Zustand von SOAR

Vergangenheit, Gegenwart und Zukunft von SOAR Teil 2

Die in Teil 1 dieser Reihe erörterten Herausforderungen verdeutlichen, warum Security Operations Center (SOCs) für ihr Überleben eine SOAR-Lösung (Security Orchestration, Automation and Response) benötigen. Branchenweit sind Analysten überlastet und benötigen dringend Tools, die ihnen helfen, mit der sich ständig erweiternden Bedrohungslandschaft und dem zunehmenden Fachkräftemangel im Bereich Cybersicherheit Schritt zu halten. Selbst wenn ein SOC alle benötigten Mitarbeiter einstellen könnte, wären Automatisierungs- und Orchestrierungsfunktionen unerlässlich, um die täglich eingehenden Tausenden von Warnmeldungen zu untersuchen.

Warum SOAR?

Es gab eine Zeit, da waren sich die Vordenker der Branche nicht sicher. ob SOAR tatsächlich “etwas war” oder nicht. Doch mit Erkenntnissen aus aktuellen Berichten, wie beispielsweise dem Gartner Market Guide für Sicherheitsorchestrierungs-, Automatisierungs- und Reaktionslösungen oder Wie die Verwendung von SOAR-Tools das Leben erleichtert Laut Enterprise Management Associates (EMA) gewinnt SOAR in der Sicherheitsbranche und in SOCs jeder Größe zunehmend an Bedeutung. Der Grund dafür ist kurz gesagt: SOAR ermöglicht es SOC-Teams, mit weniger Aufwand mehr zu erreichen – ein attraktives Angebot für CISOs und Analysten gleichermaßen. SOAR eliminiert die mühsamen, sich wiederholenden und manuellen Aufgaben, die typischerweise mit der Reaktion auf Sicherheitsvorfälle verbunden sind und bekanntermaßen zu Burnout und Alarmmüdigkeit bei Analysten führen.

Und wie sieht es mit SIEM aus?

Die meisten Organisationen nutzen irgendeine Form von SIEM-System (Security Information and Event Management), und daran wird sich voraussichtlich nichts ändern. Die von SIEM-Systemen erfassten Daten sind zwar für das SOC (Security Operations Center) äußerst wertvoll, doch Analysten haben Schwierigkeiten, mit der scheinbar endlosen Anzahl von Warnmeldungen, die diese Tools generieren, Schritt zu halten. Die überwiegend manuellen Untersuchungsprozesse im Zusammenhang mit SIEM-Tools führen zu erheblicher Arbeitsermüdung, was wiederum Fehler und die Anfälligkeit der Organisation erhöht. SOAR (Security Operations Access Response) reduziert den erforderlichen manuellen Aufwand und ermöglicht so eine verbesserte Untersuchung von Warnmeldungen, schnellere Entscheidungsfindung und insgesamt effektivere Prozesse zur Reaktion auf Sicherheitsvorfälle.

Über den Problemen schweben

SOAR unterstützt Analysten, indem es ihnen ermöglicht, große Datenmengen auf einen Blick zu erfassen und zu verstehen, anstatt zwischen verschiedenen Fenstern, Tools und sogar Rechnern wechseln zu müssen, um eine einzelne Warnmeldung zu untersuchen. Anstatt sich auf herkömmliche Text- oder Zahleninformationen zu verlassen, ermöglicht die Datenvisualisierung mit einer SOAR-Lösung Analysten, sofort Schlussfolgerungen zu ziehen und Maßnahmen zu ergreifen.

Darüber hinaus können viele Maßnahmen zur Reaktion auf Sicherheitsvorfälle vollautomatisch durchgeführt werden, wenn eine SOAR-Lösung implementiert ist. Die Orchestrierungskomponente von SOAR ermöglicht es dem SOC, unterschiedliche Ressourcen zu verbinden und die Daten in den Falldatensatz zu integrieren, um die Warnmeldung anzureichern. Anstatt dass Analysten Zeit damit verbringen, die Feinheiten unzähliger individueller Systeme zu erlernen (die sich im Laufe der Zeit ändern und je nach SOC-Ökosystem Workarounds erfordern), können sie die zentrale Falldatensatzansicht der SOAR-Plattform nutzen, um auf alle Daten zuzugreifen und diese zu analysieren. Dies steigert die Leistung der einzelnen Analysten und damit die Gesamteffizienz des gesamten SOC.

Grenzenlos schweben

Durch die Automatisierung mühsamer, sich wiederholender Aufgaben und die Orchestrierung unterschiedlicher Tools und Prozesse verbessert eine SOAR-Plattform die Leistung der Analysten erheblich und verkürzt gleichzeitig die mittlere Erkennungs- (MTTD) und Reaktionszeit (MTTR) für das Unternehmen. Sobald das SOAR-fähige SOC die vollen Möglichkeiten seiner Lösung ausschöpft, werden die Analysten voraussichtlich weitere Vorteile entdecken, die ihre Gesamtfunktionalität und Effizienz für das gesamte Unternehmen steigern. Eine wirklich robuste SOAR-Lösung bietet dem Unternehmen nahezu unbegrenzte Möglichkeiten zur Vernetzung, Automatisierung und Orchestrierung seiner Abläufe.

Heute beginnen wir erst, einige der neuen und beeindruckenden Einsatzmöglichkeiten von SOAR zur Verbesserung der operativen Effektivität des SOC zu erkennen. In Teil drei werden wir uns mit der Zukunft von SOAR und seinen Auswirkungen auf die Organisation befassen.