Die Fallstricke bei der Wahl einer “ausreichend guten” SOAR-Lösung

“Gut genug” mag zwar die formale Anforderung erfüllen, aber das Problem wird es wahrscheinlich nicht lösen.

CISOs stehen unter enormem Druck, mit der wachsenden Angriffsfläche, begrenzten Ressourcen und steigenden Compliance-Anforderungen Schritt zu halten. Daher erscheint eine “gut genug”-Lösung als attraktive Option. Doch obwohl die Implementierung einer solchen Lösung die Produktivität Ihres Teams steigern und gleichzeitig das Risiko senken mag, kann sie tatsächlich mehr Schaden als Nutzen anrichten. Kurzfristig vermitteln solche Lösungen ein trügerisches Sicherheitsgefühl, langfristig kann dies jedoch einen aufwendigen und kostspieligen Systemaustausch erforderlich machen. Vermeiden Sie diesen Aufwand, indem Sie von Anfang an die richtige SOAR-Lösung auswählen.

Die richtige Lösung auswählen

Die Wahl des richtigen Werkzeugs ist für jede Aufgabe entscheidend. Man greift ja auch nicht zum Steakmesser, wenn man eigentlich eine Säge braucht. Angesichts der vielen verfügbaren SOAR-Lösungen stellt sich die Frage: Welche passt am besten zu den individuellen Anforderungen Ihres Security Operations Centers (SOC)? Im Auswahlprozess mag man sich leicht von der ersten Lösung angezogen fühlen, die einfach und benutzerfreundlich erscheint. Doch Vorsicht: Solche Lösungen gehen meist auf Kosten der Skalierbarkeit und langfristigen Produktivität.

Wie unterscheidet man eine “ausreichende” SOAR-Lösung von einer vollständigen? Es gibt verschiedene Ansätze, aber konzentrieren Sie sich zunächst auf Lösungen, die Ihnen und Ihrem Team eine höhere Produktivität ermöglichen und gleichzeitig Ihre langfristige Betriebsstrategie zukunftssicher gestalten.

Es gibt mehrere Warnsignale, die zu Reue nach dem Kauf führen können. Schauen wir uns sechs davon an:

1. Begrenzte Anwendbarkeit in der Praxis Sicherheitsoperationen sind hektisch, und man konzentriert sich leicht darauf, Warnmeldungen, Fälle und Aufgaben abzuschließen, um zum nächsten überzugehen. Forscher beobachten jedoch zunehmend, dass Angreifer weniger zentralisierte Infrastrukturen für ihre Angriffe nutzen. Das bedeutet, dass die Bedrohungsanalyse nicht immer schnell genug bösartige Command-and-Control-Infrastrukturen (C2) identifizieren kann. Ihr SOAR-Produkt benötigt daher eine langfristige Automatisierung, die Telemetriedaten aktualisiert, sobald Bedrohungsdaten und andere Untersuchungsquellen aktualisiert werden. Andernfalls könnte der Fall, den Sie voreilig als abgeschlossen markiert haben und bei dem Sie keine Treffer in der Bedrohungsanalyse gefunden haben, in Wirklichkeit ein brandneuer C2-Server sein, der eigens für Sie eingerichtet wurde.

2. Inflexibilität Eine der wichtigsten Methoden, um schnell eine “ausreichend gute” SOAR-Lösung zu finden, ist die Prüfung der Flexibilität der wichtigsten Plattformaspekte: Automatisierungs-Engine, Benutzererfahrung und Integrationsframework. ”Ausreichend gute” Lösungen erfordern starre, herstellerseitig vorgegebene Schritte, die für Ihre Umgebung nicht anwendbar, redundant oder irrelevant sind. Wichtig ist eine konfigurierbare, agile Lösung. Eine erweiterbare Automatisierungsplattform ist flexibel, robust und funktionsreich. Sie ermöglicht es Ihnen, Ihre Anwendungsfälle unter Berücksichtigung Ihrer individuellen Umgebung, internen Prozesse und Compliance-Anforderungen zu entwickeln. Ohne eine solch umfassende Plattform wird sich Ihr Team schnell eingeschränkt und frustriert fühlen, da die Möglichkeiten zur Automatisierung im Arbeitsalltag begrenzt sind.

3. Mangelnde Integration von Anbietern – Integrationen Sie sind Kernbestandteil der SOAR-Funktionalität. Bietet die von Ihnen evaluierte Lösung Integrationen mit Ihren aktuell verwendeten Tools? Wie schnell und wie häufig werden neue Integrationen hinzugefügt? Vorsicht vor Anbietern, die Integrationen mit ihren eigenen Produktlinien gegenüber solchen von Drittanbietern bevorzugen. Überlegen Sie außerdem, welche Integrationen Sie zukünftig benötigen werden. Werden diese alle für ein einzelnes Portfoliounternehmen benötigt oder stammen sie aus einem diversifizierten Technologie-Stack, der Sicherheit, DevOps, IT und Cloud-Infrastruktur umfasst?

4. Der Fokus liegt nicht auf SOAR Manche SOAR-Anbieter haben umfangreiche Produktlinien, wobei SOAR nur einen kleinen Teil ihres Gesamtangebots ausmacht. Es ist wichtig zu erkennen, wenn SOAR nicht zum Kerngeschäft eines Unternehmens gehört. Investiert das Unternehmen ausreichend Zeit in die Entwicklung und Optimierung Ihrer SOAR-Lösung, oder wird sie lediglich als Zusatzleistung zu einem geringen Aufpreis angeboten oder als Anreiz für den Kauf eines anderen Produkts genutzt? Technologieentwicklung ist wie jedes andere Handwerk. Neben dem richtigen Werkzeug ist es wichtig, den richtigen Partner zu wählen – einen Partner mit fundierter Expertise und übereinstimmenden Zielen.

5. Lässt sich nicht skalieren – Mit dem Wachstum Ihres Unternehmens muss auch Ihre SOAR-Lösung mitwachsen. Ob Sie in einem Großunternehmen oder einem MSSP tätig sind, ein Mangel an Skalierbarkeit Dies kann erhebliche negative Auswirkungen haben, wenn man versucht, die Kapazitätsgrenzen einer “ausreichend guten” SOAR-Lösung zu überschreiten. Der Aufwand für die Datensicherheitsteams, die Daten zu verwalten haben, nimmt stetig zu, anstatt ab – und zwar parallel zur Größe der zu sichernden Fläche.

6. Fokus auf Kosten vs. Fähigkeiten Jeder hat ein begrenztes Budget. Es ist verlockend, wenn man eine vollwertige SOAR-Lösung günstig bekommt oder die meisten benötigten Komponenten als Zusatzmodul erhält. Doch diese günstigen Optionen verschleiern die Tatsache, dass man zugunsten des niedrigeren Preises auf notwendige Funktionen verzichtet. Eine Komplettlösung mag auf den ersten Blick teurer erscheinen, aber die Kapitalrendite (ROI) wird diesen Kostenunterschied mehr als ausgleichen.

Letztendlich trägt die richtige SOAR-Lösung dazu bei, dass Ihr Sicherheitsteam effektiver und effizienter arbeiten kann. Auch wenn manche Lösungen durch eine scheinbar einfache Benutzeroberfläche oder einen niedrigen Preis verlockend erscheinen mögen, lohnt es sich, Zeit und Mühe in die Evaluierung verschiedener Lösungen zu investieren, um sicherzustellen, dass Ihre SOAR-Lösung mit Ihrem Team mitwachsen kann.