SOAR steht für Security Orchestration, Automation and Response. Solche Tools sammeln relevante Sicherheitsdaten und Warnmeldungen aus vielen unterschiedlichen Quellen und Systemen und führen sie zentral zusammen. Dann werden sie analysiert, priorisiert und automatisiert abgearbeitet. Damit sorgt SOAR für eine deutliche Entlastung nicht nur der IT, sondern auch anderer Fachbereiche.

Warum IT-Verantwortliche Unterstützung brauchen.

IT-Abteilungen stehen heute vielen aktuellen Herausforderungen gegenüber. Dazu zählen

  • die zunehmende Komplexität von Unternehmensnetzwerken,
  • Ressourcenknappheit bei Budget und Personal, die zusätzlich noch von einem Fachkräftemangel befeuert wird,
  • eine steigende Bedrohungslage,
  • fehlende Zeit für adäquate Weiterbildungsmaßnahmen,
  • Datensilos aufgrund zahlreicher, nicht kompatibler Legacy-Systeme sowie
  • das Managen hybrider Infrastrukturen mit On Premise- und Cloudlösungen.

Diese Aufgaben voll und ganz zu erfüllen, ist schier unmöglich. Kein Wunder also, dass der Trend immer stärker in Richtung Automatisierung geht. Doch ganz so einfach ist das nicht: Es gibt viele verschiedene Technologien dafür, die alle ihre individuellen Vorteile haben. Eine davon ist SOAR. In diesem Blogbeitrag erklären wir, was es damit auf sich hat und wo es Ihnen gute Dienste leisten kann.

Wie SOAR funktioniert.

SOAR-Tools aggregieren Daten aus verschiedensten Quellen. Die Daten werden verknüpft, um daraus automatisiert Workflows und Prozesse anzustoßen. Auslöser können akute Bedrohungen, aber auch Routineereignisse sein. SOAR ist sowohl als eigenständige Lösung als auch als Erweiterung bestehender Sicherheitssysteme erhältlich. Die Umfänge und Anwendungsfälle lassen sich leicht und immer wieder neu dem aktuellen Bedarf anpassen. Ziel ist dabei immer, das Sicherheitsniveau zu erhöhen.

Das geschieht durch verschiedene Maßnahmen. So führt die SOAR-Software Informationen unter einer einheitlichen Oberfläche zusammen und reduziert damit die Komplexität der IT. Ereignisse mit niedriger Priorität oder niedrigem Gefahrenpotenzial werden automatisiert. Das beugt der Alarmmüdigkeit bei den Fachkräften vor: Sie erhalten nur noch die Meldungen, um die sie sich tatsächlich kümmern müssen. Weil SOAR-Systeme auch externe Quellen zur Informationsgewinnung nutzen, reduzieren sie die Reaktionszeiten im Falle sicherheitsrelevanter Ereignisse zusätzlich. Die Bandbreite ihres Leistungsumfangs ist groß, was sie sowohl für kleinere als auch für große Unternehmen interessant macht. Unter dem Strich bleiben der IT und auch anderen Fachabteilungen viel mehr Zeit und Kapazität, um sich auf ihre wesentlichen Arbeiten zu konzentrieren.

Was Playbooks mit SOAR und Automatisierung zu tun haben.

Unter dem Begriff Playbook versteht man ein Set von klar umrissenen und standardisierten Regeln und Prozessen, mit denen auf Anomalien reagiert wird. Sie basieren auf Best Practices und bewährten Vorgehensweisen, die die IT nicht jedes Mal wieder von vorne durchlaufen muss. Das macht Playbooks für eine sinnvolle Automatisierung unabdingbar. Sie knüpfen ein verlässliches Sicherheitsnetz und halten der IT den Rücken frei. Außerdem sind sie als Nachweis von Pflichten der unternehmenseigenen Compliance nützlich. Denn sie stellen sicher und dokumentieren, dass angemessene technische Vorkehrungen getroffen wurden, um beispielsweise einen Datenabfluss zu verhindern. Auch aus betriebswirtschaftlicher Sicht ist der Einsatz von Playbooks sinnvoll: Es ist schlicht unwirtschaftlich, wenn Fachpersonal Aufgaben erledigen muss, die gut und sicher automatisiert werden können.

Playbooks sind ein Kernbestandteil von SOAR-Lösungen geworden, weil sie sehr flexibel eingesetzt werden können. Mit ihnen lässt sich granular festlegen, welche Maßnahmen bei welchen Meldungstypen angestoßen werden sollen. Auch komplexe Handlungsfolgen lassen sich mit Playbooks programmieren und automatisieren. So kann man mit SOAR-Systemen beispielsweise nicht nur potenziell gefährlichen Datenverkehr unterbinden. Im Gegensatz zu vielen anderen Technologien und Lösungen können sie gleichzeitig auch dessen Verursacher identifizieren und abschotten. Hier spielt der quellen- und systemübergreifende Ansatz von SOAR einen entscheidenden Vorteil aus. Ein weiterer ist, dass Playbooks zwar standardisiert sind, aber konkret für individuelle Anwendungsszenarien erstellt werden, um ihren vollen Nutzen zu entfalten. Das heißt aber auch, dass die User die jeweiligen Regeln zumindest einmalig selbst festlegen müssen.

Wie Sie Bechtle bei SOAR unterstützen kann.

Vielen Unternehmen fällt es zunächst schwer, einen Zugang zu SOAR zu finden. Die größte Hürde ist meistens die Entscheidung, an welcher Stelle bei der Implementierung einer IT-Security-Lösung angesetzt werden soll. Sinnvoll ist ein ganzheitlicher Ansatz, der den gesamten Markt im Blick hat und für die nötige Vernetzung sorgt.

Bechtle kann hier auf vielfältige Weise unterstützen. So verfügen wir über ein umfangreiches hersteller- und plattformunabhängiges IT-Security-Portfolio für viele verschiedene Anforderungen. Als Vermittler mit ganzheitlichem Multi-Vendor-Service aus einer Hand sind – oder werden – Sie mit uns unabhängig von einzelnen Lösungsanbietern und vermeiden so jeglichen Lock-in-Effekt. Unsere Mitarbeitenden beraten Sie kompetent, welche Lösung für Ihren individuellen Anwendungsfall die beste ist. Ist das die SOAR-Technologie, bieten wir Ihnen weitere konkrete Hilfestellungen an. Wir unterstützen Sie beispielsweise beim Entwurf von Playbooks, die konkret auf Ihre unternehmensspezifischen Aufgaben zugeschnitten sind. Außerdem entlasten wir Ihr Security Operations Center, indem wir auf Wunsch zahlreiche Sicherheitsservices teilweise oder ganz für Sie übernehmen.

Fazit: Warum Sie sich mit SOAR befassen sollten.

Es ist deutlich absehbar, dass die Komplexität von Systemen und Netzwerken zunehmen und die Bedrohungslage für Unternehmen weiter ansteigen wird. Um diesen Anforderungen auch künftig wirtschaftlich und personell Herr zu werden, ist Automatisierung Pflicht. SOAR bietet dafür beste Voraussetzungen, weil es Insellösungen vermeidet und holistisch vorgeht. Es ist außerdem ein bedeutender Baustein, um die Fachabteilungen und insbesondere die IT in Ihrem Unternehmen zu entlasten.

Setzen Sie sich gerne mit uns in Verbindung und erfahren Sie mehr über SOAR und unsere vielen weiteren Services und Lösungen rund um das Thema IT-Security.

it-security@bechtle.com