THINK Blog DACH

In hypervernetzten Strukturen können sich lokale Vorfälle weltweit auswirken. Mit SOAR reagieren Unternehmen kontrolliert und Clearing steuert das ‚need to know‘.

Von Jens-Uwe Fimmen, Senior Manager; und Eric Vervoort, IBM Threat Management Leader, IBM Security Expert Labs

Kleine Ursache, große Wirkungen – in globalen Konzernstrukturen können lokale Vorfälle auf das gesamte Firmengeflecht ausstrahlen. Automatisierte Workflows helfen, auch bei komplexen Verbindungen effizient auf sicherheitsrelevante Vorfälle zu reagieren und die Informationen gezielt zu teilen. Realisiert werden sie über eine Kombination von Software-Programmen, SOAR („Security, Orchestration, Automation und Response“) genannt. Doch wie arbeitet eine SOAR-Lösung und wie kann das IT-Team sicherstellen, dass Meldungen nur dort eintreffen, wo der Ablauf des Betriebs tatsächlich gefährdet ist? Der Schlüssel: eine Clearing-Funktion, die das SOAR noch effizienter macht.

In einem Werk wird festgestellt, dass für eine bestimmte Komponente oder ein Produkt (eines Flugzeugs, Autos, Backofens etc.) eine falsche Schraube verwendet wurde. Unter bestimmten Bedingungen – Temperatur, Belastung, Druck – lockert sich diese Schraube, was wiederum zu Schäden oder Unfällen führen kann. Die falsche Schraube wird für den Konzern, der eine große Anzahl der Komponenten oder Produkte herstellt, also zu einem Sicherheitsproblem globalen Ausmaßes. Wie kann er den Schaden möglichst gut eindämmen?

SOAR-Lösungen priorisieren, standardisieren und automatisieren

Hier kommt die IT-Abteilung ins Spiel. Sie kann die komplexen Strukturen vollständig abbilden und dank Automatisierung mit festgelegten Prozessen reagieren. Diese werden über eine Kombination von Software-Programmen gesteuert, die Daten zu den Bedrohungen sammeln, kategorisieren und dann entsprechende Reaktionen triggern. Lösungen dieser Art nennen sich SOAR, ein Akronym aus „Security, Orchestration, Automation und Response“. Geprägt wurde der Begriff von Gartner. Er lässt sich auf alle Produkte und Services anwenden, die dabei helfen, Vorfallsreaktionen zu priorisieren, zu standardisieren und zu automatisieren. Bei diesem ganzen Vorgang ist es wesentlich, dass dabei die Informationen auch wirklich nur mit den Konzernteilen, Abteilungen oder Ländern geteilt werden, die davon wissen sollen: Es kann sein, dass der Problemfall „falsche Schraube“ in einigen Märkten gar kein Problemfall ist, aber andere Probleme verursachen würde, wenn er für diese Märkte getriggert wird.

Beispielsweise könnte das in Märkten sein, in denen das Problem nicht auftreten kann, weil dort andere Bedingungen herrschen oder die entsprechenden Produkte oder Varianten gar nicht verkauft werden. Die Information zum Risikokandidaten „falsche Schraube“ sollte hier also gar nicht erst adressiert werden, da sie im schlimmsten Fall unerwünschte Folgen hätte, wie beispielsweise rechtliche Prüfungen – mit entsprechenden Konsequenzen. Wie also können Unternehmen sicherstellen, dass Informationen aus dem SOAR-Workflow nur in den richtigen – relevanten – Abteilungen, Ländern, Unter-Marken eines Konzerns aufschlagen?

IBM beispielsweise bietet für diese unternehmenskritischen Fragen die Lösung „IBM Security SOAR Clearing System“ auf Basis der hoch-integrationsfähigen IBM Security QRadar SOAR-Plattform (ehemals IBM Resilience) an.

Clearing für SOAR – Cleverer Mechanismus optimiert Lösung

Die Kernfragen, die sich IT-Abteilung und Unternehmen stellen müssen sind:

• Wie könnte ein Abgleich – also eine Art „Clearing“ – der Schadensinformationen für die unterschiedlichen Empfänger aussehen?
• Durch welchen Mechanismus könnte der Workflow entsprechend gefiltert werden?
• Wie könnte das SOAR-System auf elegante Weise mit einer Art Pass-List für bestimmte Produkte oder Regionen ausgestattet werden?

Die Lösung kann ein SOAR Clearing System sein. Hier werden die beteiligten Konzernteile mit einer eigenen SOAR-Instanz ausgestattet und an ein konzernübergreifendes, verteiltes „Gateway“ angeschlossen. So können die Risikoinformation aus dem Workflow verteilt und gefiltert werden – beispielsweise nach geografischer Region. Die verteilte Architektur erlaubt es den IT-Teams, die Daten jeweils in der lokalen SOAR-Instanz zu speichern. Ein Regelwerk stellt sicher, dass nur gefilterte Daten die geografische Zone bzw. die SOAR-Instanz verlassen.

Die zusätzliche Clearing-Funktion im SOAR erlaubt es, die Risiko-Information „Falsche Schraube“ genauestens dorthin steuern, wo sie benötigt wird; in Lokationen, wo sie mehr Schaden als Nutzen bringen würde, wird sie ausgefiltert.

Eine Lösungsarchitektur, viele Use Cases

Diese Lösungsarchitektur hat das Potenzial für viele weitere Use Cases, insbesondere in verzweigten Unternehmen und Konzernen. Stellvertretend für eine ganze Reihe von Szenarien lassen sich diese nennen:

• Intellectual-Property-Informationen, die aus rechtlichen Gründen nicht im ganzen Konzern geteilt werden dürfen
• Produktions- Vorfälle, die Auswirkungen an vielen Stellen einer komplexen Lieferkette haben
• IT-Security-Vorfälle jeder Art

Nutzer und Administratoren dieser SOAR-Umgebungen können sich damit beispielsweise gemeinsam genutzte Vorfälle anzeigen lassen oder Kopien von Vorfällen gemäß interner Compliance-Richtlinien zum Risikomanagement oder zum Qualitätsmanagement verschicken. Zudem können sie Informationen über Notizfunktionen anfordern. SOAR-Konfigurationen können in den Umgebungen verteilt und bestehende Konfigurationen auf Systembasis bereinigt werden.

Fazit: Automatisierung und Clearing steigern Effizienz und schützen das Unternehmen

Setzen Unternehmen auf eine SOAR-Lösung, entlasten sie einerseits die IT-Abteilung durch die automatischen Workflows. Zeitgleich lassen sich (IT-)Sicherheitsvorfälle effizient und in den komplexen Strukturen zuverlässig bearbeiten. Ergänzen CISOs eine Clearingfunktion und bauen eine passende SOAR-Architektur auf, verleihen sie ihr das gewisse Extra und steigern die Effizienz zusätzlich. Das Unternehmen ist dann noch besser bei Vorfällen jeder Art – von der falschen Schraube bis hin zum Angriff auf die IT – geschützt.