SOAR – Security Orchestration, Automation and Response – ist weit mehr als ein aktueller Trend. Eine solche Lösung trägt wesentlich zu einem höheren Sicherheitsniveau im Unternehmen bei. Dabei wird auch noch der Personal- und Investitionsaufwand reduziert.
Mit einer SOAR Lösung können Security Daten aus unterschiedlichen internen und externen Quellen gesammelt und ausgewertet werden. So haben Unternehmen die Möglichkeit, Angriffe automatisiert zu erkennen und entsprechend schnell darauf zu reagieren. Die zusätzlichen Vorteile von SOAR: IT-Mitarbeiter werden entlastet und wiederkehrende Tasks deutlich reduziert.
Das ist insbesondere für Level-1-Analysten ein Segen, weil sie in ihren Tätigkeiten entlastet werden, denn hier ist viel manuelle Fleißarbeit gefragt und die Analysen können sich über mehrere Stunden hinziehen. Das mach den Job nicht unbedingt beliebt und erschwert es Unternehmen, geeignete Mitarbeiter zu finden.
Entlastung der Mitarbeiter dank Automatisierung
Hier setzt die SOAR Lösung an. Innerhalb von Sekunden können große Datenmengen verarbeitet und Informationen mit den verschiedensten Threat-Intelligence-Quellen überprüft werden. Dabei wird im Zuge der Automatisierung auf sogenannter Playbooks zurückgegriffen, in denen Workflows und Logiken hinterlegt sind, auf die das System zurückgreift. Dabei können eigene Playbooks definiert und erstellt werden. Es kann aber auch auf bereits existierende, vorgefertigte Playbooks zurückgegriffen werden.
Tritt beispielsweise an einem beliebigen Endpoint ein Incident auf, wird dieser durch die verschiedenen Informationen aus den Quell- oder Zielsystemen angereichert. Was in einem klassischen SOC händisch erledigt werden muss, übernimmt hier die Maschine. Damit wird eine Vorbeurteilung des Incidents vorgenommen. Außerdem können dank der Playbooks und automatisierter Vorgänge auch Arbeitsabläufe und Vorgehensweisen standardisiert werden. So kann jeder Kollege und jede Kollegin aus jedem Land der Welt auf Tickets und Incidents zugreifen, diese übernehmen und in einheitlich hoher Qualität bearbeiten. Zudem können Response Tätigkeiten, wie Isolierung von Endpoints oder auch Hunting Tätigkeiten nach identifizierten Indicator of Compromise (IOC) automatisch in den Ablauf eines Playbooks integriert werden.
SOAR as a Service – auch für den Mittelstand interessant
Nun hat ein SOAR also durchaus Vorteile für Unternehmen. Trotzdem kann und muss nicht jedes Unternehmen eine eigene SOAR-Lösung betreiben. Wer das nötige Kleingeld und auch in Zeiten von Fachkräftemangel genügend Know-how im Unternehmen hat, kann SOAR als Standalone nutzen. Das ist vor allem für Großkonzerne interessant, die auch ein eigenes, professionelles SOC betreiben. Für alle anderen Unternehmen gibt es aber ebenfalls die Möglichkeit, die Vorteile von SOAR zu nutzen. Denn indevis bietet seinen Kunden die Variante der Serviceoption als Co-Management.
Im Rahmen des MSSP Programms wird dem Kunden ein Co-managed XSOAR Tenant zur Verfügung gestellt, also eine Plattforminstallation und außerdem eine Lizenz für einen Analysten. indevis unterstützt gerne beim Aufbau der SOAR-Lösung und kann Kunden auf Wunsch auch generische indevis Playbooks zur Verfügung stellen. Der Kunde wiederum betreibt dann das XSOAR System als wäre es eine Single Installation bei ihm.
indevis ist in der Lage so ein Co-Management zu betreiben und bei Bedarf Consultants zur Verfügung zu stellen, die mit dem Kunden die Analysen besprechen. Ein Service Review kann ebenfalls gemeinsam mit indevis durchgeführt werden, sodass dem Kunden mehr Zeit für das Kerngeschäft bleibt.
Zudem besteht die Möglichkeit einer Auditorlizenz mit einem read only Zugriff, sodass ein Mitarbeiter im eigenen Unternehmen jederzeit ein Auge auf die Vorgänge werfen kann, selbst aber nicht tätig werden muss, während indevis als MSSP alles im Blick hat.
Insbesondere für mittlere und größere Unternehmen, die kein größeres Investment tätigen können oder wollen, ist dies eine attraktive Option. Denn sie können hier zusätzlich Unterstützung von indevis in Anspruch nehmen. Ein Netzwerk-Security Team sollte inhouse vorhanden sein. Beim Co-Management können dennoch wertvolle personelle, zeitliche und monetäre Ressourcen eingespart werden. Unternehmen können sich so mehr Sicherheit verschaffen und gleichzeitig ihre personellen Ressourcen effizient einsetzen und sich von repetitiven Tätigkeiten lösen.
