Schnellere Schlagzahl : Mehr Effizienz für mehr Sicherheit mit Security-Orchestration, -Automation and -Response (SOAR)
Wie kann Security-Orchestration, -Automation and -Response (SOAR) bei der Bewältigung der heutigen Flut von Security-Alarmen helfen? Wie und wo lassen sich solche Sicherheits-Systeme integrieren und wohin geht die Reise weiter? Unsere Autorin liefert einen Überblick.
Zu sagen, dass die heutige Bedrohungslandschaft eine Herausforderung darstellt, wäre eine massive Untertreibung. Während es schon schwierig genug ist, mit den sich schnell entwickelnden Bedrohungen seitens der Angreifer Schritt zu halten und dynamische, grenzenlose Umgebungen zu schützen, sehen sich Sicherheitsteams heute darüber hinaus auch mit zahlreichen operativen Herausforderungen „im Inneren“ konfrontiert, darunter:
Uneinheitliche Tools: Es gibt zwar viele gute Sicherheitstools auf dem Markt, aber nicht alle lassen sich mit anderen Werkzeugen oder Systemen integrieren, um relevante Daten und Alerts zu zentralisieren, gemeinsam zu nutzen und vor allem in einen aussagefähigen Kontext zu stellen.
Alarmmüdigkeit: Verschiedene Verfahren und Systeme, die ursprünglich für einen ganz bestimmten Bedarf angeschafft wurden, konkurrieren heute um die Zeit und die Aufmerksamkeit des Sicherheitsteams, wobei jede von ihnen täglich hunderte oder sogar tausende von Alerts generiert. Die resultierende Alarmmüdigkeit kann dazu führen, dass wichtige Meldungen übersehen werden.
Manuelle, sich wiederholende Aufgaben: Das Durchsuchen von Protokollen, Erstellen von Helpdesk-Tickets und Organisieren von Daten mithilfe von Spreadsheets belasten Sicherheitsteams massiv und bremsen sie aus.
Ressourcenknappheit: Der weltweite Mangel an Spezialisten für Cybersicherheit macht es schwierig, qualifizierte Mitarbeiter zu gewinnen und zu halten, und verschärft so die operativen Herausforderungen noch.
Ressourcenknappheit und repetitive Aufgaben sind von jeher klassische Kandidaten für die Automatisierung – sei es in der Industrie oder in der IT und übrigens auch bei Cyberkriminellen. Security Orchestration, Automation and Response (SOAR), also Lösungen für die Sicherheitsorchestrierung und -automatisierung gelten daher als vielversprechende Kandidaten, wenn es darum geht, Sicherheitsteams effektiv und effizient zu unterstützen.
Dabei geht es heute weniger um die Frage, ob Unternehmen überhaupt automatisieren sollten, sondern wann und in welchem Umfang. Schließlich verspricht die Automatisierung, Flexibilität, Reaktionsfähigkeit, Genauigkeit und Effizienz zu verbessern.
In Verbindung mit der Orchestrierung hilft sie Sicherheitsteams, sich auf die Analyse und Reaktion auf sicherheitskritische Vorfälle zu konzentrieren, anstatt exorbitante Mengen an Zeit mit der manuellen Erfassung von Daten und anderen sich wiederholenden, weniger wertvollen Aufgaben zu verbringen.
Gartner definiert SOAR als Lösungen, die Incident-Response, Orchestrierung und Automatisierung sowie Threat-Intelligence-(TI)-Managementfunktionen in einer einzigen Plattform vereinen. SOAR-Tools werden aber ebenfalls verwendet, um Prozesse zu dokumentieren und zu implementieren (auch bekannt als Playbooks, Workflows und Prozesse), das Management von Sicherheitsvorfällen zu unterstützen und maschinelle Unterstützung für menschliche Sicherheitsanalysten und Operatoren anzuwenden.
Effizienz-Gewinne
Der wesentliche Nutzen von SOAR-Lösungen ist die Möglichkeit, Cyber-Bedrohungen in wenigen Minuten oder Stunden statt in Tagen oder Wochen zu erkennen und zu beheben. SOAR automatisiert banale und repetitive Aufgaben, wodurch ein Großteil der Probleme, mit denen Analysten täglich zu kämpfen haben, einfach und schnell gelöst wird. Und Zeit ist in diesem Fall nicht nur Geld, sondern auch Sicherheit! Zudem übernimmt SOAR die Alarm-Triage, indem es Vorfälle priorisiert, die eine hohe Schadenswahrscheinlichkeit haben. Das Ziel ist es, weniger Meldungen zu liefern und hochpräzise Vorfälle zu extrahieren, welche die Aufmerksamkeit der Analysten verdienen. Eine automatisierte Bearbeitung banaler Warnungen wirkt überdies der Alert-Müdigkeit entgegen.
Auch das Problem des Fachkräftemangels geht SOAR an, indem es die operativen Prozesse erheblich verbessert und es Security-Operations-Centern (SOCs) ermöglicht, ihre Mitarbeiter mit interessanteren und anspruchsvolleren Aufgaben zu betreuen und so ein attraktiver Arbeitgeber zu sein.
Aufgaben
Nach einem Gartner-Bericht werden SOAR-Lösungen in erster Linie eingesetzt, um die Prozesse rund um Erkennung von Sicherheitsvorfällen und die Reaktion darauf zu verbessern (Incident-Response), indem der Kontext angereichert und eine Priorisierung vorgenommen wird, um die Effizienz im SOC zu verbessern. SOAR-Tools gehen jedoch darüber hinaus und eignen sich für eine Vielzahl weiterer Anwendungsfälle, vor allem die Orchestrierung der diversen eingesetzten Sicherheitstools. Vorteile verspricht auch die automatisierte Behandlung von Malwarevorfällen und Phishing-Versuchen, da dies für viele Unternehmen der größte Problembereich ist. Auch das Vulnerability-Management profitiert potenziell von der Automatisierung, da Sicherheitslücken schneller geschlossen werden können.
Phishing-Mails
Phishing ist nach wie vor ein Hauptangriffsvektor für erfolgreiche Cyberattacken. Die Untersuchung von Phishing-E-Mails ist jedoch mit zeitaufwendigen, manuellen Aufgaben verbunden – beispielsweise der Untersuchung von Anhängen, der Überprüfung von URLs und der Weiterverfolgung verdächtiger Anfragen nach vertraulichen Informationen. Orchestrierungs- und Automatisierungslösungen können solche Aufgaben im Hintergrund ausführen. So wird sichergestellt, dass die Situation effektiv und effizient gehandhabt und die Reaktionszeit verkürzt wird. Zudem lassen sich auch wesentliche Schritte der Incident-Response automatisieren, wenn eine Phishing E-Mail identifiziert wurde.
Vulnerability-Management
Unmittelbar nach Veröffentlichung einer Schwachstelle besteht eine sehr hohe Wahrscheinlichkeit, dass Angreifer diese ausnutzen. Sicherheitsteams müssen daher in der Lage sein, schnell zu handeln, um ihre Systeme zu bewerten und Schwachstellen mit einem geeigneten Verfahren zu beheben. Orchestrierung und Automatisierung können dabei helfen, schwerwiegende Schwachstellen in großen Umgebungen zu beheben, sobald Patches veröffentlicht werden, wodurch sich das Zeitfenster für eine Erfolg versprechende Attacke schnell(er) schließt.
Threat-Management
Wird eine Bedrohung identifiziert, sind sofort Maßnahmen zur Eindämmung zu ergreifen – zum Beispiel die Quarantäne eines Geräts, um laterale Bewegungen, Rechte Eskalation und das Übergreifen auf andere Systeme zu verhindern. Gleichzeitig müssen möglicherweise auch die Benutzerberechtigungen geändert werden, um zu verhindern, dass ein kompromittiertes Konto bösartigen Code ausführt, Daten stiehlt oder eine Website oder Anwendung zum Absturz bringt. Orchestrierungs- und Automatisierungslösungen können Geräte einfach und schnell unter Quarantäne stellen und die Deaktivierung von Benutzerkonten automatisieren, sobald ein auslösendes Ereignis erkannt wird.
Eins gegen alles?
Bei allen Vorteilen der Orchestrierung und Automatisierung sollte man sich allerdings davor hüten, SOAR-Lösungen als Allheilmittel zu betrachten und überstürzt einzuführen! Wer etwa ungeeignete Sicherheitsprozesse auch noch automatisiert, bewegt sich nur noch schneller auf die Katastrophe zu. Und wer ein Orchester dirigieren will, wird zwangsläufig scheitern, wenn die einzelnen Musiker ihre Instrumente nicht vollständig beherrschen.
Hürden und Stolpersteine
So können auch SOAR-Tools ihr Versprechen nur dort einlösen, wo es etablierte und bewährte Sicherheitsprozeduren gibt. Sie sind kein Ersatz für andere Tools, sondern ergänzen bestehende Prozesse mit dem Ziel, deren Effizienz zu steigern und die Mitarbeiter der Securityteams zu entlasten. So empfiehlt Gartner beispielsweise, bei der Einführung von SOAR vor allem effektive, aber ineffiziente interne Prozesse innerhalb der aktuellen Sicherheitsabläufe als Kandidaten für die Automatisierung ins Visier zu nehmen.
Zudem muss eine SOAR-Lösung natürlich mit bestehenden Prozessen zusammenarbeiten können und mit vorhandenen Security Mechanismen, die sie ja orchestrieren soll, kompatibel sein. Dies erfordert ein offenes Design, das eine möglichst einfache Integration der Security-Tools und Anwendungen von Drittanbietern ermöglicht. Ansonsten besteht die Gefahr, dass man seinem Toolset lediglich ein weiteres Silo hinzufügt, anstatt die Möglichkeit zu schaffen, Aktionen über alle Tools hinweg zu orchestrieren.
Diese Integration gilt oft als problematisch, da sie häufig mit umfassender API-Programmierung verbunden ist. Gerade der Mittelstand findet sich hier schnell in dem Dilemma wieder, dass er wegen mangelnder Ressourcen besonders stark von einer SOAR-Lösung profitieren könnte, diese mangels Expertise aber nicht implementieren und betreiben kann. Ein Hauptgrund dafür sind die erheblichen Fähigkeiten und Ressourcen, die für das Schreiben und die Pflege des für die Erstellung und Automatisierung von Workflows erforderlichen Codes erforderlich sind.
Es gibt jedoch zunehmend mittelstandsfreundliche SOAR-Lösungen mit einer Bibliothek vorhandener Integrationen, Plug-ins und Workflows, die unterschiedlichste Umgebungen und damit auch die Migration unterstützen, wenn einzelne Tools ausgetauscht werden sollen. Solche Lösungen erfordern wenig bis gar keine Programmierung, sodass auch mittelständische Unternehmen sie schnell und ohne große Investitionen nutzen können. „Out-of-the-Box“-Playbooks sowie bestehende Routinen und Funktionen lassen sich dabei relativ einfach nutzen, um die Entwicklung effizienter zu gestalten
Derartige SOAR-Lösungen lassen sich idealerweise leicht mit dem vorhandenen Technologie-Stack verbinden, um Sicherheits- und IT-Prozesse zu automatisieren. Manche Lösungen ermöglichen es auch, eigene Workflows zu erstellen oder vorgefertigte Workflows anzupassen, ohne selbst programmieren zu müssen.
Sehr spezifische Integrationen können jedoch auch hier Arbeit im Code erforderlich machen. Deswegen verfügen SOAR-Tools neben vorbereiteten Plug-ins und Erweiterungen in der Regel auch über eine integrierte Entwicklungsumgebung und eine umfangreiche Dokumentation zur Unterstützung der Entwickler. Allerdings ist Eigenentwicklung auch dann nicht in jedem Fall erforderlich, wenn die benötigte Integration nicht „out of the Box“ verfügbar ist – auch bei SOAR-Tools kann man sie unter Umständen ohne zusätzliche Lizenzkosten innerhalb der Nutzer-Community finden.
Menschen integrieren
Während SOAR-Lösungen viele der Aufgaben innerhalb von Sicherheits-Workflows übernehmen Management und Wissen Sicherheits-Automatisierung können, bleibt die vollständige Automatisierung von Sicherheitsprozessen doch ein Wunschdenken. Auch in automatisierten Workflows wird es immer Situationen geben, die menschliches Fachwissen erfordern – zum Beispiel das Ziehen von Schlussfolgerungen und das Treffen rationaler Entscheidungen. Solche Entscheidungspunkte müssen identifiziert und in die Workflows integriert werden, will man kein unkontrollierbares Security-Monster schaffen. SOAR-Lösungen müssen daher die Möglichkeit bieten, an jeder Stelle eines automatisierten Workflows menschliche Entscheidungspunkte einzufügen, um bei der Reaktion auf kritische Sicherheitsbedrohungen Expertenwissen bereitzustellen.
Menschliches Eingreifen ist auch erforderlich, wenn man in bestimmten Anwendungsfällen nicht alle Aufgaben in einem Prozess oder Workflow automatisieren möchte. So sollte man beispielsweise auf die Automatisierung von Aufgaben verzichten, die hochsensibel sind oder mehr Informationen erfordern, als eine Maschine korrelieren kann. Hier geht es letztlich um die Frage, welche Teile oder Aufgaben man sinnvoll automatisieren kann, um die Effizienz zu steigern und gleichzeitig die volle Kontrolle darüber zu behalten, was die Sicherheitsteams weiterhin selbst tun sollen.
Abbildung 1
SOAR und SIEM
SOAR-Tools wurden in der Vergangenheit auch schon einmal als „SIEM 2.0“ bezeichnet, gehen aber deutlich über das hinaus, was klassische Security-Informationund -Event-Management-(SIEM)-Lösungen bieten. Anders als ein SIEM, das zwar hervorragend Bedrohungen erkennt, aber eine ständige
Anpassung, Aktualisierung und Überwachung erfordert, ist SOAR viel unabhängiger und spart Analysten viel Zeit, indem es menschliche Interaktion ersetzt und banale, sich wiederholende Aufgaben automatisiert. Dank maschineller Lernalgorithmen sollten SOAR-Systeme zudem in der Lage sein, aus Erfahrungen – aus den Eigenheiten und dem Kontext von Alerts – zu lernen und dieses Wissen zu nutzen, um automatisiert geeignete Gegenmaßnahmen anzustoßen, sobald eine Warnung mit vergleichbaren Merkmalen entdeckt wird.
Allerdings haben SIEM und SOAR dennoch viele Komponenten gemeinsam: SIEM-Lösungen bieten die Möglichkeit, einschlägige Protokoll- und Ereignisdaten aus verschiedenen Sicherheits-, Netzwerk-, Server-, Anwendungs-und Datenbankquellen zentral zu sammeln.
Solche Quellen können etwa Firewalls, Intrusion-Detection-/Prevention-Systeme (IDS/IPS), Anti-Malware-Software, Tools zur Verhinderung von Datenverlusten und sichere Web-Content-Gateways sein. Ein SIEM analysiert die gesammelten Daten in Echtzeit, um potenzielle Sicherheitsprobleme
zu erkennen, indem es Informationen aus mehr als einer Quelle korreliert. Es ordnet die Ereignisse dann auf intelligente Weise nach ihrer Kritikalität und bietet Analysten so die Möglichkeit, Probleme zu priorisieren.
SOAR-Tools ergänzen SIEM-Lösungen, indem sie neben der Automatisierung von Workflows weitere Informationen hinzufügen und so einen reicheren Kontext bieten können. SOAR zieht beispielsweise Informationen zu neuen Bedrohungen aus externen Feeds, aus Endpoint-Security-Lösungen und anderen Drittquellen heran, um ein besseres Gesamtbild der Sicherheitslandschaft innerhalb und außerhalb des Netzwerks zu erhalten – allerdings geht SIEM mit dem Trend zu Extended Detection and Response (XDR) derzeit den gleichen Weg. Dennoch hebt SOAR die Analyse auf eine andere Ebene, indem es definierte Workflows erstellt, die auf der Grundlage eines Alarms verfolgt werden. Denn nach wie vor liefert SIEM erst einmal nur den Alarm – eine SOAR-Lösung, die den Workflow automatisiert, kann eben auch den Zeitaufwand für die Bearbeitung solcher Alerts erheblich verringern.
Kurze Halbwertszeit
Bereits 2020 hat Gartner in einem Bericht angedeutet, dass SOAR als eigenständige Tool-Kategorie eine begrenzte Lebenszeit haben könnte, da die Hersteller von SIEM-Systemen zunehmend Komponenten von SOAR – oder durch Akquisition gar komplette SOAR-Lösungen – integrieren dürften. Zudem werden SIEM-Lösungen in Richtung XDR erweitert, das teilweise ähnliche Funktionen bietet wie SOAR. Es ist daher zu erwarten, dass Adaption und Integration von SOAR-Funktionalität weiter stark zunehmen werden – dann allerdings möglicherweise als Funktionen in anderer Sicherheitstechnologie
und Security Services.
Georgeta Toth ist Regional Director Central Europe bei der Rapid7 Germany GmbH.