Führungsprofil mit KI-Schaltkreis-Overlay zur Visualisierung der Integration künstlicher Intelligenz in Cybersicherheitsoperationen

Warum Sicherheitsautomatisierung die Zukunft von SOAR ist

Benutzeravatar
Cody Cornell
4 Leseminute

Eine Analyse des Gartner Market Guide 2022 für SOAR

Gartner® Research hat kürzlich seinen Marktbericht 2022 für Security Orchestration, Automation and Response (SOAR)-Lösungen veröffentlicht. In der Analyse zu SOAR heißt es: “Als reine SOAR-Technologie reift SOAR zwar weiter, bleibt aber ein relativer Nischenmarkt. Es findet zunehmend Anwendung in anderen Bereichen wie SIEM, XDR und MDR.”

Nachdem ich über SOAR gelesen hatte, fielen mir drei Erkenntnisse besonders auf:

  1. SOAR ist, wie es bisher definiert wurde, ein Nischenprodukt, und die Anbieter werden aufgekauft.

  2. Einige SOAR-Anbieter haben sich weiterentwickelt und bieten nun Low-Code-Sicherheitsautomatisierung an, die über die Anwendungsfälle von Security Operations Centern (SOC) hinausgeht.

  3. Die Zukunft von SOAR liegt in Sicherheitsautomatisierungslösungen, die Flexibilität und echte Herstellerneutralität bieten. Sie werden die Anwendungsfälle über die Möglichkeiten von SIEM oder XDR hinaus erweitern.

Um diese Erkenntnisse zu vertiefen, ist es hilfreich, die Vergangenheit, Gegenwart und Zukunft des SOAR-Marktes zu verstehen.

Wie SOAR begann

Die Sicherheitsbranche begann mit einfachen SOAR-Technologien, die explizit zur Automatisierung von SOC-Workflows wie Phishing-Abwehr, Alarmanreicherung und Alarmpriorisierung entwickelt wurden. Obwohl dies auch heute noch die häufigsten Anwendungsfälle für die Sicherheitsautomatisierung sind, bedienen traditionelle SOAR-Produkte meist nur Nischensegmente des Sicherheitsmarktes. Das liegt vor allem daran, dass SOAR den Ruf hat, starre Vorgehensweisen zu verfolgen und umfangreiche Entwicklungsressourcen zu benötigen. Aus diesen Gründen beschränkt sich die SOAR-Einführung hauptsächlich auf die größten und erfahrensten Sicherheitsteams.

Im Laufe der Jahre haben sich die Gründungsanbieter im SOAR-Bereich in zwei Richtungen entwickelt: Entweder sie haben Innovationen entwickelt, um den zukünftigen Anforderungen an die Sicherheitsautomatisierung gerecht zu werden, oder sie wurden übernommen. Zuletzt, Googles Übernahme von Siemplify signalisierte den zukünftigen Wert der Sicherheitsautomatisierung und baute Swimlanes Führungsposition als weltweit größter unabhängiger Anbieter von Sicherheitsautomatisierung weiter aus.

Was ist Sicherheitsautomatisierung?

Viele gehen fälschlicherweise davon aus, dass Sicherheitsautomatisierung und SOAR (Security Operations Research) dasselbe sind. Tatsächlich bestehen jedoch wichtige Unterschiede zwischen den beiden Automatisierungsansätzen. In den meisten Fällen beschränkt sich SOAR auf wenige Anwendungsfälle, die sich ausschließlich an SOC-Tier-1-Analysten richten, wie beispielsweise die Priorisierung von Phishing-Warnungen oder die Überprüfung der IOC-Reputation von SIEM-Warnungen. Obwohl diese Anwendungsfälle wertvoll sind und Teams im Tagesgeschäft viel Zeit sparen, ist ihr Nutzen hinsichtlich der Zielgruppe und des Umfangs begrenzt.

Sicherheitsautomatisierung hingegen vernetzt verschiedene, normalerweise voneinander unabhängige Gruppen von Personen, Prozessen und Technologien, um effizientere, effektivere und skalierbarere Sicherheitsabläufe für einen deutlich größeren Teil des Sicherheitsteams und dessen Ziele zu ermöglichen. Dies geschieht durch den Einsatz von Low-Code-Technologie, die die Anwendbarkeit von Automatisierung, Orchestrierung und der Funktion als zentrales Datenerfassungssystem über die Anwendungsfälle von Security Operations Centern (SOCs) hinaus erweitert und so eine Vielzahl von Stakeholdern in den Bereichen DevOps, AppSec, Threat Hunting, Datenschutz, Audit, Compliance und vielen anderen einbezieht. 

Während gängige SOAR-Anwendungsfälle wie Phishing und die Priorisierung von Warnmeldungen weiterhin beliebt sind, bietet die Sicherheitsautomatisierung auch Mehrwert, indem sie Probleme wie Datenüberlastung und Fachkräftemangel für Teams löst, die sich mit Betrugsbekämpfung, Schwachstellenmanagement sowie Rechts- und Compliance-Anwendungsfällen befassen. Laut Bericht nutzen einige Kunden Automatisierungs- und Orchestrierungsfunktionen mittlerweile auch in nicht sicherheitsorientierten Anwendungsfällen, da es Überschneidungen mit den Anwendungsfällen der Unternehmensautomatisierung gibt, die typischerweise von Low-Code-Anwendungsplattformen bereitgestellt werden.“

Die nächste Generation der Sicherheitsautomatisierung

Die dritte Erkenntnis war, dass SOAR in Zukunft einen Mehrwert bieten wird, der über SIEM und XDR hinausgeht, indem es mehr Flexibilität und einen umgebungsunabhängigen Ansatz ermöglicht. Unserer Meinung nach werden Anbieter von Sicherheitsautomatisierungslösungen, die dies erreichen und den Markt für Sicherheitsautomatisierung von morgen anführen, dies durch die Berücksichtigung dreier aufkommender Trends schaffen.

  • Big Data erfordert umfassende Automatisierung: Bisher wurden SOAR-Technologien nicht hinsichtlich ihres Durchsatzes oder ihrer Rechenleistung bewertet. Dies wird sich mit der zukünftigen Generation von Sicherheitsautomatisierungslösungen ändern, da Kunden zunehmend Automatisierungslösungen fordern, die umfangreichere und schwerer zugängliche Telemetriedaten verarbeiten können.

  • Mit allem integrierbar: Da sich die Angriffsfläche ständig vergrößert, müssen Sicherheitsteams Dinge integrieren, die aus SecOps-Sicht traditionell nicht integriert sind – wie Cloud, IoT und Edge Computing.

  • Demokratisierte Automatisierung: Sicherheitsautomatisierung birgt das Potenzial, eine Vielzahl von Problemen zu lösen. Ihr volles Potenzial wird sie jedoch nie ausschöpfen können, solange Automatisierung nur hochqualifizierten Sicherheitsexperten vorbehalten bleibt. Low-Code-Sicherheitsautomatisierung ändert dies und macht sie zugänglicher, sodass Fachexperten zu Automatisierern werden können, ohne dabei Leistung oder Performance einzubüßen.

Um mehr über die nächste Generation von Low-Code-Sicherheitsautomatisierungslösungen zu erfahren, Lesen Sie dieses Produktübersichts-Whitepaper. um zu verstehen, wie Swimlane Turbine das macht.

GARTNER ist eine eingetragene Marke und Dienstleistungsmarke von Gartner, Inc. und/oder deren verbundenen Unternehmen in den USA und international und wird hier mit Genehmigung verwendet. Alle Rechte vorbehalten.
Gartner empfiehlt keine der in seinen Forschungspublikationen dargestellten Anbieter, Produkte oder Dienstleistungen und rät Technologieanwendern nicht, sich ausschließlich für Anbieter mit den höchsten Bewertungen oder anderen Auszeichnungen zu entscheiden. Die Forschungspublikationen von Gartner geben die Meinungen der Gartner-Forschungs- und Beratungsorganisation wieder und sind nicht als Tatsachenbehauptungen zu verstehen. Gartner schließt jegliche ausdrückliche oder stillschweigende Gewährleistung in Bezug auf diese Forschung aus, einschließlich der Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck.

Swimlane-Sicherheitsautomatisierungs-Workflow für Benutzerbereitstellung, Anreicherung, Helpdesk und HR-Systemintegration

Ein Einkaufsführer für moderne Sicherheitsautomatisierung

SOC-Teams in Unternehmen erkennen zwar den Bedarf an Automatisierung, tun sich aber oft mit den passenden Lösungen schwer. SOAR-Lösungen (Security Orchestration, Automation and Response) erfordern häufig umfangreiche Skripte. No-Code-Lösungen sind zu einfach und bieten nicht die notwendigen Funktionen für Fallmanagement und Reporting. Dieser Leitfaden analysiert die vielfältigen verfügbaren Plattformen für Sicherheitsautomatisierung, damit Sie die Lösung finden, die am besten zu Ihren Anforderungen passt. 

Herunterladen

Tags

Automatisierung

15. August 2025
Wie man von SOAR zu zukunftssicherer KI-Automatisierung migriert
Mehr lesen
6. Februar 2020
Die Zukunft von SOAR
Mehr lesen
6. Juni 2022
Lernen Sie Swimlane Turbine kennen – die Zukunft der Sicherheitsautomatisierung
Mehr lesen

Fordern Sie eine Live-Demo an