Tierney - stock.adobe.com
SOAR: Was Unternehmen vor der Einführung wissen sollten
Um eine erfolgreiche Einführung zu gewährleisten, müssen sich IT-Teams mit den Vorteilen, aber auch Grenzen von SOAR-Tools auseinandersetzen. Und wie sie den Erfolg messen wollen.
Da Unternehmen auf der ganzen Welt mit einer konstanten und dynamischen Flut von Cyberbedrohungen konfrontiert sind, hat die Entwicklung von Tools zur Beschleunigung von Sicherheitsoperationen, Automatisierung und Reaktion (SOAR, Security Orchestration, Automation and Response) rapide zugenommen.
Wie der Branchenverband Bitkom im August 2022 vermeldet hat, entsteht der deutschen Wirtschaft durch Datendiebstahl, Spionage und Sabotage ein jährlicher Schaden von 203 Milliarden Euro. Und so seien die Unternehmen im Hinblick auf Cyberangriffe durchaus beunruhigt. So hätten 39 Prozent der Befragten erlebt, dass die Angriffe auf ihr Unternehmen stark zugenommen. Und immerhin 45 Prozent gaben, die Angriffe hätten eher zugenommen. Erschwerend kommt hinzu, dass die Security-Teams aufgrund begrenzter Ressourcen und Mitarbeiterzahl Schwierigkeiten haben, mit den Cyberbedrohungen Schritt zu halten. Darüber hinaus müssen die IT-Mitarbeiter häufig zahlreiche, uneinheitliche Sicherheits-Tools im Blick behalten, um die Flut von Bedrohungen einzudämmen. Und jede Alarmmeldung der jeweiligen Software muss überwacht, analysiert und eingeordnet werden.
SOAR-Tools (Security Orchestration, Automation and Response) sollten IT-Abteilungen mit folgenden Funktionen unterstützen:
- Die Security-Orchestrierung verbindet und koordiniert heterogene Tool-Sets und definiert Parameter und Prozesse für die Vorfallanalyse.
- Prozessautomatisierung, die automatisch und auf intelligente Weise bestimmte Workflows, Aufgaben und Triagen auf der Grundlage vordefinierter Schwellenwerte auslöst, einschließlich der automatischen Behebung von Schwachstellen mit geringerem Risiko.
- Die Reaktion erfolgt über eine zentrale Ansicht, so dass Sicherheits-, Netzwerk- und Systemanalysten auf Bedrohungsdaten zugreifen, diese abfragen und zwischen den Teams austauschen können.
Es gibt drei Hauptanreize für die Einführung von SOAR-Tools in Sicherheitsprogrammen. Erstens zentralisiert SOAR die Sichtbarkeit und den Einblick in automatisch entdeckte Bedrohungen. Zweitens werden die Bedrohungen auf der Grundlage des Risikos für das Unternehmen analysiert und priorisiert. Drittens verwalten SOAR-Systeme gleichzeitig die weniger bedeutenden Vorfälle, um menschliche Analysten zu unterstützen und zu entlasten. Aus diesen vorgelagerten Motivationen ergeben sich mehrere nachgelagerte Effekte, die Sicherheitsverantwortliche berücksichtigen müssen.
SOAR: Vor- und Nachteile im Überblick
Um die Vorteile von SOAR-Lösungen zu nutzen und potenzielle Fallstricke zu vermeiden, sollten Unternehmen einen ganzheitlichen Blick auf ihre Security-Situation werfen. Keine Technologie ist ein Allheilmittel, um eine ungenügende Sicherheitskultur zu reparieren oder durch Engpässe überforderte Security-Teams nachhaltig zu entlasten. Kein technisches Pflaster kann eine fehlende Sicherheitsstrategie oder veraltete Tools und Informationen kompensieren.
Nachdem Sie sich mit der Unternehmens- und Abteilungskultur auseinandergesetzt haben, sollten Sie die technischen Vorteile von SOAR bewerten, um festzustellen, ob der Nutzen die Kosten für die Tools und die Implementierung rechtfertigt. Betrachten wir dazu die Vor- und Nachteile, die für die meisten Unternehmen relevant sind.
Vorteile von SOAR
Obwohl der Erfolg der Einführung von SOAR von Unternehmen zu Unternehmen unterschiedlich sein kann, können Sicherheitsverantwortliche die folgenden Vorteile einer SOAR-Implementierung erwarten:
- höhere Produktivität;
- weniger langwierige und sich wiederholende Tätigkeiten für die Fachkräfte;
- eine strategischere Zuweisung der Security-Analysten;
- Bessere Nutzung der vorhandenen Sicherheits-Tools;
- eine verbesserte Effizienz bei Prozessen und Verarbeitung von Warnmeldungen und Einordnung;
- schnellere Reaktion bei Vorfällen und deren Behebung;
- zentralisierte und koordinierte Sicherheits-Tools über Anbieter hinweg, auch bei Analysen;
- eine erhöhte Widerstandsfähigkeit gegenüber der wachsenden Bedrohungslandschaft.
Die Herausforderungen bei SOAR
Um die Erwartungen an die SOAR-Einführung und die Fähigkeiten der Lösungen richtig einzuordnen, sollten IT-Teams folgende potenzielle Fallstricke beachten:
- die Tools können eine Sicherheitsreife im Unternehmen nicht beurteilen oder Änderungen in der berücksichtigen;
- wurde eine Sicherheitskultur nicht etabliert, helfen auch die Tools nicht;
- die Unterbewertung menschlicher Security-Analysten zugunsten von Software;
- die Umschichtung von Personalressourcen auf Technologieressourcen;
- überzogene Erwartungen an die SOAR-Fähigkeiten;
- Komplexität der Integration;
- mögliche Verwechselung mit KI-Fähigkeiten;
- begrenzte oder unklare Erfolgsmetriken.
Was Unternehmen bei der SOAR-Einführung beachten sollten
Um eine erfolgreiche Einführung von SOAR zu gewährleisten, müssen die Sicherheitsverantwortlichen die Ziele benennen, die mit den Tools erreicht werden sollen. Und es muss klar sein, inwieweit diese Ziele mit der allgemeinen Strategie übereinstimmen und wie der Erfolg gemessen werden soll. Die Orchestrierung, eine Kernfunktion von SOAR, hilft beispielsweise bei der Koordinierung der Sicherheitslösungen mehrerer Anbieter.
Dieses Ziel steht oft in Einklang mit dem strategischen Bedarf, die Sichtbarkeit und das Management über große komplexe Topologien hinweg im Unternehmen zu verbessern. Potenzielle Erfolgskenngrößen sind nicht auf eine zeitbasierte Betrachtung und Messung beschränkt, sondern können auch das Anbietermanagement, die Identifizierung von Redundanzen, Optimierung von Arbeitsabläufen, Compliance und nicht erkannte Berechtigungen oder Geräte umfassen. Das Verbinden dieser Punkte ist für den Erfolg ebenso wichtig, wie die technische Integration.
Zudem ist es von Bedeutung, SOAR nicht vor allem als Hilfsmittel zu reinen Effizienzsteigerung zu verstehen, sondern in erster Linie als Tool zur Unterstützung menschlicher Analysten. SOAR-Tools konzentrieren sich in der Regel auf gängige Security-Szenarien und sich häufig wiederholende Schritte, wie beispielswiese die Anreicherung von Alarmmeldungen oder das Auslösen einer Warnmeldung auf einer bestimmten Plattform.
Da sie keine Abwehr bei anomalen Szenarien bieten und keine Werkzeuge für hochgradig differenzierte Untersuchungen sind, können SOAR-Tools keine Security-Profis ersetzen oder fehlende Nachwuchskräfte kompensieren. Der Nutzwert von SOAR-Werkzeugen besteht darin, die Teams zu entlasten, indem der manuelle Aufwand, der mit der Überlastung durch zu viele Alarmmeldungen verbunden ist, reduziert wird. Und auch die proaktive Risikominderung wird automatisiert, was ebenfalls eine Entlastung darstellen. Bei erfolgreicher Einführung können sich hochqualifizierte Analysten auf anspruchsvollere Aufgaben, aufkommende Bedrohungen und Vorfälle mit höherem Risiko konzentrieren.
Security-Teams müssen den ständig zunehmenden Cyberbedrohungen mit agilen und anpassungsfähigen Sicherheitsmaßnahmen und Infrastrukturen begegnen. Während jede Form der Security-Automatisierung Effizienzvorteile bietet, können SOAR-Tools diesen Faktor noch verstärken, in dem sie die Kombination aus menschlichen und technischen Stärken verbessern.