Die Zukunft von SOAR

Vergangenheit, Gegenwart und Zukunft von SOAR Teil 3

In den ersten beiden Teilen dieser Blogserie haben wir uns mit dem Thema befasst. Status des Security Operations Center (SOC) mit Schwerpunkt auf Security Information and Event Management (SIEM)-Systemen und die Zustand der Sicherheitsorchestrierung, -automatisierung und -reaktion (SOAR). Im dritten und letzten Teil dieser Serie werden wir uns mit der Zukunft von SOAR beschäftigen.

Laut Analysten befindet sich die Einführung von SOAR noch in einem frühen Stadium. Mit zunehmender Reife der SOAR-Lösungen in SOCs werden neue Anwendungsfälle implementiert, und die Einsatzmöglichkeiten von SOAR erweisen sich als grenzenlos.

Kreative Höhenflüge

Obwohl SOAR-fähige SOCs nahezu unbegrenztes Potenzial bieten, ist es wichtig zu betonen, dass keine Sicherheitslösung, Plattform oder kein Tool ein Allheilmittel darstellt. Als Branche müssen wir uns kontinuierlich weiterentwickeln und mit der sich wandelnden und wachsenden Bedrohungslandschaft Schritt halten.

Der beste Weg, dies zu erreichen, ist Kreativität! Unternehmen, die SOAR-Lösungen implementieren, sollten über die Orchestrierung und Automatisierung von Standard-Playbooks und -Workflows hinausgehen (obwohl diese natürlich auch wichtig sind). Wenn Sie dies lesen und zu dieser Gruppe gehören, suchen Sie nach neuen Wegen, um das Potenzial Ihrer SOAR-Plattform voll auszuschöpfen. Sobald Standardprozesse automatisiert sind, prüfen Sie erneut, wie Sie die gewünschten Ergebnisse erzielen können, und suchen Sie gleichzeitig nach neuen und innovativen Möglichkeiten, diese Prozesse zu verbessern und Ihre SOAR-Lösung zu optimieren. Und denken Sie daran: Einer der spannendsten Aspekte von SOAR ist die horizontale Skalierbarkeit im gesamten Unternehmen. Sehen Sie sich diesen Anwendungsfall zum Thema Mitarbeiter-Offboarding als Beispiel an.

Gemeinsam hoch hinaus

Die Threat-Intelligence-Community hat bisher gute Arbeit geleistet, um Barrieren zwischen verschiedenen Organisationen abzubauen und die Fähigkeit aller Beteiligten zum zuverlässigen Datenaustausch zu verbessern. Beispielsweise haben Information Sharing and Analysis Centers (ISACs) die Zusammenarbeit erleichtert. Organisationen aus der gesamten Branche tauschen Indikatoren für Kompromittierung (IOCs), Techniken, Taktiken und mehr aus.. Die natürliche Weiterentwicklung dieses Informationsaustauschs geht hin zu standardbasierten Prozessen wie Structured Threat Information Expression™ und Trusted Automated eXchange of Indicator Information™ (STIX-TAXII).

Wir wissen, dass Zusammenarbeit und umfassender Informationsaustausch ist wichtig für die Stärkung der Cybersicherheitsbranche insgesamt, trägt aber auch dazu bei, die SOAR-Lösung einzelner Organisationen effektiver zu gestalten. SOCs, die am Informationsaustausch teilnehmen und mit einer SOAR-Lösung ausgestattet sind, können Fragen dieser Art besser beantworten:

• Was soll ich tun, wenn ich bestimmte Aktivitäten in meiner Umgebung beobachte?
• Wie können wir diese Informationen zwischen Organisationen austauschen?
• Wenn ich sehe, dass diese Art von Aktivität diese Art von Warnung auslöst, welche Maßnahmen sollte ich ergreifen?
• Worauf sollte ich achten?
• Wie kann ich nach weiteren kompromittierten Hosts oder Assets suchen?
• Wie kann ich reagieren und dem so schnell wie möglich entgegenwirken?

Wenn Analysten diese Fragen mit vollständigen Daten beantworten können, können sie standardisierte Arbeitsabläufe optimieren und anpassen, um Vorfalluntersuchungen effektiver durchzuführen. Dies ermöglicht es uns als Branche, die gemeinsamen Kompetenzen einer breiteren globalen Gemeinschaft zu nutzen und Bedrohungen und Angreifern stets einen Schritt voraus zu sein.

Ein weiterer Aspekt, der sich im Zuge der Weiterentwicklung von SOAR stetig verbessern wird, ist die Art und Weise, wie Organisationen Inhalte erstellen. Als SOAR-Anbieter, Wir beobachten, wie Kunden, Partner und einzelne Mitwirkende durch die Integration von Systemen Dritter Verbesserungen beisteuern. Ob es sich nun um einzigartige Datenvisualisierungen oder um individuell entwickelte Workflows und Playbooks handelt – solche Elemente ermöglichen es einer SOAR-Plattform, ihre Leistungsfähigkeit kontinuierlich zu steigern.

Bei Swimlane, Wir glauben daran, weiterhin die Werkzeuge herzustellen, die Erforderlich, um diese Integrationen zu erstellen So einfach wie möglich. Indem wir die Menschen dort abholen, wo sie stehen, und sie in ihrer Arbeitsweise und Content-Erstellung unterstützen, werden wir Orchestrierung, Automatisierung und Reaktionsfähigkeit weiterhin auf ein neues Niveau heben. Möglichkeiten wie Citizen Data Science und ähnliche Konzepte gewinnen enorm an Bedeutung, da die Möglichkeit, Inhalte zu erstellen, einem möglichst breiten Publikum zugänglich gemacht wird. Dasselbe gilt auch für SOAR.

Hoch hinaus

Die große Mehrheit der Organisationen, die SOAR derzeit implementieren, sind größere Unternehmen, Konzerne und sogar einige mittelständische Betriebe. Die Einführung in kleineren Unternehmen ist selten, da ihnen die Ressourcen fehlen, um Automatisierung zu implementieren, sie optimal zu nutzen und daraus Nutzen zu ziehen. Der tatsächliche Nutzen, den SOAR für mittelständische und kleinere Unternehmen generiert, ist jedoch gerade aufgrund dieser Ressourcenlücken deutlich höher. Kleinere Unternehmen verfügen nicht über ein dediziertes Monitoring-Team, ein Incident-Response-Team oder ein Threat-Intelligence-Team. Doch genau diese Fähigkeiten benötigen sie dringend.

Organisationen jeder Größe sind gleichermaßen ein potenzielles Ziel. Kleinere Organisationen profitieren zusätzlich davon, indem sie die Automatisierungsfunktionen und das kollektive Wissen über die Arbeitsweisen und die Zusammenarbeit aller Beteiligten nutzen und all dies einem Systemadministrator zur Verfügung stellen, der kein dedizierter Sicherheitsexperte ist. Dies wird zukünftig einen entscheidenden Einfluss darauf haben, wie Einzelpersonen und Organisationen SOAR einführen und nutzen werden. Die Zukunft von SOAR sieht vielversprechend aus. Lasst uns alle mitmachen und sein Potenzial voll ausschöpfen!