• Fallstudie

MSSP wählt Swimlane für Flexibilität und Skalierbarkeit

Erfahren Sie mehr darüber, wie Swimlane einem großen MSSP hilft.

Demo anfordern

Fallstudie

Hintergrund

Die kontinuierliche Überwachung und Reaktion für Hunderte von Kunden weltweit stellt eine Herausforderung dar. Ein großer Anbieter von Managed Security Services (MSSP) mit mehreren rund um die Uhr besetzten Security Operations Centern (SOCs) in Nordamerika, Europa und Asien stand vor der bekannten Herausforderung, die wachsende Kundenzahl bei begrenzten Analystenressourcen zu bewältigen. Mit mehr Kunden stieg auch der Bedarf an Sicherheitslösungen und die Anzahl der Warnmeldungen stetig. Ziel war es, die Produktivität des Sicherheitsteams durch Orchestrierung und Automatisierung zu steigern, damit die Mitarbeiter stets über Warnmeldungen informiert sind und die Sicherheit ihrer Kunden gewährleisten können.

Dies wurde durch die Implementierung der Swimlane-Plattform realisiert. Die führende SOAR-Lösung (Security Orchestration, Automation and Response) von Swimlane unterstützt diesen MSSP dabei, sein Geschäft zu skalieren und auszubauen, ohne bei jedem Neukundenzuwachs zusätzliches Personal einstellen zu müssen.

Hauptkriterien

Bedürfnisse

Dieser Managed Security Service Provider (MSSP) suchte eine erstklassige, eigenständige Orchestrierungs- und Reaktionsplattform. Vor der Entscheidung für Swimlane nutzten sie ein intern entwickeltes Incident-Response-Tool, das jedoch nicht die benötigten Automatisierungsfunktionen und Flexibilität bot. Wichtige Anforderungen an ihre SOAR-Lösung war:

  • Hochgradig skalierbar, um eine große und wachsende Anzahl von Kunden zu unterstützen
  • Flexibel, um einer Vielzahl aktueller und zukünftiger Anwendungsfälle gerecht zu werden
  • Die Integration mit ihren bestehenden Systemen, insbesondere ihrer Analyse-Engine, muss über eine API erfolgen.

Ziel dieses Managed Security Service Providers (MSSP) war es, eine zentrale Orchestrierungsplattform für Hunderte von Kunden zu etablieren, um alle eingehenden Warnmeldungen zu zentralisieren. Da die Analysten kundenübergreifend arbeiteten, benötigten sie zudem die Möglichkeit, Warnmeldungen automatisch anhand ihres Typs oder Schweregrades zuzuweisen, anstatt sie kundenbasiert zu kategorisieren. Ohne eine zentrale, globale Instanz hätte sich ein Analyst in jede einzelne Umgebung einloggen müssen, was nicht skalierbar ist. Mit Swimlane kann dieser MSSP nun alle Warnmeldungen aggregieren, Workflows automatisch ausführen und Fälle bei Bedarf automatisch an Analysten weiterleiten.

Diese Verwendung von Swimlanes bietet mehrere Vorteile:

  • Die meisten Warnmeldungen erfordern kein menschliches Eingreifen zur Behebung, wodurch Personalstunden für wichtigere Tätigkeiten eingespart werden.
  • Analysten müssen nicht festen Kunden zugeordnet werden, was eine bessere Auslastung des Personals ermöglicht.
  • Analysten können sich auf bestimmte Arten von Warnmeldungen oder Untersuchungen spezialisieren, was zu höherer Effizienz und Mitarbeiterzufriedenheit führt.

Da der MSSP schnell wuchs, war die Flexibilität seiner SOAR-Plattform von entscheidender Bedeutung. Die SOAR-Lösung musste Funktionen bieten, die zwar aktuell noch nicht benötigt wurden, aber zukünftig relevant sein könnten. Swimlanes Fähigkeit, Analysten und Analystengruppen dynamisch zuzuweisen, vereinfacht die Verwaltung wachsender SOCs erheblich und sorgt für mehr Komfort im Falle eines SOC-Ausfalls. Beispielsweise hoben sie die Funktion hervor, die die Gruppierung von Analysten und die anschließende Zuordnung dieser Gruppen zu Kunden automatisiert.

Die Anwendungsfälle waren vielfältig, und der MSSP testete einige Schlüsselfälle, hauptsächlich im Bereich Endpoint Detection and Response (EDR) und Cloud-Workflow-Schutz. Dies diente jedoch lediglich dem Nachweis der Leistungsfähigkeit, denn “der Kern einer Orchestrierungsplattform liegt in ihrer Flexibilität und der Möglichkeit, idealerweise jeden Anwendungsfall abzudecken”, erklärte der Leiter der Sicherheitsprodukte des MSSP. Swimlane ist bei MSSPs und großen Unternehmenskunden für seine Fähigkeit bekannt, über typische Funktionen hinauszugehen. SOAR-Anwendungsfälle, Swimlane deckt alles ab, von automatisierten Angriffstests über Insiderbedrohungen bis hin zum Onboarding/Offboarding von Analysten und vielem mehr. Dank der umfassenden Orchestrierungs- und Automatisierungsfunktionen von Swimlane sind die Anwendungsfälle nahezu unbegrenzt.

Starke API-Integrationsmöglichkeiten waren die dritte wichtige Anforderung. “Bei den meisten SOAR-Plattformen lassen sich zwar die APIs nutzen, aber die Warnmeldungen müssen direkt in das Orchestrierungstool eingespielt werden”, erklärte der Leiter der Sicherheitsprodukte. Mit Swimlane profitiert dieser MSSP von deutlich mehr Flexibilität, da die Swimlane-API es dem Kunden ermöglicht, wichtige Workflow-Anforderungen zu erfüllen, beispielsweise Warnmeldungen von seiner Carbon Black EDR-Lösung an seine Analysetools und von dort an Swimlane weiterzuleiten. Die Swimlane-API vereinfacht zudem die Übertragung von Daten aus der Sicherheitsorchestrierungsplattform in das Kundenportal, um dem Kunden einen Überblick über die aktuelle Situation zu geben. Swimlane unterstützt Hunderte von Drittanbieter-Tools und Tausende von Integrationen. Diese Funktionalität ist für MSSPs von entscheidender Bedeutung, da ihnen die Kapazitäten fehlen, API-Integrationen selbst zu erstellen und zu pflegen.

LÖSUNG

Und die Alternativen?

Dieser Managed Security Service Provider (MSSP) evaluierte sechs Anbieter: die Hälfte mit Fokus auf Sicherheitslösungen und die andere Hälfte mit Lösungen für IT-Orchestrierung und -Automatisierung. Während die Lösungen für IT-Orchestrierung und -Automatisierung die Anforderungen des MSSP nur bedingt erfüllten, schafften es zwei führende SOAR-Anbieter, darunter Swimlane, in die internen Tests. Swimlane ging dabei als Sieger hervor.

Zu den wichtigsten Gründen, warum Swimlane laut dem Direktor für Sicherheitsprodukte die beste Wahl war, gehörten:

  • “Die APIs waren überall.” Die Swimlane-Plattform ist vollständig API-fähig und umfassend dokumentiert. Dieser Kunde hatte zuvor schlechte Erfahrungen mit Anbietern gemacht, die zwar APIs versprachen, diese aber nicht wie erwartet funktionierten. Dass die Swimlane-APIs wie erwartet funktionierten, war ein entscheidendes Entscheidungskriterium und erleichtert den Datenaustausch mit der Plattform erheblich.
  • Die Swimlane-Plattform bewies die benötigte Skalierbarkeit und Flexibilität. Dies war maßgeblich darauf zurückzuführen, dass der CEO und weitere Mitarbeiter von Swimlane in Security Operations Centern (SOCs) arbeiteten und deren Funktionsweise genau kannten. Zwar verfügte der andere SOAR-Anbieter über ein Sicherheitsteam, dieses bestand jedoch nicht aus Experten für operative Sicherheitslösungen, und das machte sich bemerkbar.“
  • Die detaillierten rollenbasierten Zugriffskontrollen (RBAC) von Swimlane waren für diesen Kunden von großer Bedeutung. Dank der robusten RBAC kann er seinem globalen Analystenpool nur die benötigten Funktionen oder Kundenzugriffe gewähren und so das Sicherheitsrisiko reduzieren.
  • Elegante, flexible Dashboards ermöglichen die einfache Erstellung und verständliche Darstellung von Kennzahlen und Berichten auf einen Blick.
  • Eine Architektur für Hochverfügbarkeit und Notfallwiederherstellung mindert Bedenken hinsichtlich Ausfallzeiten.
  • Swimlane ist ein unabhängiges SOAR-Plattform, wodurch Bedenken hinsichtlich einer Fokussierung auf oder einer Bevorzugung des Ökosystems eines einzelnen Anbieters ausgeräumt werden.

Kapitalrendite

Für einen Managed Security Service Provider (MSSP) ist ein positiver Return on Investment (ROI) bei der Einführung neuer Tools entscheidend. Für diesen Kunden bot die Integration von Swimlane als SOAR-Lösung den notwendigen ROI durch verbesserte Effizienz und Effektivität. “Forrester, das Analystenhaus, hat es auf den Punkt gebracht”, erklärte der Leiter der Sicherheitsprodukte. “Das Ziel (bei SOAR) ist nicht, schneller mehr Fehlentscheidungen zu treffen, sondern gute. Man automatisiert die einfachen Aufgaben, damit sich die Analysten auf die komplexeren konzentrieren können.”

Video

CyberRisk TV-Interview: Der Wert von KI, Automatisierung und Low-Code für MSSPs

Mehr lesen
Blog

Automatisierte Sicherheitsoperationen für Managed Security Service Provider (MSSP)

Mehr lesen
Blog

Personalmangel im Bereich Cybersicherheit | Maximierung der MSSP-Effizienz mit SAO

Mehr lesen

Swimlane-Turbine erkunden

Die weltweit leistungsfähigste Plattform für Sicherheitsautomatisierung

Erkunden Sie Turbine
Abstrakter blauer Farbverlaufshintergrund: Konzeptionelle geometrische Bildsprache für moderne SaaS- und Cloud-native Schnittstellen.