Tierney - stock.adobe.com
SOAR: Was Unternehmen vor der Einführung wissen sollten
Um eine erfolgreiche Einführung zu gewährleisten, müssen sich IT-Teams mit den Vorteilen, aber auch Grenzen von SOAR-Tools auseinandersetzen. Und wie sie den Erfolg messen wollen.
Unternehmen sind weltweit einer wachsenden Flut von Bedrohungen ausgesetzt, daher hat die Weiterentwicklung von SOAR-Tools rasant Fahrt aufgenommen. Viele Security-Teams haben aufgrund begrenzter Ressourcen und dem Mangel an verfügbaren Fachkräften Mühe, mit dieser Entwicklung Schritt zu halten.
Erschwerend kommt hinzu, dass IT-Teams häufig zahlreiche, uneinheitliche Sicherheits-Tools im Blick behalten müssen, um die Flut von Bedrohungen einzudämmen. Und jede Alarmmeldung der jeweiligen Software muss überwacht, analysiert und eingeordnet werden.
SOAR-Tools (Security Orchestration, Automation and Response) sollten IT-Abteilungen mit folgenden Funktionen unterstützen:
- Die Security-Orchestrierung verbindet und koordiniert heterogene Tool-Sets und definiert Parameter und Prozesse für die Vorfallanalyse.
- Die Automatisierung löst automatisch bestimmte Workflows und Aufgaben auf Grundlage dieser Parameter aus. Dazu gehören auch automatisierte Schritte für Vorfälle mit geringerem Risiko.
- Zudem erlauben SOAR-Tools eine einzige Ansicht für den Zugriff, die Abfrage und den Austausch von Bedrohungsdaten. Damit werden allgemeine und gezielte Reaktionen beschleunigt.
Es gibt zwei wichtige Anreize, die für den Einsatz von SOAR-Werkzeugen sprechen. Erstens zentralisiert SOAR die Sichtbarkeit und den Einblick in Bedrohungen. Zweitens erledigen sie gleichzeitig die Vorfälle auf niedriger Ebene quasi in Eigenregie, um menschliche Analysten zu unterstützen. Aus diesen Motivationen ergeben sich Auswirkungen, die Sicherheitsverantwortliche berücksichtigen müssen.
SOAR: Vor- und Nachteile im Überblick
Um die Vorteile von SOAR-Lösungen zu nutzen und potenzielle Fallstricke zu vermeiden, sollten Unternehmen einen ganzheitlichen Blick auf ihre Security-Situation werfen. Keine Technologie ist ein Allheilmittel, um eine ungenügende Sicherheitskultur zu reparieren oder durch Engpässe überforderte Security-Teams nachhaltig zu entlasten. Kein technisches Pflaster kann eine fehlende Sicherheitsstrategie oder veraltete Tools und Informationen kompensieren.
Vorteile von SOAR
Je nach Unternehmen, kann der Erfolg der Einführung selbstredend variieren, aber prinzipiell können Sicherheitsverantwortlicher von folgenden Vorteilen einer SOAR-Implementierung ausgehen:
- höhere Produktivität;
- weniger langwierige und sich wiederholende Tätigkeiten für die Fachkräfte;
- eine strategischere Zuweisung der Security-Analysten;
- eine verbesserte Effizienz bei Prozessen und Verarbeitung von Warnmeldungen und Einordnung;
- schnellere Reaktion bei Vorfällen und deren Behebung;
- zentralisierte und koordinierte Sicherheits-Tools über Anbieter hinweg, auch bei Analysen;
- eine erhöhte Widerstandsfähigkeit gegenüber der wachsenden Bedrohungslandschaft.
Die Nachteile von SOAR
Um die Erwartungen an die SOAR-Einführung und die Fähigkeiten der Lösungen richtig einzuordnen, sollten IT-Teams folgende potenzielle Fallstricke beachten:
- die Tools können eine Sicherheitsreife im Unternehmen nicht beurteilen oder Änderungen in der berücksichtigen;
- wurde eine Sicherheitskultur nicht etabliert, helfen auch die Tools nicht;
- die Unterbewertung menschlicher Security-Analysten zugunsten von Software;
- die Umschichtung von Personalressourcen auf Technologieressourcen;
- überzogene Erwartungen an die SOAR-Fähigkeiten;
- mögliche Verwechselung mit KI-Fähigkeiten;
- begrenzte oder unklare Erfolgsmetriken.
Was Unternehmen bei der SOAR-Einführung beachten sollten
Um eine erfolgreiche Einführung von SOAR zu gewährleisten, müssen die Sicherheitsverantwortlichen die Ziele benennen, die mit den Tools erreicht werden sollen. Und es muss klar sein, inwieweit diese Ziele mit der allgemeinen Strategie übereinstimmen und wie der Erfolg gemessen werden soll. Die Orchestrierung, eine Kernfunktion von SOAR, hilft beispielsweise bei der Koordinierung der Sicherheitslösungen mehrerer Anbieter.
Dieses Ziel steht oft in Einklang mit dem strategischen Bedarf, die Sichtbarkeit und das Management über große komplexe Topologien hinweg im Unternehmen zu verbessern. Potenzielle Erfolgskenngrößen sind nicht auf eine zeitbasierte Betrachtung und Messung beschränkt, sondern können auch das Anbietermanagement, die Identifizierung von Redundanzen, Optimierung von Arbeitsabläufen, Compliance und nicht erkannte Berechtigungen oder Geräte umfassen. Das Verbinden dieser Punkte ist für den Erfolg ebenso wichtig wie die technische Integration.
Zudem ist es von Bedeutung, SOAR nicht vor allem als Hilfsmittel zu reinen Effizienzsteigerung zu verstehen, sondern in erster Linie als Tool zur Unterstützung menschlicher Analysten. SOAR-Tools konzentrieren sich in der Regel auf gängige Security-Szenarien und sich häufig wiederholende Schritte, wie beispielsweise die Anreicherung von Alarmmeldungen oder das Auslösen einer Warnmeldung auf einer bestimmten Plattform.
Da sie keine Abwehr bei anomalen Szenarien bieten und keine Werkzeuge für hochgradig differenzierte Untersuchungen sind, können SOAR-Tools keine Security-Profis ersetzen oder fehlende Nachwuchskräfte kompensieren.
Der Nutzwert von SOAR-Werkzeugen besteht darin, die Teams zu entlasten, indem der manuelle Aufwand, der mit der Überlastung durch zu viele Alarmmeldungen verbunden ist, reduziert wird. Und auch die proaktive Risikominderung wird automatisiert, was ebenfalls eine Entlastung darstellt. Bei erfolgreicher Einführung können sich hochqualifizierte Analysten auf anspruchsvollere Aufgaben, aufkommende Bedrohungen und Vorfälle mit höherem Risiko konzentrieren.
Security-Teams müssen den ständig zunehmenden Cyberbedrohungen mit agilen und anpassungsfähigen Sicherheitsmaßnahmen und Infrastrukturen begegnen. Während jede Form der Security-Automatisierung Effizienzvorteile bietet, können SOAR-Tools diesen Faktor noch verstärken, in dem sie die Kombination aus menschlichen und technischen Stärken verbessern.
