Brauche ich jetzt auch noch "SOAR"?
Brauche ich jetzt auch noch "SOAR"?
Sicherheitssoftware-Trends
Security Orchestration Automation and Response, kurz SOAR, soll das Security Management und dessen Automatisierung erleichtern. Das weitreichende Potenzial der Lösung haben in den vergangenen Jahren bereits verschiedene Unternehmen und Plattform-Anbieter erkannt und sich den Trend zunutze gemacht. Diego Sanchez Recillas, Senior Business Development Manager bei secunet, erklärt im Gespräch, in welchem Zusammenhang SOAR mit SIEM- oder XDR-Plattformen steht und worauf Nutzer*innen ihr Augenmerk legen sollten.
In den letzten Jahren hat sich SOAR zu einem absoluten Security-Trend entwickelt. Warum?
Digitale Infrastrukturen werden immer komplexer, vernetzen immer mehr Menschen und Maschinen über alle Anwendungsbereiche hinweg. Damit steigen nicht nur die Anforderungen an die IT-Sicherheit, sondern auch der Bedarf nach innovativen, ganzheitlichen Lösungen. Dazu gehört SOAR, das als zeitgemäße Softwarekategorie das Security Management und dessen Automatisierung erleichtern bzw. verbessern soll. Das weitreichende Potenzial haben auch Cloud-Anbieter erkannt, die derzeit entsprechende Sicherheitssoftware in ihre Plattformen integrieren.
Warum ist SOAR auch bei Cloud-Anbietern präsent?
Cloud Computing ist ein zukunftsträchtiger Multi-Milliarden-Dollar-Markt, der von Branchengiganten wie Microsoft Azure, Amazon Web Services und Google Cloud Platform dominiert wird. Die Anbieter konkurrieren mit neuen, immer leistungsstärkeren Technologien, Produkten und Dienstleistungen um ihren Anteil an den stetig wachsenden Umsätzen. Um ihre Marktposition zu sichern bzw. noch auszubauen und auch in Zukunft wettbewerbsfähig zu bleiben, setzen sie zunehmend auf die Sicherheitskompetenzen ihrer Cloud-Plattformen. Das ist essenziell, da hier riesige Datenmengen zentral verwaltet und entsprechend abgesichert werden müssen – vor allem automatisiert. SOAR bietet dafür eine praktikable Lösung.
Was unterscheidet SOAR von bestehenden IT-Sicherheitslösungen?
SOAR zeichnet sich durch ein komplett automatisiertes Vorgehen bei der Ermittlung und Behebung von IT-Sicherheitsproblemen aus. Damit bietet die Software eine passende Ergänzung zu Security Information Event Management (SIEM), Extended Detection & Response (XDR) oder Secure Access Service Edge (SASE), die bei der zuverlässigen Erkennung von Cyberangriffen unterstützen, jedoch ein manuelles Eingreifen voraussetzen. SOAR ist damit die effiziente und schnelle Lösung, um die Lücke fehlender Ressourcen in den IT-Abteilungen zu schließen. Bisher wurde sie deshalb häufig in Kombination SIEM, XDR und SASE eingesetzt. Als neueste Entwicklung zeigte sich zuletzt, dass die Anbieter dieser Plattformen sowie Hyperscaler verstärkt SOAR-Anbieter aufkaufen und in die eigenen Lösungen integrieren. In der Folge können wir eine Konsolidierung des Marktes beobachten.
SOAR ist also zu einem festen Bestandteil der IT-Sicherheitswelt geworden. Doch wie wirkt die Lösung genau?
SOAR funktioniert über ein automatisiertes Bedrohungs- und Schwachstellenmanagement. Dafür werden in drei Schritten Informationen über Sicherheitsrisiken unterschiedlicher Ursprünge gesammelt und zentralisiert verarbeitet. Anhand dieser Daten wird dann eine automatisierte Reaktion auf mögliche Risiken geprüft und die erkannten Schwachstellen behoben. Dank Machine Learning wird die Software ständig optimiert und ein Standardverfahren zur Bekämpfung zukünftiger Vorfälle entwickelt. Das ist ein entscheidender Punkt für den Erfolg: Das System muss ständig dazulernen, um die zunehmend komplexer werdenden, digitalen Infrastrukturen abbilden und adäquat auf Bedrohungen regieren zu können. Bei einem Vorfall rein manuell einzugreifen oder auch sämtliche Sicherheitslücken vorausschauend zu schließen, ist aufgrund der zunehmenden Komplexität und Professionalität der Angriffe in den vergangenen Jahren nahezu unmöglich geworden.
Ist SOAR für alle Unternehmen relevant?
Aufgrund der genannten Entwicklungen ist SOAR künftig nicht als eigene Produktkategorie, sondern als Teil von Security-Plattformen zu sehen. Der Einsatz der richtigen Lösung hängt immer von den individuellen Sicherheitsanforderungen ab, die ein Unternehmen oder eine Organisation erfüllt. Kritische Infrastrukturen, kurz KRITIS, bei denen IT-Sicherheit höchste Priorität hat, sind dafür ein gutes Beispiel. Zu ihnen zählen beispielsweise die Energie- und Wasserversorgung. Für KRITIS-Unternehmen würde der Einsatz von Cloud-Plattformen (inklusive SOAR) zwar eine höhere Effizienz dank des zentralisierten Managements bedeuten, kann aber auch eine zusätzliche Angriffsfläche darstellen. Aus diesem Grund setzen sie häufig auf On-Premises-Software, die an die spezifischen Anforderungen adaptiert und bei Bedarf auch eigenständig erweitert werden kann. secunet berät bei der Realisierung der passenden Lösungen und bietet mit den eigenen Providern SecuStack und SysEleven nicht nur eine sichere Cloud-Infrastruktur, sondern auch vielfältige On-Prem- oder Edge-Security-Komponenten. Zukünftig soll die Orchestrierung aller Informationen auf einer einheitlichen Plattform ermöglicht werden. Dabei wird die EU-Gesetzgebung für den Umgang mit kritischen Daten berücksichtigt, sodass sämtliche Sicherheitsbelange – selbst im KRITIS-Umfeld – abgedeckt werden.

Q2/22: Inhalte aus dieser Ausgabe
Schreiben Sie uns und wir melden uns schnellstmöglich bei Ihnen!