SIEM, SOAR und die Macht der Künstlichen Intelligenz

Seit zwei Jahrzehnten ist SIEM eine der zentralen Komponenten eines gesunden SOC. Hier gehen alle Datenprotokolle zuerst ein, um gespeichert und fortlaufend analysiert zu werden. Die notwendige Einhaltung von Compliance Regeln hat diese Lösungskategorie weiter vorangetrieben, aber als das Mittel der Wahl in der operativen Cybersicherheit selbst nahm es grundlegend Fahrt auf. Ein Jahrzehnt später, im Jahr 2015, folgte SOAR. Dies wurde ursprünglich als Zusammenführung von Reaktion, Automatisierung und Bedrohungsinformationen beschrieben.

Während sich SIEM auf die Datenerfassung, -überwachung und -korrelation konzentriert, fügt SOAR Automatisierungs-, Koordinierungs- und Reaktionsebenen hinzu. Damit wird die Fähigkeit einer Organisation verbessert, Sicherheitsvorfälle effektiv zu erkennen, zu analysieren und darauf zu reagieren. Wenn beispielsweise ein SIEM-System eine Anomalie erkennt und eine Warnung generiert, kann eine SOAR-Plattform automatisch einen vordefinierten Reaktionsablauf einleiten, wie die Isolierung eines betroffenen Endpunkts, die Blockierung einer bösartigen IP-Adresse oder die Eskalation des Vorfalls an einen menschlichen Analysten zur weiteren Untersuchung.

Next Level: Integration mit TIP und UEBA

TIP-Integration
TIPs versorgen SIEM- und SOAR-Systeme mit verwertbarer Threat Intelligence aus verschiedenen Quellen, darunter Open-Source-Feeds, kommerzielle und Premium-Feeds sowie interne proprietäre Daten. Durch die Integration von TIPs in SIEM und SOAR können Organisationen Warnmeldungen mit Kontextinformationen wie Indikatoren für Kompromittierungen (IoCs), Taktiken, Techniken und Verfahren (TTPs) sowie Profilen von Bedrohungsakteuren anreichern. Diese Integration verbessert die Genauigkeit der Bedrohungserkennung und beschleunigt die Wirksamkeit der Reaktion auf Vorfälle.

Integration mit UEBA
UEBA-Lösungen analysieren das Verhalten von Benutzern und Entitäten innerhalb einer Organisation, um Anomalien zu erkennen, die auf Insider-Bedrohungen, kompromittierte Konten oder Advanced Persistent Threats (APTs) hinweisen können. Bei einer Integration mit SIEM und SOAR bietet UEBA zusätzlichen Kontext und Einblicke in verdächtige Nutzeraktivitäten.

So kann beispielsweise eine SIEM-Warnung für ungewöhnliches Anmeldeverhalten mit UEBA-Daten korreliert werden, um festzustellen, ob das Verhalten von den normalen Mustern des Benutzers abweicht. Wenn sich beispielsweise ein CFO um drei Uhr morgens aus Nordkorea anmeldet, könnte dies ungewöhnlich genug sein, um die Alarmglocken läuten zu lassen und die Verantwortlichen zu weiteren Nachforschungen zu bewegen. Die Identifizierung ähnlich anomalen Verhaltens verbessert die Genauigkeit der Bedrohungserkennung.

Rolle der KI in SIEM und SOAR

Verbesserung der Bedrohungserkennung und -reaktion
Generative KI-Lösungen (GenAI) spielen eine immer wichtigere Rolle bei der Verbesserung und Beschleunigung der Fähigkeiten von SIEM- und SOAR-Lösungen. SIEMs der nächsten Generation umfassen daher SIEM-, SOAR-, TIP- und UEBA-Funktionen. Sie können große Mengen an Protokolldaten schnell und effizient analysieren – indem sie Petabytes an Daten in nur wenigen Sekunden durchsuchen – unterschwellige oder hochgradig nuancierte Muster erkennen und Fehlalarme drastisch reduzieren. Durch die Verwendung mehrerer Algorithmen für maschinelles Lernen (ML) und großer Sprachmodelle (LLMs) können sich SOCs schnell an neue und sich entwickelnde Bedrohungen anpassen und so die Genauigkeit und Effektivität der Bedrohungserkennung und -behebung verbessern.

Automatisierung der Reaktion auf Vorfälle
SOAR-Funktionen können nun die Reaktion auf Vorfälle automatisieren, indem sie Vorfalldaten analysieren, potenzielle Bedrohungen vorhersagen und vordefinierte Reaktionsmaßnahmen in Sekundenschnelle ausführen. Hier können Vorfälle auch nach Schweregrad und potenziellen Auswirkungen priorisiert werden, sodass sich Sicherheitsteams auf die kritischsten Bedrohungen konzentrieren können. Dieser Grad an Automatisierung und Intelligenz entlastet nicht nur überlastete Support-Mitarbeiter, sondern verkürzt auch die Reaktionszeiten erheblich und minimiert die Auswirkungen von Sicherheitsvorfällen.

Vorausschauende Analyse und proaktive Abwehr

Solche Lösungen verwenden mehrere KIs und LLMs und ermöglichen so vorausschauende Analysen, mit denen SIEM- und SOAR-Systeme potenzielle Bedrohungen bereits in den frühen Phasen eines Befalls erkennen können. Durch die Analyse historischer Daten und deren Kontextualisierung mit aktuellen Trends wird die Vorhersage zukünftiger Angriffsvektoren und potenzieller Schwachstellen ermöglicht, sodass Unternehmen aktive Abwehrmaßnahmen ergreifen und ihre Sicherheitslage stärken können.

Drei zielführende Ansätze zur Optimierung der Sicherheitslage

Umfassende Integrationsstrategien umsetzen
Unternehmen sollten sich darauf konzentrieren, SIEM und SOAR in andere Sicherheitstechnologien wie TIP, UEBA, Endpoint Detection and Response (EDR) sowie Netzwerküberwachungstools zu integrieren. Dies gewährleistet einen ganzheitlichen Überblick über die Sicherheitslandschaft und ermöglicht eine bessere und differenziertere Bedrohungserkennung, eine schnellere Analyse und eine umfassendere Reaktion. Durch die Entwicklung eines Sicherheitspakets, das ein einheitliches SOC unterstützt, werden Daten aus verschiedenen Quellen genutzt, das Situationsbewusstsein verbessert und das Vorfallmanagement beschleunigt sowie optimiert.

KI- und maschinelle Lernfunktionen nutzen
Wenn sie es noch nicht getan haben, sollten Unternehmen schnell in KI- und maschinelles Lernen investieren, um die Effektivität von SIEM und SOAR zu maximieren. Die Anzahl der Bedrohungen nimmt exponentiell zu. Noch wichtiger ist, dass Kriminelle – ohne jegliche Einsatzbeschränkungen – bereits großzügig von KI Gebrauch machen. Durch die Einbeziehung von KI auf der „guten“ Seite der Gleichung wird die Fähigkeit verbessert, komplexe Bedrohungen zu erkennen, Fehlalarme zu reduzieren und Reaktionsmaßnahmen zu automatisieren.

Sicherheitsteams sollten zudem so aufgestellt sein, dass sie KI-Modelle kontinuierlich mit aktuellen Bedrohungsdaten und -informationen trainieren, um sich an die sich weiterentwickelnden Angriffstechniken anzupassen. Wie bei jedem anderen Teil eines SOC verbessert die Integration von KI-gesteuerten Analysen in einen SOAR-gesteuerten Sicherheits-Workflow die Erkennung von Bedrohungen, die Reaktionsgeschwindigkeit und die Genauigkeit.

Entwicklung und Pflege von Workflows zur Reaktion auf Vorfälle
Organisationen sollten umfassende und automatisierte Workflows zur Reaktion auf Vorfälle entwickeln, die auf ihre einzigartige Bedrohungslandschaft und Betriebsumgebung zugeschnitten sind. Die Datenquellen für diese Workflows sollten darüber hinaus regelmäßig aktualisiert werden, um neue Bedrohungen, Schwachstellen und Änderungen in der IT-Infrastruktur widerzuspiegeln.

Fazit

Durch die Standardisierung von Reaktionsverfahren und die Automatisierung der Ausführung über SOAR-Plattformen können Organisationen einen konsistenten und effizienten Ansatz für die Bewältigung von Sicherheitsvorfällen gewährleisten. Regelmäßige Tests und Simulationsübungen können die Wirksamkeit von Methoden zur Reaktion auf Vorfälle validieren und diejenigen identifizieren, die verfeinert werden müssen. Als Teil von innovativen Security Operations Plattformen stehen den Analysten zudem Automatisierungs-Tools zur Verfügung, um Untersuchungen, Triage, Beseitigungen, Eindämmungen und Blockierungen durchzuführen, wodurch traditionelle Playbooks überflüssig werden.

Frank Lange

ist Technical Director bei Anomali.

Roger Homrich

Recent Posts

Industrielle KI: Siemens beansprucht Führungsrolle

Auf der Technologiemesse CES zeigte das Unternehmen, wie Daten, KI und softwaredefinierte Automatisierung zusammenwachsen.

2 Tagen ago

PQC-Verschlüsselung nicht auf lange Bank schieben

Was bedeutet der Entwurf "Transition to Post-Quantum Cryptography Standards" des National Institute of Standards and…

2 Tagen ago

So lang hält Deutschland ohne Digital-Importe durch

Bikom-Umfrage: 53 Prozent der Importeure müssten in der Folge von Einführungsstopps spätestens nach einem Jahr…

3 Tagen ago

Accenture: Innovationspotenzial autonomer KI erschließen

KI-Trends 2025: Flexible, generative KI-Lösungen ersetzen starre Architekturen / Mensch und KI bilden positive Lernschleife

3 Tagen ago

DSGVO und generative KI: Passt das zusammen?

Mit den Vorteilen generativer KI gehen ernsthafte Herausforderungen einher, insbesondere in Bezug auf Datenschutz und…

4 Tagen ago

KI in der Versicherungsbranche: Deloitte erwartet höhere Skalierung

Mehr als zwei Drittel der Unternehmen planen derzeit Investitionen in die KI-Weiterbildung ihrer Mitarbeitenden.

4 Tagen ago