SOAR und Managed Detection & Response auf dem Vormarsch? SIEM und SOC werden von SOAR und MDR abgelöst

Von Wolfgang Kurz

Ein SIEM allein reicht nicht aus, um Unternehmen vor Cyberangriffen zu schützen. Denn ohne Automatisierung ist es kaum noch möglich, die Masse an Sicherheitsmeldungen auszuwerten, die das System generiert. Der Trend geht daher vor allem im Mittestland zu SOAR-Systemen, die in einen Managed Service integriert sind.

Anbieter zum Thema

Der Fachkräftemangel, das immer komplexere Security-Management und die Masse an Security Alerts führen dazu, dass Incidents nicht schnell genug ausgewertet werden und Bedrohungen zu lange unbemerkt bleiben.
Der Fachkräftemangel, das immer komplexere Security-Management und die Masse an Security Alerts führen dazu, dass Incidents nicht schnell genug ausgewertet werden und Bedrohungen zu lange unbemerkt bleiben.
(© leowolfert - stock.adobe.com)

Lange Zeit galt ein Security Information and Event Managemet (SIEM) als Mittel der Wahl, um bösartige Cyberangriffe schnell zu erkennen. Viele Unternehmen haben daher in den vergangenen Jahren in eine solche Lösung investiert – häufig aus Compliance-Gründen. Denn zahlreiche Regularien schreiben dies vor. Doch sich ein SIEM ins Rechenzentrum zu stellen und es einmal zu konfigurieren, reicht nicht aus. Man muss es auch kontinuierlich pflegen, Quellen anbinden und immer wieder nachjustieren. Vor allem aber braucht man Security-Analysten, um die Informationen, die das System ausgibt, nachzuverfolgen und zu bewerten. Kaum ein mittelständisches Unternehmen hat dafür genug Fachkräfte und Expertise im eigenen Haus. Häufig dient das SIEM daher schon nach kurzer Zeit nur noch als Logspeicher. Das ist hilfreich bei einer forensischen Untersuchung, bringt aber wenig, um einen Cyberangriff zu erkennen und zu stoppen.

Warum ein SIEM kein verlässliches Schutzlevel bietet

Ein SIEM sammelt die Logdaten angeschlossener Security-Systeme, setzt sie zueinander in Bezug und sucht nach Anomalien. Entdeckt es ungewöhnliches Verhalten, gibt es eine Meldung aus. Es kann Auffälligkeiten identifizieren, erkennt jedoch nicht, inwieweit sie sicherheitsrelevant sind. Wenn sich also ein Mitarbeiter aus dem Ausland über den VPN in der deutschen Zentrale einloggt, sieht es für das SIEM so aus, als würde sich dieselbe Person zweimal von unterschiedlichen Standorten aus anmelden. Es vermutet also einen Hacker-Angriff und schlägt Alarm. Solche False Positives stellen in der Summe eine hohe Belastung für die Security-Teams dar und führen dazu, dass Alerts häufig nur kurz überflogen werden und kritische Hinweise aufgrund der Flut an Warnmeldungen oft unbemerkt bleiben.

In den Security Operation Centern (SOCs) größerer Unternehmen arbeiten deshalb oft spezialisierte Security-Mitarbeiter, die die Warnmeldungen aus dem SIEM auswerten. Im zweistufigen Verfahren untersuchen Level-1-Analysten zunächst, ob es Hinweise darauf gibt, dass ein Log-Event gefährlich ist. Dafür werden Daten mit Informationen aus der Vergangenheit korreliert. Stand ein ähnlicher Alert schon einmal im Zusammenhang mit einem Sicherheitsvorfall? Ist ein Code-Schnipsel oder eine URL als bösartig bekannt? Um dies herauszufinden, durchforsten die Analysten die Threat-Intelligence-Datenbanken der Security Anbieter. Bei jeder Recherche müssen sie Bedrohungsinformationen aktuell abrufen. Denn Anzeichen wie bösartige DNS-Einträge können sich laufend ändern. Bestätigt sich der Verdacht eines Sicherheitsrisikos, übernehmen die Level-2-Analysten. Sie verfolgen gemeinsam mit dem IT-Personal vor Ort die Spuren und stellen fest, ob es sich tatsächlich um einen Angriff handelt.

SOAR entlastet SOC-Mitarbeiter

Die Arbeit in einem SOC ist aufwendig und erfordert Expertenwissen. Insbesondere Level-1-Analysen bringen viel manuelle Fleißarbeit mit sich. Kaum ein Security-Mitarbeiter macht diesen Job daher gerne. Das erschwert es für Unternehmen, geeignete Fachkräfte auf dem ohnehin leergefegten Arbeitsmarkt zu finden. Dazu kommt, dass manuelle Untersuchungen langwierig sind. Allein eine Level-1-Analyse kann schon einmal mehrere Stunden dauern, in denen im Fall eines Cyberangriffs wertvolle Zeit verstreicht.

Eine Lösung für Security Orchestration, Automation and Response (SOAR) kann hier Abhilfe schaffen und kommt in modernen SOCs oft zum Einsatz. Mit ihr können Level-1-Analysen automatisiert durchgeführt werden, was Mitarbeiter erheblich entlasten und Prozesse beschleunigt. Die Automatisierung im SOAR erfolgt mithilfe von Playbooks, die Workflows und Logiken beinhalten, die das System abarbeitet. Laut Angaben des Security-Herstellers Palo Alto Networks kann ein SOAR die Alarme, die die Mitarbeiter noch überprüfen müssen, um bis zu 95 Prozent reduzieren.

Kleine und mittelständische Unternehmen nutzen MDR

Auch wenn ein SOAR viele Vorteile bietet, lohnt es sich für ein mittelständisches Unternehmen in der Regel nicht, selbst eines zu betreiben. Ein gangbarer Weg für sie: Virtual SOC (vSOC) und Managed Detection & Response (MDR). Bei MDR betreibt ein Managed Security Services Provider (MSSP) das SOAR für das Unternehmen. Er kümmert sich um den Betrieb der Lösung, bindet die Log-Quellen an, modelliert sie und kümmert sich um die Adaption und Erweiterung der Playbooks. Der MSSP kann den Service wahlweise aus seiner Private Cloud, aus der Public Cloud oder auch beim Kunden vor Ort erbringen. Entdecken die Analysten des Providers Anzeichen für einen Sicherheitsvorfall, verständigen sie den Kunden. Sie führen in enger Zusammenarbeit mit ihm weitere Untersuchungen durch und geben ihm Schritt-für Schritt-Handlungsempfehlungen, um den Angriff zu stoppen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Fazit: MDR kann Schaden vermeiden und die Sicherheit erhöhen

Der Fachkräftemangel, das immer komplexere Security-Management und die Masse an Security Alerts führen dazu, dass Incidents nicht schnell genug ausgewertet werden und Bedrohungen zu lange unbemerkt bleiben. Um automatisierten Angriffen zu begegnen, ist eine automatisierte Detection & Response nötig, die die Datenflut auf verwertbare Warnungen reduziert und den Security Analysten möglichst viel Arbeit abnimmt. Mit MDR wird dies auch für kleinere und mittelständische Unternehmen machbar. In der Zusammenarbeit mit einem MSSP profitieren sie von einem leistungsstarken SOAR und spezialisiertem Analysten-Know-how, ohne dass sie selbst ein SIEM oder SOC betreiben müssen.

Über den Autor: Wolfgang Kurz ist CEO bei Indevis.

(ID:48112432)