Das Security Operation Center (SOC) ist die Basis der Cyber Security eines Unternehmens. Mittels eines SOAR-Tools kann das SOC Security-Vorfälle effizienter und schneller abarbeiten. Ein bedeutender Faktor, da Schnelligkeit in einem Security-Vorfall ein wichtiges Mittel der Abwehr ist.
Ein SOAR kann eine Kombination aus kompatiblen Programmen sein, die einem Unternehmen ermöglichen, aus unterschiedlichen Quellen Daten über Security Events einzusammeln. Diese Events können ohne menschliche Interaktion automatisch behandelt werden. Ein SOAR unterstützt bei der Verbesserung der Effizienz aller Sicherheitsoperationen. Das schafft die Software, indem sie dabei hilft, Vorfallsreaktionen zu priorisieren, zu standardisieren und zu automatisieren.
Bedrohungs- und Schwachstellenmanagement
Für einen groben und speziellen Überblick über die generelle Sicherheitslage in einem Unternehmen hat das SOC u. a. die Aufgabe, das Schwachstellenmanagement zu übernehmen. Ein SOAR unterstützt das SOC in diesem Zusammehang bei der Abarbeitung der Schwachstellen sowie bei der Priorisierung. Mittels standardisierter Workflow-, Berichts- und Kollaborationsfunktionen können alle relevanten Stellen auf dem Laufenden gehalten werden.
Reaktion auf Sicherheitsvorfälle
Eine SOAR-Lösung bietet den Analyst/-innen genau festgelegte Workflows (Playbooks), die in einem Sicherheitsvorfall ein mögliches Vorgehen definieren. Ein Beispiel hierfür ist die Infektion mit Malware. Das Playbook gibt hierbei Entscheidungsbäume vor. Sobald die Malware erfolgreich bereinigt worden ist, kann der Vorfall geschlossen werden. Wenn keine Bereinigung stattfinden kann, muss das System eventuell in Quarantäne verschoben und ein vollständiger AV-Scan vollzogen werden. Auf diese Weise geht es mit den Entscheidungsbäumen weiter, bis der Vorfall bereinigt wurde. Die Analyst/-innen können diesen definierten Workflows entweder folgen oder den standardisierten Pfad verlassen.
Gerade bei größeren Sicherheitsvorfällen gibt es keinen genau definierten Weg, um den Vorfall zu bearbeiten und im Anschluss zu beseitigen. Die SOAR-Lösung bietet durch die bidirektionale Anbindung an alle Security-Lösungen die Möglichkeit, mittels weniger Klicks, Clients in Quarantäne zu verschieben, um so das Netzwerk vor einer weiteren Ausbreitung zu bewahren.
Kundenunternehmen sowie Fachabteilungen können in die oben genannten Playbooks aufgenommen werden, um bei ihnen Freigaben für bestimmte Aktionen anzufordern. Erst mit der Freigabe werden die Aktionen weiter automatisiert umgesetzt. Im Fall der Infektion mit Malware würde eine entsprechende Rückfrage lauten, ob der Client dauerhaft vom Netz genommen werden solle und in die Forensik müsse, um eine Analyse der Malware vorzunehmen.
Automatisierung und Sicherheitsoperationen
Die definierten Workflows können mittels der bereits angesprochenen Verbindung zu den Sicherheitslösungen Automatisierungen vollziehen. Ein Beispiel: Ein Client meldet einen Virenfund. Daraufhin startet der Workflow und die AV- oder die EDR-Lösung beauftragen einen Fullscan auf diesem Client. Gleichzeitig wird der Client automatisiert in Quarantäne verschoben und erst wieder entlassen, wenn das Ergebnis des Fullscans negativ ausfällt. All das kann automatisiert und ohne Zutun von Analyst/-innen erfolgen. Erst, wenn die Wenn-Dann-Bedingung einen positiven Fund auf dem Client zurückmeldet, wird ein/-e Analyst/-in informiert.
Sowohl eine SOAR- als auch eine SIEM-Lösung aggregieren hierbei Daten aus den angeschlossenen Security-Lösungen. Erfolgen zum Beispiel mehrere Sicherheitsvorfälle mit der gleichen Person oder dem gleichen Hostname, dann werden diese Sicherheitsvorfälle in einem Case zusammengefügt und dem Team zur Verfügung gestellt. Im besten Fall sind dann bereits alle relevanten Daten wie z. B. aus Threat Intel Plattformen im Case aggregiert.
Kontakt: security-experts@oediv.de