reaktion auf Vorfälle erforderlich sind, an einem Ort verfügbar und zugänglich. Im Falle eines Sicherheitsvorfalls werden die Informationen im Kontext dargestellt.
  • Automatisierung, also die maschinengestützte Ausführung von Sicherheitsprozessen mit minimaler menschlicher Interaktion.
  • Reaktion resp. das Auslösen von menschlichen und / oder maschinellen Sicherheitsprozessen, -verfahren und -aktionen, die beim Eintreten eines Sicherheitsereignisses ausgeführt werden müssen.

Was sind überhaupt die Kern-Funktionalitäten von SOAR?

Da die Komplexität der Cyberangriffsvektoren stetig zunimmt, brauchen Unternehmen intelligente Lösungen, um den steigenden Risiken in einer sich ständig weiterentwickelnden Bedrohungslandschaft zu begegnen. SOAR ist dabei eine der aktuellen Antworten. Security Orchestration, Automation and Response unterstützt – wie es der Name schon sagt – bei der Analyse, Orchestrierung und Reaktionen von Tätigkeiten bei Sicherheitswarnungen. Es stellt somit wertvolle Erkenntnisse sowie Kontext zu Sicherheitsvorfällen bereit und erlaubt es, anpassungsfähige Massnahmen zur Reaktion auf komplexe Cyberbedrohungen umzusetzen. Dynamische Playbooks bieten dazu agile, intelligente und ausgefeilte Funktionen, die für die Bekämpfung komplexer Angriffe erforderlich sind.

Playbooks und AI-Bots spielen bei SOAR eine zentrale Rolle

Individuelle Playbooks sorgen in einer SOAR-Lösung für die automatische Analyse, Orchestrierung und Reaktion auf Vorfälle und sind vollständig auf die spezifischen Bedürfnisse des jeweiligen Unternehmens anpassbar. Die Aktionen resp. die Reaktionen auf Sicherheitswarnungen können dabei teilweise oder vollständig automatisiert werden. SOAR kann im weitesten Sinne als Workflow-System mit Auswertungsmöglichkeiten und Funktionen zur Verwaltung von Sicherheitsvorfällen bezeichnet verwenden, mit denen der Korrekturstatus von Vorfällen effizient verfolgt und gemeldet werden kann.

Unter Einbezug von AI-Bots (eine auf künstlicher Intelligenz basierende Empfehlungs-Engine) können Empfehlungen auf Incident Response-Reaktionen ausgearbeitet werden. Diese verwenden überwachtes maschinelles Lernen, um Muster von Analystenaktionen zu untersuchen und basierend darauf zukünftige Aktionen zu empfehlen oder zu automatisieren.

Der Kreativität der Workflows sind (fast) keine Grenzen gesetzt

Wir haben bereits viel von automatisierten Aktionen und Workflows gesprochen. Aber wie könnten diese Aktionen aussehen? Hier ein paar Beispiele:

  • Verwaltung von TLS-Zertifikaten
    Für diesen Anwendungsfall fragt die SOAR-Plattform ein Zertifikatsverwaltungstool ab, um alle (internen und externen) Endpunkte auf TLS-Zertifikate zu überprüfen, die entweder abgelaufen sind oder kurz vor dem Ablauf stehen. Bei problematischen Zertifikaten zieht die SOAR-Plattform Benutzerdetails aus dem Active Directory des betroffenen Benutzers und sendet diesem sowie dem Manager eine automatisierte E-Mail, um sie über das betreffende Zertifikat zu informieren und sie zu Aktualisierungen anzuweisen. Wenn anschliessend das Zertifikat nicht aktualisiert wird, eskaliert die SOAR-Plattform automatisch an weitere Stelle
  • Schwachstellen-Management
    Nach Erhalt einer Benachrichtigung über eine potentielle Bedrohung durch ein Schwachstellenmanagement-Tool, korreliert die SOAR-Plattform die Daten mit weiteren Daten aus anderen relevanten Sicherheitssystemen und fügt zusätzliche Informationen zu den neu gesammelten Daten hinzu. Die SOAR-Plattform fragt das Schwachstellenmanagement-Tool auch nach allen Diagnosen, Konsequenzen und Abhilfemassnahmen ab, die mit der Schwachstelle in Zusammenhang stehen. Auf Grundlage des gesammelten Kontexts, kalkuliert die SOAR-Plattform den Schweregrad des Vorfalls und leitet diesen an einen Analysten zur manuellen Untersuchung und Behebung der Schwachstelle weiter.
  • NAC Endpunkt-Quarantäne
    Wenn sich an einem NAC Netzwerk-Port ein verdächtiges Gerät befindet, wird dieses automatisch identifiziert und die Deaktivierung des Ports / des Geräts eingeleitet.
  • Sperren der Benutzer
    Wenn das SOC-Team den Verdacht hat, dass ein Benutzerkonto kompromittiert wurde, kann es den Zugang eines Benutzers in den verschiedenen Systemen sperren lassen – unabhängig davon, welches Gerät gerade verwendet wurde.
  • Sammeln von IOC-Daten aus Maschinendaten
    Während einer Malware-Untersuchung können forensische Daten über einen verdächtigen Endpunkt gesammelt werden. Dies geschieht automatisiert und orchestriert über verschiedene Plattformen. Gleichzeitig können auf diesem kritischen Gerät unbekannte oder auf einer schwarzen Liste stehende Prozesse mit einer automatisierten Response-Aktion unterbrochen werden.
  • Normierung und Standardisierung von Abläufen, Prozessen, Richtlinienumsetzung sowie dem Berichtswesen
    SOAR unterstützt IT-Teams aber nicht nur beim Bedrohungsmanagement und bei der Behebung von Schwachstellen. Es bietet auch standardisierte Workflow-, Berichts- und Kollaborationsfunktionen. So hilft SOAR Ihrer IT-Abteilung bei der Planung, Ablauforganisation, der Nachverfolgung und der Koordination der jeweiligen Reaktion auf einen Sicherheitsvorfall.

SOAR und SIEM – kein «entweder, oder», sondern ein «sowohl als auch»

SOAR und SIEM schliessen sich also definitiv nicht gegenseitig aus. Deshalb nutzen viele Unternehmen SOAR-Produkte, um eigene Prozesse und Erweiterungen zu bereits bestehender SIEM-Lösungen umzusetzen. Dadurch wird die betriebliche Effizienz verbessert, da durch Automatisierung und Orchestrierung auf priorisierte Bedrohungen mit hohem Risiko reagiert werden kann. SOAR beschleunigt aber auch die Untersuchung durch den Einbezug von Benutzer- und Entitätskontext sowie der AI-basierenden Empfehlungs-Engine, die von ergriffenen Massnahmen der Analysten als Reaktion auf Bedrohungen lernt und anhand der erlernten Massnahmen zukünftige Reaktionsaktionen empfiehlt oder automatisiert. Dies alles reduziert MTTR (Mean-Time-To-Repair; die durchschnittliche Zeit bis zur Auflösung), was schlussendlich entscheidend ist für das Ausmass eines Sicherheitsvorfalls. Daher unsere Empfehlung: Nutzen Sie die Fähigkeiten zur Analyse, Orchestrierung und Reaktion im asymmetrischen Kampf «Mensch gegen Maschine» respektive «Mensch gegen viele Angreifer». Diesem ungleichen Kräfteverhältnis können Sie mit Automatisierung begegnen. Dank SOAR können Sie entscheidende Zeit gewinnen im Kampf gegen die Cyberangreifer!

InfoGuard – Ihr Spezialist, für SIEM, SOAR und Cyber Defence

Cyberkriminalität wird immer professioneller und die Angriffe gezielter. Daher muss heutzutage jedes Unternehmen davon ausgehen, dass Cyberangriffe nicht nur stattfinden, sondern auch erfolgreich sind. Eine wirkungsvolle Abwehr setzt erstklassiges Fachwissen von Cyber-Analysten voraus, ein CSIRT und hochentwickelte Technologien wie SIEM-, SOAR- und Detection- sowie Incident Response-Systeme. Die dafür erforderlichen personellen und finanziellen Ressourcen sind enorm ( mehr dazu lesen Sie in unserem kostenlosen Leitfaden). Deshalb bieten wir unseren Kunden nicht nur dedizierte Beratungsleistungen und Lösungen, sondern bündeln Kompetenz und Technologie in unserem ISO 27001 zertifizierten Cyber Defence Center in der Schweiz. Es steht Ihnen als kompetente Support-Unterstützung, individuelle Cloud und Managed Services oder als Security-as-a-Service rund um die Uhr zur Verfügung. Haben Sie fragen zu SIEM, SOAR oder generell, wie Sie Ihr Unternehmen gegen drohende Cyberattacken schützen können? Unsere Experten stehen Ihnen gerne zur Seite!

Kontaktieren Sie uns!

Artikel teilen