|
Research
|
Blog
|
Newsletter
|
Websession
|
EN

SOAR – Security Orchestration, Automation and Response

29. September 2020

Um den breit gestreuten, zum Teil automatisierten Attacken der Cyberkriminellen überhaupt angemessen entgegentreten zu können, müssen auch im Bereich Cyber Security immer mehr automatisierte Überwachungs- und Analysetools zum Einsatz kommen. Nur so ist die Behandlung der Vielzahl von Security Events und die rasche Einleitung von Abwehrmaßnahmen im Ernstfall möglich.

Security Orchestration, Automation and Response (SOAR) ist eine Kombination aus verschiedenen Programmen, die automatische Gegenmaßnahmen einleiten kann, ohne auf das Zutun eines Sicherheitsexperten angewiesen zu sein. Auf Basis von Daten über Sicherheitsbedrohungen aus unterschiedlichen Quellen innerhalb von IT-Infrastrukturen, die kontinuierlich erfasst werden, ermöglicht SOAR automatische Reaktionen auf bestimmte Sicherheitsereignisse.

Oberstes Ziel von SOAR ist die kontinuierliche Verbesserung des Bedrohungs- und Schwachstellenmanagements in einem Unternehmen. Die Größe und Komplexität moderner IT-Infrastrukturen macht es unmöglich, auf alle aktuellen Bedrohungslagen mit manuellen Eingriffen durch Cybersicherheitsexperten zu reagieren. Deshalb schließt SOAR diese Lücke und bietet auf Grundlage der erfassten Daten automatisierte Reaktionen auf aktuelle Bedrohungslagen und macht damit die Abwehr von Cyberbedrohungen noch effizienter.

Dazu werden die Daten über Security Issues an einer zentralen Stelle automatisiert gesammelt und verarbeitet. Dies führt zur Verbesserung des gesamten Incident-Response-Prozesses und der Entlastung der Sicherheitsexperten. Durch Einsatz von Künstlicher Intelligenz (KI) und Machine Learning ermöglicht SOAR die automatisierte Behebung erkannter Schwachstellen und standardisiert das Vorgehen bei Sicherheitsvorfällen.

Dem SOAR können damit drei grundlegende Funktionen zugeschrieben werden:
• Datensammlung
• Datenverarbeitung
• Reaktionsautomatisierung

SOAR: Mehr als ein SIEM
Auch wenn das SOAR einige Gemeinsamkeiten zum SIEM (Security Information and Event Management) aufweist, unterscheiden sich die Systeme in ihrer Funktion signifikant voneinander. Beide Lösungen sammeln Sicherheitsinformationen unterschiedlicher Quellen, der grundlegende Unterschied zwischen SIEM und SOAR besteht allerdings in der Tatsache, dass sich das SIEM auf die Analyse eingesammelter Daten, die Erkennung von Bedrohungen und die Meldung von Cyberangriffen beschränkt. Das manuelle Eingreifen der Sicherheitsexperten zur Abwehr bleibt hierbei unerlässlich. Im Gegensatz dazu ist SOAR in der Lage, auf Grundlage der gesammelten Informationen selbstständig Abwehrmaßnahmen einzuleiten und Reaktionszeiten damit entscheidend zu verringern.

Daraus ergibt sich bei der Umsetzung einer Cybersicherheitsstrategie längst nicht die Frage „SIEM oder SOAR?“. Immer häufiger ist es sinnvoll, SOAR- und SIEM-Lösungen zur Verbesserung der Cyber Security miteinander zu kombinieren. Deshalb bieten auch wir bei 8com unseren Kunden SOAR optional im Rahmen unseres Security Operations Center as a Service an.

Bild (c) Gerd Altmann / Pixabay

Zurück zur Blog-übersicht
Zurück zuM Research-Blog
Alle Mitarbeiter-Interviews
Security Services
Managed Security Services
Security Operations Center
SIEM as a Service
EDR as a Service
Vulnerabilty Management as a Service
Penetration Testing
Security Awareness
8com Academy - E-Learning
Was uns ausmacht
Cyber Defense Center
Über uns
Kontakt & mehr
Kontakt
Karriere
Pressebereich
Blog
Rechtliches
Datenschutzerklärung
Impressum
AGB
HinSchG-Vereinbarung
Webpräsenz der Allianz für Cyber-Sicherheit
ISO 27001 Zertifikat auf Basis von BSI IT-Grundschutz
Die Kernprozesse des Security Operations Center (SOC) der 8com GmbH & Co. KG: Security Information and Event Management (SIEM) as a Service, Endpoint Detection and Response (EDR) as a Service, Vulnerability Management as a Service als Managed Security Services für Geschäftskunden und Behörden.
Mehr Informationen