Red Hat SummitÜberblick
SOAR (Security Orchestration, Automation and Response) bezeichnet eine Reihe von Funktionen, mit denen IT-Systeme vor Bedrohungen geschützt werden.
SOAR umfasst 3 wichtige Softwarefunktionen, die Cybersicherheitsteams verwenden: Case- und Workflow-Management, Aufgabenautomatisierung sowie eine zentrale Methode, um Bedrohungsinformationen (die sogenannte Threat Intelligence) aufzurufen, zu durchsuchen und zu teilen. Der Begriff SOAR wurde von der Analystengruppe Gartner geprägt. Security Analysts definieren SOAR auch mit anderen Begriffen: IDC bezeichnet das Konzept als AIRO (Security Analytics, Intelligence, Response, and Orchestration), und Forrester beschreibt die gleichen Funktionen als SAO (Security Automation and Orchestration).
SOAR wird üblicherweise in Koordination mit dem Security Operations Center (SOC) einer Organisation implementiert. SOAR-Plattformen überwachen Threat Intelligence-Feeds und lösen automatisierte Reaktionen auf Sicherheitsprobleme aus. So können die IT-Teams Bedrohungen in zahlreichen komplexen Systemen schnell und effizient minimieren.
Automatisierung und Orchestrierung von Aufgaben
Unter Sicherheitsautomatisierung versteht man die Durchführung von Sicherheitsprozessen ohne manuelles Eingreifen. Im Bereich der Sicherheit besteht ein erhöhter Automatisierungsbedarf, wenn eine komplexe Infrastruktur vorliegt, deren verschiedene Komponenten nicht miteinander integriert sind. Wie können Sie feststellen, welche Aufgaben automatisiert werden sollten? Beantworten Sie folgende Fragen:
- Ist es eine Routineaufgabe? Muss sie regelmäßig ausgeführt werden?
- Ist die Aufgabe eintönig? Muss eine bestimmte Schrittfolge immer wieder ausgeführt werden?
- Ist die Aufgabe zeitaufwendig? Nehmen diese Schritte sehr viel Zeit in Anspruch?
Wenn Sie eine dieser Fragen mit „Ja“ beantwortet haben, kann Automatisierung Ihnen helfen. Die möglichen positiven Auswirkungen für Ihre Organisation sind zahlreich: reduzierte menschliche Fehler, erhöhte Effizienz und Geschwindigkeit sowie verbesserte Konsistenz bei der Reaktion auf Sicherheitsvorfälle.
Warum Sicherheitsprozesse automatisieren?
Ein Hauptvorteil der Aufgabenautomatisierung besteht darin, dass Sicherheitsteams dadurch effizienter arbeiten und ihre Zeit für andere Bereiche nutzen können. Da es schlichtweg nicht genügend Sicherheitsexpertinnen und -experten gibt, um den Bedarf aller Unternehmen zu decken, kann die Automatisierung dazu beitragen, diesen Talentmangel auszugleichen, indem sie die Sicherheitsteams bei ihrer Arbeit unterstützt und sie beschleunigt.
Sicherheitsteams müssen sich mit einer Vielzahl unterschiedlicher Tools und Produkte auseinandersetzen, wie etwa EDR-Software (Endpoint Detection and Response), Firewalls und SIEM-Lösungen (Security Information and Event Management), die wahrscheinlich nicht miteinander integriert sind. Eine manuelle Verwaltung kann dabei zu einer verlangsamten Erkennung und Behebung von Problemen, zu Fehlern bei der Ressourcenkonfiguration und zu einer inkonsistenten Durchsetzung von Richtlinien führen. Dadurch werden Systeme anfällig für schwerwiegende Angriffe und Compliance-Probleme. Automatisierung kann tägliche Betriebsabläufe optimieren und von Anfang an Sicherheit in Prozesse, Anwendungen und Infrastruktur integrieren – wie bei einem DevSecOps-Ansatz.
Werden Sicherheitsverletzungen innerhalb von 200 Tagen oder weniger identifiziert und bekämpft, lassen sich laut Ponemon Institute die Kosten um durchschnittlich 1,22 Millionen USD senken. Das schnelle Erkennen von Bedrohungen kann die Wahrscheinlichkeit von Sicherheitsverletzungen und die damit verbundenen Kosten verringern. Müssen diese für mehrere Plattformen und Tools behoben werden, kann dies jedoch zu einer komplizierten, zeitaufwendigen und fehleranfälligen Aufgabe werden.
Während manuelle Prozesse die Identifizierung von Bedrohungen in komplexen IT-Ökosystemen verzögern können, kann die Automatisierung von Sicherheitsprozessen Unternehmen dabei unterstützen, Bedrohungen schnell und ohne manuelle Eingriffe zu identifizieren, zu validieren und zu eskalieren. Mit Automatisierung können Sicherheitsteams die Reaktionszeiten verbessern und Behebungsmaßnahmen in sämtlichen betroffenen Systemen ihrer Umgebungen gleichzeitig anwenden.
Was ist der Unterschied zwischen Automatisierung und Orchestrierung?
Die Orchestrierung basiert auf Prozessen, die Automatisierung auf Aufgaben. Sicherheitsorchestrierung bezeichnet das Verfahren, wie Sie unterschiedliche Sicherheitstools und -systeme verbinden und integrieren, um Ihre Reaktions-Workflows zu optimieren. Durch die Verbindung Ihrer Tools und Systeme – und der Prozesse, die sie steuern – können Sie die Vorteile der Automatisierung in Ihren Umgebungen nutzen.
Die Automatisierung kann Workflows vereinfachen, aber für einen der wertvollsten Aspekte von SOAR sind Menschen erforderlich: die hochleistungsfähige Sicherheitsorchestrierung. Bei einer Orchestrierung definieren die IT-Teams den Prozess, gemäß dem die automatisierten Aufgaben ausgeführt werden. Die Orchestrierung von Sicherheitsprozessen basiert darauf, dass Menschen in diesen Teams entscheiden, was, warum und wann automatisiert wird.
Zentrale Threat Intelligence
Threat Intelligence umfasst das Wissen, das man über vorhandene und neue Sicherheitsbedrohungen für die Assets Ihrer Organisation hat. Viele Datenbanken zu Sicherheitslücken dienen als Quelle für Threat Intelligence. Referenzmethoden wie die CVE-Liste machen es einfacher, diese Schwachstellen zu identifizieren, da sie auf sämtlichen Datenbanken und Plattformen geteilt werden können. Threat Intelligence-Plattformen sammeln dieses Wissen über eine Vielzahl an Feeds. SOAR-Tools verwenden mehrere Threat Intelligence-Feeds, um potenzielle Bedrohungen zu erkennen. SOAR fasst diese Feeds in einer einheitlichen Quelle zusammen, die dann von Teams durchsucht und genutzt werden kann, um Automatisierungsaufgaben zu starten.
Organisatorisch gesehen ist das SOC Ihr Reaktionszentrum für Sicherheitsvorfälle. Es kann trotzdem immer noch schwierig sein, die vielen Abteilungen Ihres Unternehmens zu koordinieren und mit ihnen zu kommunizieren. Die Automatisierung kann hier als vereinigende Kraft und als gemeinsame Sprache zwischen den Abteilungen dienen. Eine Automatisierungslösung für Ihre Plattformen – in sämtlichen Abteilungen – kann klare Interaktionskanäle schaffen, die das Erkennen und Einordnen der akuten Sicherheitsbedrohungen vereinfachen.
Frühzeitiges Einbinden von Sicherheit in DevOps-Praktiken
Ein kultureller Wandel kann die Sicherheit verbessern, indem geändert wird, in welcher Phase des Entwicklungsprozesses die Sicherheit berücksichtigt wird. Der Begriff „DevOps“ beschreibt Ansätze, mit denen sich die Prozesse von der Entwicklung einer Idee bis hin zu ihrem Deployment in der Produktivumgebung beschleunigen lassen. In der Vergangenheit war die Sicherheit zumeist Aufgabe eines speziellen Teams in der Endphase der Entwicklung. Das war auch kein größeres Problem, als die Entwicklungszyklen noch mehrere Monate oder gar Jahre in Anspruch nahmen. Jetzt werden Anwendungen jedoch oft innerhalb weniger Wochen bereitgestellt. Beim auf Zusammenarbeit basierenden DevOps-Ansatz aber kann Sicherheit zur gemeinsamen Verantwortung werden, die von Anfang an in den Ablauf integriert ist und als DevSecOps bezeichnet wird.
DevSecOps ist – wie DevOps – ein kulturelles Modell. Bei einem DevSecOps-Ansatz wird Risikomanagement im gesamten Entwicklungsprozess berücksichtigt. Sicherheitsorientierte Unternehmen sind oft unter den Ersten, die DevSecOps-Methoden einführen, bei denen Entwicklungs- und Sicherheitsteams eng zusammenarbeiten, um Sicherheitsmaßnahmen in einer früheren Phase des Entwicklungs-Lifecycles zu implementieren – auch unter dem Ausdruck „Shifting Left“ bekannt.
Unabhängig von der geschaffenen kulturellen Grundlage – für das erfolgreiche Implementieren von DevSecOps ist Automatisierung wesentlich. Die Automatisierung kann dabei Quellkontroll-Repositories, Container Registries, CI/CD-Pipelines, API-Management sowie die Verwaltung und Überwachung von Betriebsabläufen umfassen.
Wie kann Red Hat Sie unterstützen?
Open Source-Software für Unternehmen basiert auf einem Entwicklungsmodell, das Tests und Performance Tuning optimiert – meist mit Support durch ein Sicherheitsteam. Die Software verbessert die Prozesse für die Reaktion auf neue Sicherheitsschwachstellen und die Protokolle zur Benachrichtigung von Nutzenden über Sicherheitsprobleme und Behebungsmaßnahmen. Diese moderne, optimierte Version des Open Source Web of Trust sorgt dafür, dass Sie in Sachen IT-Sicherheit auf Unterstützung rund um die Uhr setzen können.
Mit einer Subskription für Red Hat® Ansible® Automation Platform können Sie verschiedene Sicherheitslösungen automatisieren, orchestrieren und integrieren. Dadurch können Bedrohungen im gesamten Unternehmen einfacher gefunden werden. Sie können schneller auf koordinierte und einheitliche Weise reagieren, da Sie durch eine kuratierte Sammlung von Modulen, Rollen und Playbooks unterstützt werden. Über APIs, SSH, WinRM und andere standardmäßige oder vorhandene Zugriffsmethoden können Sie zudem externe Anwendungen integrieren.
Ansible Automation Platform ermöglicht Full Stack-Prozesse von der Infrastruktur bis zu den Anwendungen, sodass sämtliche Elemente durch eine einheitliche Schicht von Sicherheitstechnologien koordiniert werden. Sicherheits-Operations-Teams können Ansible Automation Platform auch dafür nutzen, andere Unternehmensanwendungen zu managen – zum Beispiel SOAR-Lösungen.
Durch die Expertise von Red Hat im Bereich Open Hybrid Cloud verfügen wir außerdem über eine besonderen Ansatz bei der Implementierung von Cloud-Sicherheit als Schutz vor Cyberbedrohungen und Cyberangriffen. Die Einführung eines Zero Trust-Modells kann die Sicherheitsperspektive eines Unternehmens ändern und Sicherheitsrichtlinien entsprechend anpassen.
