Der vom Marktforschungsinstitut Gartner geprägte Begriff „SOAR“ beschreibt ein System, das darauf ausgerichtet ist, Reaktionen auf potenzielle Cyberbedrohungen automatisch einzuleiten. Dadurch sollen Security-Teams entlastet werden, die mit einer stetig wachsenden Zahl von Cyberbedrohungen zu kämpfen haben.
Zu Beginn sammelt die SIEM-Lösung Daten über die potenzielle Cyberbedrohung und gleicht diese mit Threat Intelligence-Quellen und eigenen Rule-Sets ab. Falls die Analyse ergibt, dass es sich um eine reale Cyberbedrohung handelt, leitet das nachgelagerte SOAR-System (teil-)automatisiert entsprechende Maßnahmen in die Wege, um die jeweilige Bedrohung zu beseitigen.
Während dieses gesamten Prozesses werden die Verantwortlichen, etwa die Security-Analysten in einem Security Operations Center (kurz: SOC), über die Cyberbedrohung und die Maßnahmen informiert – und darüber, ob die ausgeführten Maßnahmen erfolgreich waren. All dies funktioniert automatisiert – auf Basis vordefinierter, individuell erstellter Playbooks. Diese geben dem System bestimmte Maßnahmen für ein spezifisches Szenario vor.
XSOAR von Palo Alto Networks als führende SOAR-Lösung
Wie Niels Gliwitzky (Manager Focus Sales, Security Operations Center bei CANCOM) im Interview betont, kann das SOC-Team von CANCOM, das inzwischen mit „XSOAR“ von Palo Alto Networks arbeitet, seine Effizienz durch die SOAR-Lösung bedeutend steigern. Dank Automatisierung müssten sie deutlich weniger Zeit und Ressourcen in die Beseitigung wiederkehrender Bedrohungen investieren – und könnten sich stärker auf komplexere Fälle konzentrieren.
Laut dem Fachportal “Expert Insights” gehört XSOAR von Palo Alto Networks zu den führenden SOAR-Lösungen am Markt. Demnach handelt es sich um eine leistungsstarke Lösung, mit der sich Bedrohungen schnell und präzise untersuchen lassen – inklusive Reaktion. Unter anderem seien sogenannte Threat Intelligence Management-Module in die Plattform integriert: Diese würden auftretende Cyberbedrohungen in den passenden Kontext setzen. Darüber hinaus sei die Lösung hochskalierbar und einfach zu implementieren.
Doch wie schlägt sich XSOAR in der Praxis? Diese und weitere Fragen hat die Redaktion von CANCOM.info den CANCOM-Experten Niels Gliwitzky gestellt.
CANCOM.info: CANCOM hat XSOAR ja in das eigene SOC integriert. Welchen Effekt erzielen Sie damit?
Niels Gliwitzky: Wir erreichen mit der SOAR-Lösung einen deutlich höheren Automatisierungsgrad in unserem SOC. Denn wir haben nun die Möglichkeit, eine Vielzahl von Aktivitäten und Prozessen zu automatisieren – was die Effektivität unseres SOC-Teams steigert. Dieses muss deutlich weniger Zeit und Ressourcen in die Beseitigung wiederkehrender Bedrohungen aufwenden und kann sich stärker auf die komplexeren Fälle konzentrieren. XSOAR ergänzt unser bestehendes SIEM-System optimal.
CANCOM.info: Wie profitieren Ihre Kunden davon, dass das SOC jetzt stärker automatisiert arbeitet?
Niels Gliwitzky: Unser SOC arbeitet dadurch schneller, weil wir viele Arbeitsschritte nun standardisiert abwickeln können – und das mit hoher Zuverlässigkeit. Außerdem sind wir gerade dabei, Playbooks für bestimmte Anwendungsfälle zu entwerfen und diese für jeden Kunden individuell anzupassen. Dies ist nötig, weil Kunden sehr unterschiedliche Technologien für ihre Security-Bereiche einsetzen. Die Anpassung nehmen wir natürlich in enger Abstimmung mit den Kunden vor.
CANCOM.info: Wenn wir beim Thema Anwendungsfälle bleiben: Für welche Fälle erstellen Sie aktuell die entsprechenden Playbooks – damit das SOC diese Use Cases mithilfe von XSOAR künftig automatisiert abarbeiten kann?
Niels Gliwitzky: Wir konzentrieren uns derzeit auf zwei Use Cases. Der erste dreht sich um die Kompromittierung von Clients. Wesentliche Elemente des dafür entwickelten Playbooks werden eine automatische Sperrung des Client-Systems sowie eine Evaluierung sein, ob es sich um eine tatsächliche Bedrohung handelt oder nicht. Der zweite wird das Thema Phishing E-Mails behandeln. Hier werden wir die automatisierte Prüfung von E-Mails durch SOAR inklusive Benachrichtigung der Kunden in das Playbook integrieren.
CANCOM.info: Wieso rücken Sie gerade diese beiden Use Cases in den Mittelpunkt?
Niels Gliwitzky: In beiden Use Cases erhalten unsere Kunden überdurchschnittlich viele Warnmeldungen. Entsprechend ist es gerade in diesen beiden Bereichen wichtig, dass wir auf potenzielle Cyberbedrohungen schnell reagieren. Hier wird die Automatisierung durch XSOAR unser SOC-Team in Zukunft maßgeblich unterstützen.
Weitere Informationen zu den Security-Lösungen von Palo Alto Networks wie XSOAR finden Sie auf der exklusiven Themenseite. Außerdem haben Sie dort die Möglichkeit, CANCOM-Experten für eine unverbindliche Beratung zu kontaktieren.
Hintergrund zum Experten
Niels Gliwitzky
Manager Focus Sales, Security Operations Center, CANCOM
Niels Gliwitzky ist bei CANCOM als Manager Focus Sales Security Operations Center tätig und berät Unternehmen, die selbst keine 24/7-Angriffsüberwachung und -abwehr aufbauen können oder es aufgrund des hohen internen Aufwands nicht wollen. Dabei beschäftigt er sich regelmäßig mit Themen rund um Managed Services, SIEM und SOAR.