11 Fragen, die Sie sich bei der Bewertung einer SOAR-Plattform stellen sollten

Eine der wertvollsten Lösungen in einer SOC-Umgebung ist eine SOAR-Plattform (Security Orchestration, Automation and Response). Sie wurde entwickelt, um die fehlende Handlungsebene hinzuzufügen, die erforderlich ist, um Warnmeldungen schnell und effizient zu priorisieren, Fehlalarme zu reduzieren und Analysten die benötigten Sicherheitsinformationen bereitzustellen.

SOAR-Plattformen Sie helfen Security Operations (SecOps)-Teams, ihre Effizienz zu steigern, indem sie die wachsende Datenmenge aggregieren, diese Daten in umsetzbare Erkenntnisse verwandeln und anschließend einen erheblichen Teil des Incident-Response-Prozesses automatisieren.

Mit SOAR können Analysten auf jede Warnung reagieren und gleichzeitig die mittlere Lösungszeit (MTTR) verkürzen. Ein umfassendes Dashboard bietet einen vollständigen Überblick über Warnungen und Tools sowie Einblicke und Kennzahlen zur Überwachung der Leistung – der gesamte Incident-Response-Prozess wird vereinfacht, automatisiert und dokumentiert.

Doch nicht alle SOAR-Plattformen sind gleich. Wenn es darum geht, eine SOAR-Plattform zu bewerten, sollten Sie sich die folgenden 11 Fragen stellen.

1. Welche Anwendungsfälle kann diese Lösung automatisieren?

Einer der wichtigsten Aspekte bei der Bewertung einer SOAR-Plattform ist, in welchen Anwendungsfällen sie Ihr SecOps-Team unterstützen kann. Eine gute SOAR-Plattform sollte in der Lage sein, eine Vielzahl von Anwendungsfällen zu automatisieren. Häufige SOAR-Anwendungsfälle enthalten:

• Automatisiert Phishing-Ermittlung und Reaktion

• SIEM- und EDR-Alarm-Triage

• Automatisiertes Bedrohungsanalysemanagement

• Malware-Eindämmung

Diese Anwendungsfälle sind ein guter Ausgangspunkt, aber es gibt möglicherweise branchenspezifische Anwendungsfälle, die Ihr Unternehmen automatisieren muss. Suchen Sie nach weniger verbreiteten (aber ebenso wichtigen) Anwendungsfällen wie Betrugsuntersuchung und -bekämpfung, Bedrohungen durch Insider, Mitarbeiter-Onboarding/Offboarding und mehr.

2. Lässt es sich in beliebige APIs integrieren?

Stellen Sie sicher, dass die SOAR-Plattform mit einer Vielzahl von Formaten und Quellen kompatibel ist – insbesondere mit Ihrem bestehenden Technologie-Stack. Eine ökosystemunabhängige SOAR-Lösung sollte sich zudem mit Elementen integrieren lassen, die nicht zum typischen SecOps-Umfeld gehören.

Es sollte darüber hinausgehen SIEM, EDR- und Threat-Intelligence-Tools sollten Telemetriedaten von Cloud- und IoT-Geräten, Rechenzentren und Edge-Computing-Quellen einbeziehen. Achten Sie auf mögliche Anbieterabhängigkeiten und Integrationsbeschränkungen.

3. Besteht eine Abhängigkeit von Entwicklern hinsichtlich der Integration mit APIs?

Überlegen Sie ebenso, wie stark die Integrationen von der Entwicklerunterstützung abhängen. Müssen Sie Budget für dedizierte interne oder externe Entwickler einplanen, um bestimmte APIs zu integrieren? Das reduziert die Gesamtkosten. Kapitalrendite (ROI) was Sie von der SOAR-Plattform erwarten können.

Moderne SOAR-Plattformen nutzen stabile, portable und zuverlässige Verbindungen zu beliebigen APIs, um die Integration zu vereinfachen.

4. Wie viel Programmierkenntnisse müssen Analysten besitzen?

Traditionell waren SOAR-Lösungen komplex, unflexibel und schwer zu handhaben. Der Erfolg älterer SOAR-Plattformen hing von der Einbindung von Entwicklern ab. Im heutigen Sicherheitsumfeld erschweren Personalmangel und der globale Fachkräftemangel die Suche nach Analysten mit fortgeschrittenen Programmierkenntnissen.

Sicherheitsverantwortliche sollten nach einer SOAR-Plattform suchen, die Analysten von Programmieraufgaben entlastet. Dies spart nicht nur Zeit, sondern steigert auch die Arbeitszufriedenheit, da sich die Analysten auf die Untersuchung geschäftskritischer Bedrohungen konzentrieren können.

5. Wie geht man beim Erstellen von Playbooks vor?

Die Playbooks einer leistungsstarken SOAR-Plattform sollten technisch so einfach sein, dass sie von Top-Analysten und Fachexperten erstellt werden können. Gleichzeitig sollte die Automatisierungsleistung nicht beeinträchtigt werden. Achten Sie auf eine Lösung mit einem benutzerfreundlichen Playbook-Generator, damit Sicherheitsteams in einer effizienten und anpassbaren Umgebung trainieren können.

Ihre SOAR-Lösung sollte über eine Drag-and-Drop-Benutzeroberfläche zum Erstellen und Ändern von Playbooks verfügen, ohne dass man sich in Skripten verliert.

6. Können Playbooks an Ihre Geschäftsprozesse angepasst werden?

Ein leistungsstarker Workflow-Builder sollte sowohl mit benutzerdefiniertem Code als auch mit Standardinhalten kompatibel sein, um die Anpassung an jede Organisationsumgebung zu ermöglichen. Achten Sie auf SOAR-Anbieter, die bereits Kunden in Ihrer Branche haben, beispielsweise in den Bereichen kritische Infrastrukturen, Finanzdienstleistungen und Managed Security Service Provider (MSSPs). Die Anforderungen dieser Organisationen erfordern maßgeschneiderte Lösungen für eine erfolgreiche Transparenz über alle spezifischen Systeme hinweg.

7. Verfügt die Plattform über ein integriertes Fallmanagement?

Fallmanagement sollte mehr als nur eine Datenablage sein. Einzelne Fallakten sollten vollständig interaktiv sein und sich automatisch an die benötigten Daten anpassen. Ähnlich wie Salesforce für den Vertrieb, Workday für HR-Fachkräfte oder ServiceNow für die IT sollte Ihre SOAR-Plattform als zentrale Managementplattform für alle Sicherheitsaspekte fungieren. Sie sollte Maschinendaten und automatisierte Funktionen sowie menschliche Entscheidungen während der Reaktionsprozesse erfassen können.

Eine SOAR-Plattform sollte wirklich eine “Aufzeichnungssystem”über den gesamten Technologie-Stack hinweg. Stellen Sie sicher, dass es Transparenz und Reporting über alle Ökosysteme hinweg ermöglicht, um den Stakeholdern im gesamten Unternehmen umsetzbare Erkenntnisse zu liefern.“.

8. Können Dashboards erstellt werden, um Leistungskennzahlen (KPIs) darzustellen?

Sie sollten uneingeschränkte Möglichkeiten haben, Dashboards zu erstellen und anzupassen, um Daten bedarfsgerecht darzustellen. Dashboards sollten intuitiv und für verschiedene Nutzergruppen, wie z. B. SOC-Manager, CISOs und sogar den Vorstand, leicht individualisierbar sein.

Sinnvolle SOAR-Plattformen kombinieren menschliche und maschinelle Intelligenz durch Fallmanagement, Dashboards und Berichtsfunktionen. Dies erleichtert es SecOps, umsetzbare Erkenntnisse zu gewinnen. KPI-Kennzahlen wie MTTD, MTTR und die Benchmarks des MITRE ATTACK Frameworks.

9. Wird es auch bei Wachstum oder Skalierung noch in der Lage sein, die KPIs zu erfüllen?

Stellen Sie sicher, dass die SOAR-Plattform größere und vielfältigere Datensätze aus schwer zugänglichen Quellen verarbeiten kann. Ihre Lösung sollte die Sicherheitsleistung, beispielsweise die mittlere Reaktionszeit (MTTR), beschleunigen und die Verweildauer reduzieren. Dies erfordert einen höheren Durchsatz und eine größere Rechenleistung, als die meisten SOAR-Lösungen bieten.

Eine SOAR-Plattform sollte langfristig nutzbar sein und mit Ihrem SOC mitwachsen. Die leistungsfähigsten SOAR-Lösungen können große Datenmengen und vielfältige Datensätze verarbeiten. Achten Sie auf Lösungsfunktionen, die dies ermöglichen, wie z. B. verteilte Big-Data-Erfassung, Inline-Anreicherung, Vorverarbeitung und ähnliche Funktionen.

10. Wie stimmt es mit den branchenspezifischen regulatorischen Gesetzen und Industriestandards überein?

Unternehmen aller Branchen kämpfen mit einer stetig wachsenden Anzahl an Branchenregeln und Compliance-Anforderungen. Um dieser Herausforderung zu begegnen, sollte die SOAR-Plattform über die Automatisierung von Sicherheitskontrollen und -verfahren hinausgehen. Sie sollte die Dokumentation und das Reporting aller Sicherheitsaktivitäten erfassen und automatisieren. Sicherstellung der Einhaltung und Verstöße gegen gesetzliche Bestimmungen vermeiden.

Suchen Sie nach einer SOAR-Plattform, die eine einfache Dokumentation und ein unkompliziertes Compliance-Reporting ermöglicht. Das ist der Schlüssel zu weniger Aufwand in der Zukunft.

11. Wie hoch ist der erwartete ROI?

Die Sicherheitsbudgets sind weiterhin begrenzt, daher muss sich jede neue Investition lohnen. Der Wert einer SOAR-Plattform sollte für sich sprechen – sofern sie sich als sinnvoll erweist. Geschätzte Einsparungen bei Personalkosten, Support (einschließlich Schulungen, Tools usw.), zusätzlichen Sicherheitstools und Reaktionskosten sollten sich allesamt lohnen. Ein vertrauenswürdiger SOAR-Anbieter sorgt für Transparenz hinsichtlich der einmaligen und laufenden Kosten. Berechnen Sie den ROI der Lösung..

SOAR ist in den meisten Unternehmen ein unverzichtbares Sicherheitsprodukt, das wichtige Sicherheitsprozesse automatisiert und auf Vorfälle reagiert. Um sicherzustellen, dass die von Ihrem Unternehmen gewählte SOAR-Plattform den größtmöglichen ROI bietet, ist es wichtig, sich selbst (und Ihrem Anbieter) Fragen zu stellen, die Ihnen bei der Auswahl der optimalen Plattform für Ihre Bedürfnisse helfen.

Swimlane-ROI-Rechner

Schätzen Sie die Einsparungen, die Sie mit einer Swimlane-Turbine erzielen können.

Ersparnisse berechnen