Gartner SOAR-Bericht: “Innovationseinblicke für Sicherheitsorchestrierung, -automatisierung und -reaktion”

Selbst wenn Sie nur gelegentlich Star Trek kennen, werden Sie Scottys berühmten Ausspruch kennen: “Ich kann es nicht, Captain! Mir fehlt die Macht!” Oder noch besser: “Ich kann die Gesetze der Physik nicht ändern!” Scottys Dilemma dürfte auch für heutige Sicherheitsexperten (SecOps) nachvollziehbar sein. Laut dem aktuellen Gartner Innovation Insight for Security Orchestration, Automation and Response (SOAR) Report haben Sicherheitsteams Schwierigkeiten, mit der Flut an Sicherheitswarnungen Schritt zu halten, die von einer stetig wachsenden Anzahl an Bedrohungserkennungstechnologien generiert werden.“

Doch noch ist nicht alles verloren. Wie Scotty können auch sie eine Lösung für diesen scheinbar aussichtslosen Kampf finden. Der neue Bericht vermittelt Hoffnung. SecOps-Teams können neue Praktiken und Tools einsetzen, um Cyberbedrohungen effektiver vorzubeugen, sie zu erkennen und darauf zu reagieren.

Was ist SOAR?

SOAR steht für Eine neue, leistungsstarke Methode zur Verbesserung von SecOps. Gartner empfiehlt Unternehmen die Implementierung von SOAR, um die Effizienz und Konsistenz der Reaktion auf Sicherheitsvorfälle zu verbessern, indem Bedrohungsanalysen, Sicherheitsereignismanagement und SecOps-Prozesse orchestriert und automatisiert werden.

Gartner schätzt, dass bis 2020 151.030 Sicherheitsorganisationen mit fünf oder mehr Sicherheitsexperten SOAR einführen werden. Dies bedeutet einen Anstieg gegenüber der aktuellen Einführungsrate von unter 11.030.000.

Bei SOAR dreht sich alles ums Handeln. Das Akronym stand ursprünglich für “Security Operations, Analytics and Reporting” (Sicherheitsbetrieb, -analyse und -berichterstattung). Gartner hat jedoch “Reporting” durch “Response” (Reaktion) ersetzt. Reporting ist heutzutage unerlässlich. Alle SOAR-Tools müssen es leisten, um effektiv zu sein, denn eine effiziente Reaktion auf einen Sicherheitsvorfall ist von größter Wichtigkeit.

Warum SOAR und warum gerade jetzt?

Der Gartner-Bericht bestätigte die Annahme, dass es zu viele Sicherheitsalarme und zu wenige Mitarbeiter gibt, um diese zu bearbeiten. Ohne zentrale Sicherheitssteuerung und Incident-Response-Funktionen sind SecOps-Teams gezwungen, Bedrohungsinformationen manuell zu sammeln und zusammenzuführen. Das bedeutet, dass Sicherheitsexperten mit manuellen, auf einzelne Vorfälle zugeschnittenen Handlungsanweisungen arbeiten müssen. Dies ist zeitaufwendig und mühsam. Dadurch fehlt ihnen die Zeit, die sie für die proaktive Suche und Verteidigung ihres Netzwerks gegen Cyberangriffe aufwenden könnten.

Diese Umstände führen zu einer zunehmenden Verbreitung und einem wachsenden Einfluss von SOAR. Gartner schätzt, dass bis 2020 151.000 Tsd. Millionen Sicherheitsorganisationen mit fünf oder mehr Sicherheitsexperten SOAR einsetzen werden. Dies bedeutet einen Anstieg gegenüber der aktuellen Verbreitungsrate von unter 11.000 Tsd. Millionen. Wie der Bericht feststellt: “Die Herausforderungen einer zunehmend feindseligen Bedrohungslandschaft, gepaart mit Personalmangel, fehlendem Fachwissen und begrenzten Budgets, treiben Unternehmen in Richtung SOAR-Technologien (Security Orchestration, Automation and Response).”

Was beinhaltet der neueste Gartner SOAR-Bericht?

Gartner beschreibt SOAR und seine funktionalen Komponenten in seinem Bericht sehr umfassend. Der Fokus liegt dabei auf den allgemeinen Vorteilen und Anwendungsfällen von SOAR. Darüber hinaus gibt Gartner Empfehlungen für Unternehmen, die SOAR-Tools in Betracht ziehen oder implementieren möchten, und stellt abschließend eine Liste repräsentativer Anbieter, darunter Swimlane, vor. Die Studie unterscheidet zwischen den wichtigsten SOAR-Konzepten wie Sicherheitsautomatisierung und -orchestrierung, Incident-Management, Zusammenarbeit, Dashboards und Reporting.

Zu den wichtigsten Empfehlungen des Berichts gehören:

• Beginnen Sie mit einem einfachen Ansatz, bei dem die Automatisierung leicht umgesetzt werden kann und bei dem Unternehmen einen sofortigen ROI erzielen – einschließlich einer reduzierten mittleren Erkennungszeit (MTTD) und mittleren Lösungszeit (MTTR).
• Konzentrieren Sie sich auf die Automatisierung von Aufgaben und die Orchestrierung der Reaktion auf Vorfälle.
• Nutzen Sie externe Bedrohungsinformationen, um die Effektivität von Sicherheitstechnologien und Prozessen zur Reaktion auf Sicherheitsvorfälle zu verbessern.

Swimlane und SOAR

Swimlane ermöglicht die Umsetzung der SOAR-Prinzipien gemäß dem Gartner-Bericht. Es automatisiert Sicherheitsprozesse für Teams in Unternehmen. Sicherheitsanalysten können mit Swimlane wiederkehrende Aufgaben wie Datenerfassung, Berichterstellung und die Reaktion auf Fehlalarme automatisieren. Ein speziell entwickeltes SecOps-Management-Dashboard verfolgt alle Sicherheitsaufgaben im Unternehmen und bietet zentralen Zugriff auf Fälle, Berichte, Dashboards und Kennzahlen für Einzelpersonen und Teams.

Das ist der Kern von SOAR. Swimlane setzt die im Bericht empfohlene maschinengestützte Automatisierung in die Praxis um und verkürzt so die Bearbeitungszeiten für Vorfalluntersuchungen.

Vielleicht hatte Scotty doch unrecht. Vielleicht lassen sich die Gesetze der Physik ändern, oder zumindest die der Cybersicherheit. Mit SOAR sind viele Dinge, die einst unmöglich schienen, nun erreichbar.