Wer Prozesse effizient gestalten und das meiste aus ihnen herausholen möchte, kommt am Trendthema Automatisierung inzwischen nicht mehr vorbei. Die IT-Sicherheitsbranche ist von dieser Entwicklung nicht ausgenommen. Der Fachkräftemangel und die gleichzeitig wachsende Komplexität der IT-Infrastrukturen stellen Sicherheitsteams vor enorme Herausforderungen. Umso besser erscheint es da, einige Aufgaben an die Maschine abzugeben, die diese in kürzester Zeit ausführen kann. So werden Mitarbeitende nicht nur entlastet, sondern sicherheitskritische Abläufe entscheidend beschleunigt. Eine Möglichkeit, die Automatisierung der eigenen IT-Security voranzutreiben, ist der Einsatz eines SOARs. Dieses stellt eine Reihe von Tools zur Verfügung, um die IT-Security an vielen Stellen zu automatisieren und damit die Sicherheit des ganzen Unternehmens zu verbessern.

Wenn jede Minute zählt

Häufig kommt Automatisierung dann zu Einsatz, wenn repetitive Prozesse Kapazitäten beanspruchen und so nicht nur für Verzögerungen, sondern zusätzlich für Frust sorgen. Übergibt man diese Aufgaben nun an die Maschine, imitiert sie das menschliche Verhalten. Dieses klassische Verfahren nennt sich RPA (Robotic process automation). Auch ein SOAR nutzt zunächst ähnliche Techniken, wendet diese jedoch auf typische Prozesse im Cybersecurity-Bereich an. Insbesondere Incident-Response-Methoden werden durch den Einsatz eines SOARs bereichert. Darin liegt enormes Potenzial, da bei der Reaktion oft jede Minute entscheidend ist. Kommt es zu einem sicherheitsrelevanten Ereignis, müssen die Securityteams s0 schnell wie möglich handeln und die richtigen Schritte zur Abwehr einleiten. Dabei kann Automatisierung einen wichtigen Beitrag leisten. Löst das System beispielsweise ein Alarm aus, wird automatisch ein Ticket erstellt und der Analyst kann sofort mit der Triage der Daten beginnen. Handelt es sich dabei tatsächlich um einen bösartigen Akteur, kann das Sicherheitsteam automatisierte Vorgänge starten, bei denen andere Systeme den schädlichen Account sperren oder eine IP-Adresse blocken während der Analyse. Die Security-Teams verschwenden also keine Zeit mit repetitiven Aufgaben, sondern sind direkt in der Lage, die Alarme zu bewerten, die richtigen, komplexeren Schritte einzuleiten und den Schaden somit zu minimieren oder gänzlich zu verhindern.

Den Überblick behalten trotz hoher Komplexität

Die vielleicht größte Herausforderung moderner Infrastrukturen ist ihre zunehmende Komplexität. Über die Jahre sammeln sich viele Tools an und auch die Zahl der im Netzwerk befindlichen Akteure wächst, insbesondere durch die IoT-Entwicklung. Für Angreifer ist diese Komplexität ein gefundenes Fressen, da zum einen die Angriffsfläche wächst und die Komplexität zum anderen die Chance bietet, in der Masse unterzutauchen. In der Vergangenheit reichte es häufig, auf eine SIEM-Lösung (Security Information and Event Management) zurückzugreifen. Diese untersucht große Datenmengen in kurzer Zeit und schlägt Alarm, wenn sie verdächtiges Verhalten entdeckt. Doch mit dem Netzwerk wächst auch die Anzahl der Alarme und nur ein Bruchteil dieser deutet auf einen wirklich gefährlichen Akteur hin. So entsteht beim Sicherheitspersonal eine große „Alarm-Fatigue“, da sie tagtäglich mit einer enormen Zahl an Meldungen konfrontiert sind. Dadurch fällt es ihnen immer schwerer, Fehlalarme von tatsächlich bedrohlichen Vorfällen zu unterscheiden. Doch auch hier kann ein SOAR Abhilfe schaffen. Dieser ist dabei nicht zu verwechseln mit den sogenannten XDR-Lösungen (Extended Detection and Response), die mithilfe künstlicher Intelligenz das Verhalten der Akteure über verschiedene Endpunkte hinweg korrelieren, so Bewegungsmuster finden und schädliche Akteure ausfindig machen. Ein SOAR konzentriert sich jedoch auf die Ordnung der Alarme und die Reaktion auf diese. Beide Technologien, SOAR und XDR, lassen sich allerdings gut miteinander kombinieren. Darüber hinaus kann das SOAR mit zahlreichen weiteren Security-Tools verknüpft werden, sodass es einen zentralen Überblick über alle sicherheitsrelevanten Vorgänge im System bietet und die Sicherheitsteams nicht zwischen den jeweiligen Tools wechseln müssen.

Die richtige Vorbereitung ist entscheidend

Es ist keine Überraschung, dass automatisierte Prozesse deutlich schneller ablaufen als manuell ausgeführte. Hier liegt ein großes Potenzial für die Unternehmenssicherheit, wie das Beispiel der automatisch unterstützten Incident-Response-Maßnahmen zeigt. Nichtsdestotrotz sollte man ein SOAR keineswegs als Allheilmittel betrachten, insbesondere gegen den stark wütenden Fachkräftemangel. Denn auch wenn Automatisierung die Sicherheitsteams an vielen wichtigen Stellen entlastet, sollten Unternehmen den Personalaufwand für ein solches System nicht unterschätzen. Ein SOAR basiert auf sogenannten Playbooks. Diese Pläne kommen für verschiedene sicherheitskritische Inzidenzarten zum Einsatz. Damit die automatisierten Abläufe aber richtig funktionieren und die Experten sich darauf verlassen können, müssen die Playbooks kontinuierlich aktualisiert und auf die jeweiligen Situationen präzise zugeschnitten werden. Je komplexer die Prozesse im eigenen Ökosystem sind, desto aufwendiger ist diese Aufgabe. Besonders in großen Unternehmen braucht es zudem eine durchgehende Überwachung des SOARs, um Fehlerquellen zu identifizieren. Auch eine hohe Update-Frequenz, damit die Sicherheitsteams Fehler in den Playbooks möglichst schnell ausbessern können, ist enorm wichtig.

Effiziente Sicherheitsmaßnahmen dank Automatisierung

Klar ist also, dass die Automatisierung der eigenen Sicherheitsprozesse mit personellem Aufwand verbunden ist. Ein SOAR läuft nicht autonom. Trotzdem überwiegen die Vorteile in vielen Fällen. Denn in der Bilanz reduziert ein SOAR den zeitlichen Abstand zwischen der Erkennung eines Vorfalls und der Reaktion durch das Sicherheitsteam drastisch. Somit entlastet es die Fachkräfte nicht nur, sondern sorgt auch für mehr Sicherheit.

Wer dabei noch am Beginn seiner Automatisierungsreise steht, sollte sich mit externen Dienstleistern auseinandersetzen. Diese sollten bereits Erfahrung in diesem Bereich gesammelt haben und können Unternehmen beispielsweise bei der Integration einen SOARs unterstützen und Automatisierung dort einsetzen, wo sie auch wirklich sinnvoll für das Unternehmen ist. Denn klar ist auch, dass nicht alle Sicherheitsstrukturen automatisiert werden können. Umso wichtiger ist es, dass die Teams die Zeit für die entscheidenden Aufgaben haben, die nicht von Maschinen erledigt werden können. Denn je weniger Zeit ein Angreifer für seine Attacke hat, desto größer ist die Chance, dass die Verteidiger diese am Ende abwehren und die Sicherheit der eigenen Organisation gewährleisten können.