Der SOAR, den Sie nicht gewählt haben

Der SOAR, den Sie nicht gewählt haben

4 Leseminute

Der SOAR, den Sie nicht gewählt haben

Denken Sie noch einmal daran, wie Ihre SOAR-Plattform (Security Orchestration Automation and Response) in Ihre Systemlandschaft integriert wurde. War es eine bewusste Entscheidung, das Ergebnis einer gründlichen Analyse Ihrer spezifischen Bedürfnisse? Oder war sie einfach Teil einer größeren Anschaffung?

Für viele Sicherheitsteams ist die ehrliche Antwort die zweite. Das SOAR-System wurde nicht ausgewählt. Es war einfach dabei.

Diese Unterscheidung ist bedeutsamer, als es zunächst scheint. Sicherheitsautomatisierung prägt die tägliche Arbeit Ihrer Analysten. Sie bestimmt Ihre Reaktionsgeschwindigkeit, Ihre Skalierbarkeit und die reibungslose Kommunikation Ihrer Tools untereinander. Eine so wichtige Plattform verdient es, aufgrund ihrer eigenen Vorzüge ausgewählt zu werden. Doch für viele Teams war dies nie der Fall.

TL;DR:

  • Die meisten Sicherheitsteams haben ihre SOAR-Lösung nie bewusst ausgewählt. Sie wurde im Rahmen eines umfassenderen SIEM-, Endpoint- oder Threat-Intelligence-Pakets geliefert und einfach im Beschaffungsprozess abgehakt, anstatt auf ihre Eignung hin geprüft zu werden.
  • Das mitgelieferte SOAR-Paket ist auf das Ökosystem eines bestimmten Anbieters abgestimmt. Daher lässt es sich innerhalb dieser Umgebung nahtlos integrieren, stößt aber in anderen, heterogenen Systemen auf Probleme. Jeder neu erstellte Workflow verstärkt diese Abhängigkeit.
  • Swimlane verfolgt den gegenteiligen Ansatz: eine herstellerunabhängige, KI-gestützte SOC-Automatisierung, die darauf ausgelegt ist, die tatsächlich von Ihnen betriebene Umgebung zu orchestrieren, mit einem Migrationsleitfaden, der Ihre Arbeitsabläufe für Sie auf 90% hochskaliert.

Wie SOAR letztendlich gebündelt wird

Der Ablauf ist bekannt. Ein Anbieter präsentiert eine umfassendere Plattform: SIEM, Threat Intelligence, Endpoint-Sicherheit, eventuell auch Managed Services. SOAR ist ebenfalls enthalten und in die Plattform integriert. Das Einkaufsteam sieht einen übersichtlicheren Vertrag und muss weniger Anbieter koordinieren. Auf dem Papier klingt das Angebot vielversprechend. Also wird der Punkt abgehakt. SOAR ist inklusive.

Niemand hat sich die Zeit genommen, zu hinterfragen, ob diese spezielle Automatisierungs-Engine optimal für die jeweilige Umgebung geeignet ist. Niemand hat sie mit Alternativen verglichen. Die Entscheidung betraf das Gesamtpaket, und SOAR war nur ein Passagier.

Dies soll keine Kritik an der technischen Leistung dieser Tools sein. Palo Alto XSOAR, Splunk SOAR und FortiSOAR sind allesamt leistungsfähige Produkte, die von erfahrenen Teams entwickelt wurden. Fakt ist jedoch, dass diese SOAR-Plattformen zwar zu ihrer Zeit hervorragend waren, aber seit Jahren nicht mehr weiterentwickelt wurden und nicht mehr den heutigen Bedrohungen gerecht werden.

Die 4 größten Abwägungen, die niemand vorliest

Jedes Paket ist eine Reihe von Kompromissen, denen Sie nie explizit zugestimmt haben. Sie tauchen in der Präsentation nicht auf. Sie zeigen sich erst später im täglichen Betrieb. Es handelt sich um eine Art unausgesprochene Anpassung. Wenn SOAR Teil eines größeren Projekts ist, ist es für den Verkauf des Anbieters optimiert, nicht für Ihre spezifischen Arbeitsabläufe. Sie passen sich dem Tool an, anstatt dass sich das Tool an Sie anpasst. Mit der Zeit entwickelt Ihr Team Prozesse, die auf den Grenzen des Tools basieren, und akzeptiert diese Grenzen als Normalzustand.

1. Die SOAR-Ökosystemverzerrung. 

Ein integriertes SOAR-System ist darauf ausgelegt, die Bindung an die übergeordnete Plattform zu stärken. Es fügt sich nahtlos in das Ökosystem des Anbieters ein, ist aber außerhalb dieser Systeme deutlich weniger flexibel. Die vom Anbieter beworbenen Integrationen dienen in der Regel dazu, den Absatz seiner eigenen Produkte zu steigern. Doch kein realer Sicherheitsbetrieb basiert auf nur einem Anbieter. Die meisten Umgebungen greifen auf ein Dutzend Quellen zurück, und ein SOAR-System, das einen Anbieter bevorzugt, vernachlässigt die übrigen.

2. Das veraltete SOAR-System hat Ihre Flexibilität eingeschränkt. 

Änderungen, die eigentlich an einem Nachmittag erledigt sein sollten, erfordern oft einen Spezialisten. Updates richten sich nach dem Zeitplan des Anbieters, nicht nach Ihrem. Die Automatisierung, die Sie am liebsten umsetzen möchten, ist manchmal genau die, die die Plattform am schwierigsten macht. Das ist alles nicht dramatisch. Es ist lediglich eine schleichende Belastung für die Zeit und die Ambitionen Ihres Teams.

3. Anbieterbindung durch gebündeltes SOAR 

Hier kommt der Punkt, der bei Vertragsunterzeichnungen selten zur Sprache kommt: Jedes in einem geschlossenen System entwickelte Strategiekonzept erschwert den Ausstieg. Jede Integration, jeder Workflow, jede Abhängigkeit erhöht die Kosten für einen ständigen Strategiewechsel. Das Paket ist komfortabel zu übernehmen. Dieser Komfort ist die Strategie. Die eigentliche Frage ist nicht, wie einfach der Einstieg war, sondern wie sehr man sich in drei Jahren gefangen fühlen wird.

4. Ein jetzt praktischer SOAR wird später eine Einschränkung darstellen.

Die Bündelung von Produkten und Dienstleistungen löst ein Beschaffungsproblem. Sie vereinfacht das Lieferantenmanagement und sorgt für einen übersichtlicheren Vertrag. Das sind echte Vorteile, und sie haben ihren Wert.

Beschaffungskomfort und operative Realität sind jedoch zwei Paar Schuhe. Was im Vorstand eine Vertragsverlängerung erleichtert, kann im Security Operations Center (SOC) die Arbeit erschweren. Ihre Analysten spüren die Diskrepanz zwischen dem, was beschafft wurde, und dem, was sie tatsächlich benötigen.

So begrenzt eine “ausreichende” Automatisierung stillschweigend das Potenzial eines Teams. Das mitgelieferte Tool funktioniert einwandfrei. Es läuft gerade gut genug, dass es niemand hinterfragt. Währenddessen entwickelt Ihr Team Notlösungen, akzeptiert Einschränkungen als gegeben und vergisst allmählich, was eine darauf basierende Plattform eigentlich leisten könnte.

Die Frage, die es wert ist, gestellt zu werden

Sie müssen Ihren aktuellen SOAR-Vertrag nicht als Fehler deklarieren. Es genügt, bei Ihrer nächsten Verlängerung eine ehrliche Frage zu stellen…

Würden Sie dieses Tool auch dann wählen, wenn es nicht im Paket enthalten wäre?

Wenn die Antwort schnell und sicher kommt, sind Sie auf der sicheren Seite. Bleiben Sie dabei. Zögern Sie jedoch, sagt Ihnen dieses Zögern etwas. Es bedeutet, dass die Entscheidung für Sie getroffen wurde, und es könnte sich lohnen, sie erneut zu treffen – diesmal nach Ihren eigenen Vorstellungen und entgegen Ihren eigenen Bedürfnissen.

Ehrliche Überlegungen zur Neubewertung von SOAR

Ein paar Fragen können Ihnen dabei helfen:

  • Lässt sich Ihre SOAR-Lösung reibungslos über Ihren gesamten Technologie-Stack hinweg automatisieren oder nur die Tools eines einzigen Anbieters?
  • Wie lange dauert es, einen sinnvollen Arbeitsablauf zu erstellen oder zu ändern, und wer muss das tun?
  • Wenn Sie gehen wollten, wie viel von dem, was Sie aufgebaut haben, müssten Sie von Grund auf neu aufbauen?
  • Würde diese Plattform in Ihrem Umfeld einen Platz finden, wenn sie sich aus eigener Kraft behaupten müsste?

Ein besserer Weg nach vorn

Hier ist der Ort Swimlane-Turbine kommt ins Spiel, und warum wir das Problem unterschiedlich betrachten.

Turbine ist von Grund auf herstellerunabhängig. Es wurde nicht entwickelt, um ein bestimmtes Ökosystem zu stärken oder Sie zum Kauf von Produkten eines einzelnen Herstellers zu bewegen. Vielmehr wurde es entwickelt, um Ihre bestehende Umgebung zu orchestrieren: heterogen, dynamisch und mit Tools aus verschiedenen Quellen. Ihre Automatisierung orientiert sich an Ihrem Technologie-Stack, nicht an der Roadmap eines Herstellers.

Diese Offenheit ist der entscheidende Punkt. Wenn Ihr Automatisierungsansatz nicht an eine einzige Plattform gebunden ist, bleiben Sie flexibel, können sich schnell anpassen und alle Ihre Prozesse orchestrieren, anstatt sich nur auf die genehmigten Komponenten zu beschränken.

Und falls Sie befürchten, dass ein Wechsel bedeutet, alles bisher Erstellte neu aufbauen zu müssen, ist das eine berechtigte Sorge, die wir jedoch gelöst haben. Swimlane kann Ihre bestehenden Workflows von Ihrer aktuellen Plattform bis zu einer Größe von 90% migrieren. Der größte Aufwand wird größtenteils im Vorfeld erledigt, sodass Sie bei einer Änderung Ihrer Meinung nicht von vorne beginnen müssen.

Sie haben Ihr SIEM-System und Ihre Endpoint-Tools ausgewählt. Daher sollten Sie auch selbst entscheiden können, wie Ihre Umgebung orchestriert wird – basierend auf ihren spezifischen Eigenschaften, für Ihre Umgebung und nach Ihren Vorstellungen.

Stellen Sie sich also ehrlich die Frage. Entscheiden Sie dann, was Ihr Team wirklich verdient.

Swimlane-Turbine

Überdenken Sie, was nach SOAR kommt.

Erfahren Sie, wie Swimlane Teams dabei hilft, veraltete SOAR-Beschränkungen durch agentenbasierte KI-Automatisierung zu ersetzen, die speziell für die Arbeitsweise moderner Sicherheitsoperationen entwickelt wurde.

Jetzt entdecken

Fordern Sie eine Live-Demo an