Definitionen Was ist SOAR?

Autor / Redakteur: TheRacoon / Manfred Klein

Die Abkürzung SOAR steht für Security Orchestration Automation and Responses. Der Begriff beschreibt Software und Verfahren, die in Organisationen dazu dienen, das Bedrohungs- und Schwachstellenmanagement durch Automatisierung zu verbessern.

Firmen zum Thema

Ein Bedrohungsmanagement erhöht die IT-Sicherheit
Ein Bedrohungsmanagement erhöht die IT-Sicherheit
(© aga7ta - Fotolia)

SOAR bietet als System die Möglichkeit, ein breites Informationsspektrum über spezifische Sicherheitsbedrohungen aus verschiedenen Quellen zusammenzutragen. Diese Informationen werden zentral gespeichert. Zudem wird im Rahmen von SOAR eine Incident Response Platform (IRP) sowie eine Threat Intelligence Platform (TIP) bereitgestellt.

Durch die zentral abgelegten Informationen kann ein System automatisiert auf eine spezifische Sicherheitsbedrohung reagieren und den Prozess intelligent zu managen. Das Eingreifen eines Mitarbeiters ist somit nicht erforderlich. Häufig kommen bei den genutzten Systemen Verfahren aus der Künstlichen Intelligenz (KI) sowie Prozesse des Machine Learnings zum Einsatz.

So funktioniert Security Orchestration Automation and Responses

Die allgemeine Funktionsweise von Security Orchestration Automation and Responses ist unabhängig von den verwendeten Softwarelösungen. Diese unterteilt sich in die folgenden drei Komponenten:

  • das Sammeln von Daten über potenzielle Bedrohungen
  • die Verarbeitung der gesammelten Daten
  • die automatisierte Reaktion auf Basis der verarbeiteten Daten.

Dank dem automatisierten sammeln, aggregieren und verarbeiten der Bedrohungsdaten an einem spezifischen Ort, entlastet SOAR IT-Sicherheitsexperten von automatisierbaren Überwachungsaufgaben. Im Hintergrund untersuchen intelligente Algorithmen riesige Datenmengen genauestens auf anormales Verhalten. Ein Prozess, der bei händischer Arbeit wesentlich länger dauern und bei weitem nicht so zuverlässig funktionieren würde.

Wurde im Zuge einer Anomalie eine Bedrohung erkannt, leitet das System automatisch und in Echtzeit geeignete Maßnahmen ein. Parallel informiert das System die Verantwortlichen über die potenzielle Bedrohung, die ergriffenen Maßnahmen sowie den Erfolg der Maßnahmen. So lässt sich die zeitliche Verzögerung bei der Bedrohungsabwehr weiter reduzieren.

Ziele von SOAR

Moderne IT-Netzwerke sind zu verwoben und zu weit verzweigt, um Bedrohungslagen manuell von Menschen überwachen zu lassen. Das oberste Ziel von Security Orchestration Automation Responses ist es daher, das Bedrohungs- und Schwachstellenmanagement in Unternehmensnetzwerken zu optimieren.

Durch das Sammeln von Daten an zentraler Stelle soll sich vor allem der Incident-Response-Prozess verbessern, sodass sich IT-Experten um andere Problemfelder kümmern können, deren Bearbeitung derzeit nur von Menschen möglich ist.

Wo liegt der Unterschied zum Security Information Event Management (SIEM)?

Beide Verfahren haben gemeinsam, dass sie Sicherheitsinformationen aus verschiedenen Quellen zusammentragen. Allerdings ist SOAR dazu in der Lage, automatisch Maßnahmen zur Gefahrenabwehr zu betreiben. SIEM dagegen fokussiert sich auf die Analyse der Daten, um Bedrohungen zu untersuchen und Verantwortliche zu alarmieren.

Die Erkennungsquote von SIEM-Anwendungen ist zwar gut. Allerdings erfordert ein solches System immer manuelles Eingreifen. Um für eine bestmögliche Bedrohungsabwehr zu sorgen, bieten viele Hersteller bereits Lösungen an, die Funktionskomponenten von SOAR und SIEM kombinieren.

(ID:47108184)