SOAR via Clientmanagement

Unter dem Begriff SOAR versammeln sich Funktionen, die darauf abzielen, durch Standardisierung und Priorisierung automatisiert und damit effizient auf erkannte Bedrohungen zu reagieren. Die drei grundlegenden SOARBausteine für Sicherheitsteams sind: Caseund Workflow-Management, Aufgabenautomatisierung sowie eine zentrale Methode, um Bedrohungsinformationen (Threat Intelligence) aufzurufen, zu durchsuchen und zu teilen.

Gute Gründe, Sicherheitsaufgaben zu orchestrieren und zu automatisieren, gibt es viele. So etwa die fehlende Zeit, weil manuelle Eingriffe und Suchen nach Sicherheitsvorfällen zu lange dauern. Auch hilft ein solches Vorgehen, den Umgang mit Incidents zu standardisieren, zu priorisieren oder auch zu kategorisieren. Ein dritter wichtiger Faktor ist das Erfüllen von Compliance-Vorgaben durch planbare Schwachstellenscans.

SOAR vs SIEM

Anders als SIEM-Systeme (Security Information and Event Management), die allein den Alarm auslösen, aber darüber hinaus manuelle Maßnahmen erfordern, umfasst SOAR auch die eigentliche Umsetzung. Das heißt die Analyse des Fehlers und seine automatische Behebung. Gemeinsam haben beide Konzepte also, dass sie Sicherheitsinformationen aus verschiedenen Quellen suchen. Der SOAR-Ansatz geht jedoch darüber hinaus. Daher werden beide inzwischen heute auch vielfach miteinander kombiniert, um die Cybersicherheit zu verbessern, und einige SIEM-Hersteller haben bereits SOAR-Funktionalitäten in ihre Produkte aufgenommen.

Reine SOAR-Werkzeuge sind oft auf Enterprise- Umgebungen hin zugeschnitten und decken Schwachstellen über die ganze Bandbreite möglicher Sicherheitslücken ab: Clients ebenso wie Server, Firewalls et cetera. Für viele Mittelständler sind solche Ansätze schlicht zu komplex und teuer.

Betrachten wir hingegen nur die Endpoints – ohnehin eines der Haupteinfallstore für Sicherheitsbedrohungen –, liegt der Gedanke

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.