BLOG

Was ist SOAR und wie können Agenturen es für ihre Cybersicherheitsbemühungen nutzen?

Lyle Marsh Miniaturbild
Lyle Marsh
Veröffentlicht am 07. Oktober 2020

Laut Gartner umfasst SOAR „Technologien, die es Organisationen ermöglichen, vom Sicherheitsbetriebsteam überwachte Eingaben zu sammeln … SOAR-Tools ermöglichen es einer Organisation, Vorfallanalyse- und Reaktionsverfahren in einem digitalen Workflow-Format zu definieren.“*

Aber was genau ist SOAR? Handelt es sich dabei um eine Suite allwissender Technologien, die zusammenarbeiten, um Bedrohungen abzuschwächen und Analysen durchzuführen – eine Art reale Terminator -ähnliche Skynet-Technologie, die Cyberangriffe verhindert? Gibt es einen bestimmten Typ von „SOAR-Software“? Oder handelt es sich um ein Framework, das einen empfohlenen Ansatz zur Cybersicherheit bietet?

AUFSTEIGEN: Ein Rahmen für solide Sicherheit

Es ist viel mehr als nur ein Werkzeug oder ein Satz von Werkzeugen. SOAR ist ein Modell zum Erstellen eines soliden Sicherheitsplans. Ja, es fordert die Behörden dazu auf, die Verarbeitung von Sicherheitsdaten und Analysen mithilfe einer Technologie (zum Beispiel einem Bedrohungsaufklärungstool, einem Sicherheitsinformations- und Ereignismanager oder einem Sicherheitsprotokollmanager) zu automatisieren. Aber es gibt einen weiteren Aspekt von SOAR – die Sicherheitsorchestrierung – der menschliches Eingreifen fördert.

Überlegen Sie, was passiert, wenn eine Lösung zur Sicherheitsinformations- und Ereignisverwaltung oder ein ähnliches Tool einen potenziellen Vorfall identifiziert. Es wird ein vollständiger Workflow-Prozess erstellt, der mit dem Tool beginnt und mit einem Sicherheitsadministrator endet.

Im Rahmen dieses Prozesses wird der Vorfall anhand der Sicherheitsrichtlinien bewertet, die die Organisation (hoffentlich) bereits eingeführt hat. Zu den Überlegungen können gehören:

  • Welcher Bedrohungsstufe wird der kompromittierten Anwendung zugewiesen?
  • Welche automatisierten Maßnahmen sollten auf der Grundlage dieser Bedrohungsstufe durchgeführt werden, um das Schadenspotenzial zu mindern?
  • Welche weiteren Maßnahmen sind erforderlich, um das Problem zu beheben?

Sicherheitsadministratoren können dann die aus den forensischen Daten gewonnenen Bedrohungsinformationen nutzen, um das Problem umgehend zu untersuchen und zu beheben und die Sicherheitsrichtlinien entsprechend anzupassen, um die Abwehrmaßnahmen der Behörde gegen künftige Angriffe zu stärken.

Somit kommt der menschliche Faktor von SOAR ins Spiel. Trotz aller Betonung der Automatisierung sind die Menschen ein wesentliches Element des SOAR-Frameworks, da sie die letzte Verteidigungslinie bilden und für die Verbesserung der Sicherheit verantwortlich sind. Durch die Kombination ihrer Fachkenntnisse mit den richtigen Sicherheitslösungen können Unternehmen böswilligen Angreifern immer einen Schritt voraus sein.

Adaptive Anwendungen sind für das SOAR-Modell von entscheidender Bedeutung

SOAR konzentriert sich auf den Aufbau eines Sicherheitsprogramms, das hochgradig anpassungsfähig ist und Daten verwendet, um die Reaktion einer Organisation auf Bedrohungen kontinuierlich zu verbessern. Es fördert die Nutzung von Informationen, um aktuelle Bedrohungen zu erkennen, auf diese Vorfälle zu reagieren, daraus zu lernen und sich im Laufe der Zeit anzupassen und zu verbessern.

Bei F5 konzentrieren wir uns darauf, Organisationen beim Erstellen adaptiver Anwendungen zu unterstützen, die ihren Sicherheitsstatus automatisch anpassen können. Diese Anwendungen erfassen und analysieren Informationen von verschiedenen Kontaktpunkten entlang des Anwendungsdatenpfads – dem Pfad, den der Anwendungsverkehr von der Anwendung zum Endbenutzer nimmt –, z. B. wenn ein Benutzer zum ersten Mal auf die Anwendung zugreift (wobei eine Anwendungsauthentifizierung erforderlich ist), wenn Daten über das Internet gesendet werden (was den Einsatz einer Web Application Firewall auslöst) und vieles mehr.

Jeder dieser Berührungspunkte erzeugt seine eigenen Telemetrie- und Analysedaten. Anhand dieser Daten lässt sich ermitteln, ob die Anwendung die erwartete Leistung erbringt oder ob möglicherweise eine Anomalie vorliegt, die auf eine Sicherheitsverletzung hinweisen könnte.

Wenn Letzteres zutrifft, kann sich die Anwendung automatisch anpassen, um die potenzielle Bedrohung einzudämmen und so dem SOAR-Anspruch nach einer automatisierten Reaktion nachzukommen. Nehmen wir an, irgendwann entlang des Anwendungsdatenpfads wird ein plötzlicher Anstieg verdächtigen Datenverkehrs erkannt. Eine Bot-Management- Lösung kann betrügerische Aktivitäten automatisch erkennen, und zwar anhand der Art des Datenverkehrs (z. B. Mensch oder Bot), der die Anwendung anpingt. Die Anwendung kann dann den verdächtigen Datenverkehr basierend auf vordefinierten Sicherheitsrichtlinien automatisch blockieren.

Die Macht von Mensch und Maschine

Das SOAR-Framework ist eine hervorragende Blaupause für den Aufbau eines automatisierten, reaktionsfähigen und agilen Systems, das mehrere Technologien und menschliches Fachwissen nutzt, um Sicherheitsrichtlinien durchzusetzen und kontinuierlich zu verbessern. Es schafft eine äußerst wirksame Abschreckung gegen aktuelle und zukünftige Bedrohungen.
____

*Gartner-Glossar, SOAR, https://www.gartner.com/en/information-technology/glossary/security-orchestration-automation-response-soar