Intelligente Automatisierung hat Auswirkungen auf Technologiemärkte. Und aufgrund eines enormen Arbeitskräftemangels in einem dieser Märkte – der Cybersicherheit – ist die Automatisierung unglaublich wichtig geworden.

Unternehmen haben mit Einstellungsschwierigkeiten zu kämpfen, setzen unterqualifiziertes Personal ein und jonglieren gleichzeitig mit dutzenden von Tools – diese Herausforderungen haben reale Auswirkungen. Unterqualifiziertes und unterbesetztes Personal ist eher dazu geneigt, Informationen preiszugeben und Tools unsachgemäß zu verwenden; dies kommt zu dem Risiko und den potenziellen Konsequenzen hinzu, Sicherheitspositionen monatelang offen und unbeaufsichtigt zu lassen.

Eine mögliche Lösung: spezialisierte System-Sicherheitssoftware. Während sie die Frage des Fachkräftemangels nicht vollständig beantwortet, sind Security Orchestration, Automation, and Response (SOAR) Plattformen darauf ausgelegt, große Mengen an Sicherheitsaufgaben zu vereinfachen und zu automatisieren, wodurch Teams schlanker, effektiver und effizienter werden.

Was ist SOAR?

Unternehmen integrieren SOAR-Plattformen mit bestehenden Sicherheitslösungen, wobei Teams spezifische Betriebslogik und Sicherheitsrichtlinien definieren und festlegen. Die Plattform verwendet dann kontextbezogene Informationen aus dem Security Information and Event Management (SIEM) Tool eines Unternehmens, um Anomalien und Fehlfunktionen zu identifizieren. SOAR-Plattformen integrieren sich auch mit Firewall-Software, Incident-Response-Tools, CASB-Software und so ziemlich jedem anderen Sicherheitstool, das Unternehmen zur Verfügung steht.

SOAR vs. SIEM: Mehr als nur eine Ergänzung zu SIEM

Unternehmen nutzen Security Event Information and Information Management (SIEM) Lösungen, um Informationen über Endpunkte, Netzwerke und andere IT-Assets zu sammeln und zu speichern. Teams tun dies typischerweise, indem sie einen Agenten auf jedem Gerät platzieren, um Daten zu sammeln und Aktivitäten zu überwachen. Diese Informationen werden verwendet, um abnormale Aktivitäten, Sicherheitsvorfälle und jede andere Art von Angriff zu identifizieren.

SOAR geht den nächsten operativen Schritt. Nach der Integration der SOAR-Lösung mit einem SIEM und der Verarbeitung der gespeicherten Informationen kann das SOAR-Tool mit zusätzlichen Sicherheitstools integriert werden, um Workflow-Aufgaben zu automatisieren. Beispielsweise fügen SOAR-Nutzer typischerweise ein Incident-Response-Tool zur Plattform hinzu, um die Behebung von Vorfällen zu automatisieren, sobald sie auftreten. Sie können auch Sicherheits- oder Schwachstellenanalysetools integrieren, um kontextbezogene Informationen zu Risikomaschinen hinzuzufügen. Es gibt endlose Möglichkeiten, aber sie alle drehen sich um die von Sicherheitsteams festgelegte Logik und die Operationen, die sie automatisieren möchten. Beispielsweise können Auslöser so eingestellt werden, dass ein Gerät automatisch isoliert wird, wenn Malware erkannt wird. Systeme können kontinuierlich nach Anomalien scannen und die Untersuchung und Behebung automatisieren, sobald sie entdeckt werden.

SOAR ist kein Ersatz für SIEM-Lösungen; in Wirklichkeit treibt SIEM SOAR an. Das SIEM liefert alle kontextbezogenen Daten und Sicherheitsinformationen, die erforderlich sind, um die SOAR-Plattform zu trainieren, Anomalien zu identifizieren und deren Behebung zu automatisieren.

Was treibt die SOAR-Adoption an?

Es gibt zahlreiche Vorteile dieser aufstrebenden Technologie, die erstmals 2017 beschrieben wurde. Während spezifische SOAR-Produkte unterschiedliche Funktionen aufweisen, umfassen die Gemeinsamkeiten ihrer Vorteile eine erhöhte Effizienz und Sichtbarkeit für Sicherheitsteams – sowohl durch Integration als auch durch Automatisierung.

Betriebliche Effizienz

Einfach ausgedrückt, macht Automatisierung die Arbeit der Mitarbeiter einfacher. SOAR-Plattformen ermöglichen es Teams, Prioritäten zu setzen und einen Workflow für Sicherheitsereignisse zu erstellen, der minimalen menschlichen Aufwand erfordert. Teams etablieren betriebliche Normen durch Logik und Richtlinien, die SOAR-Produkte ständig vergleichen und referenzieren, um Anomalien zu erkennen. Wenn Erkennung und Behebung automatisiert sind, haben Teams mehr Zeit, die Ursache eines Problems zu finden und zu verhindern, dass es erneut auftritt. Darüber hinaus können diese Produkte im Falle eines größeren Sicherheitsvorfalls Teams sofort alarmieren, um eine schnelle Reaktion zu ermöglichen.

Reaktionswirksamkeit

Je früher Sicherheitsteams ein Problem erkennen können, desto einfacher können sie es lösen. Altsysteme können möglicherweise eine Person über ein Ereignis alarmieren, eine E-Mail an eine andere Person zur Untersuchung senden und eine weitere Person zur Behebung benachrichtigen. SOAR-Lösungen ermöglichen es, einfache Probleme automatisch zu erkennen und zu beheben. Andere, komplexere Probleme können mit integrierten Tools und aggregierten forensischen Informationen untersucht werden, die von SIEM-Software gesammelt wurden. Sobald die Informationen analysiert sind, können Untersuchungsteams die Daten dem Incident-Response-Personal präsentieren, bevor sie überhaupt von dem Vorfall erfahren, was die Zeit von der Entdeckung bis zur Behebung drastisch verkürzt.

Risikoreduktion

Risikoreduktion wird mit SOAR erreicht, indem der Prozess der Priorisierung von Vorfällen und Schwachstellen vereinfacht wird. Schwachstellenmanagement ist einer der größten Prozesse, die SOAR beeinflussen kann. Unternehmen können Hunderte von Konfigurationen zu untersuchen haben, aber risikobasierte, intelligente Priorisierung hilft Unternehmen, Probleme mit der größten Auswirkung anzugehen, indem kritische Ressourcen identifiziert werden, die potenziell von größeren Problemen betroffen sind. Einfache Probleme können automatisch behoben (oder für später gespeichert) werden, während Sicherheitsteams die Probleme angehen, die geschäftskritische Systeme betreffen.

Neuigkeiten im SOAR-Markt

Obwohl die SOAR-Technologie erst seit wenigen Jahren existiert, wird erwartet, dass der Markt bis 2025 die 2-Milliarden-Dollar-Marke überschreiten wird, mit einem Wachstum von 16 % CAGR in diesem Zeitraum, laut KBV Research.

Bild mit freundlicher Genehmigung von: MarketsandMarkets

Diese Aktivität kam in vielen Formen.

Ein Teil davon kam in Form neuer Produkte von großen Akteuren in der Sicherheitswelt. Und während eine Reihe von SIEM-Anbietern organisch entstanden ist, hat die Beteiligung von Technologieriesen wie Rapid7 und FireEye in den letzten Jahren dem Markt Glaubwürdigkeit verliehen.

Übernahmen haben dem Markt ebenfalls Legitimität verliehen. In den letzten Jahren wurden SOAR-bezogene Startups von Sicherheitsanbietern aufgekauft:

• Neben der Einführung seiner SOAR-Plattform InsightConnect im Jahr 2018 hat Rapid7 seine Technologie durch den Erwerb von drei SOAR-bezogenen Startups gestärkt: NetFort, tCell und Komand.
• Splunk erwarb VictorOPs und Phantom im Jahr 2019, um Splunk Enterprise Security auszubauen und Sicherheitsoperationen durch Splunk Phantom Security Orchestration zu automatisieren.
• Palo Alto Networks erwarb Demisto, einen Leader in der SOAR-Kategorie von G2, und Fortinet kaufte Cybersponse im Jahr 2019.

Die Liste geht weiter. Übernahmen mögen die Schlagzeilen stehlen, aber SOAR-Anbieter, die mit Technologie-, Beratungs- und Finanzinstituten zusammenarbeiten, trieben viel Marktwachstum voran. Die meisten dieser Partnerschaften kamen in zwei Formen: Fallstudien zu Unternehmens-Cloud-Diensten und Vereinbarungen mit Managed Services Providern (MSP).

LogRythm begann 2016 eine Partnerschaft mit Dell EMC, um Lösungen zu integrieren und gleichzeitig Sicherheitsautomatisierung und Analytik zu den Produkten von Dell EMC hinzuzufügen. Im nächsten Jahr begann ThreatConnect mit der Zusammenarbeit mit CenturyLink; Rapid7 ging eine Partnerschaft mit Microsoft ein; und Demisto arbeitete mit AWS zusammen; alle fügten ihren Produkten und Dienstleistungen Sicherheitsautomatisierung hinzu.

Splunk startete die MSP-Partnerschaften im Jahr 2016, während es mit Accenture zusammenarbeitete, um die Sicherheit für die Anwendungsdienste von Accenture zu automatisieren. LogRythm folgte 2017, um dasselbe für Deloitte zu tun. Seitdem haben eine Reihe anderer Beratungs-, Versicherungs- und Dienstleistungsanbieter Partnerschaften mit SOAR-Lösungsanbietern geschlossen, um die Funktionalität ihrer Produkte zu erweitern oder Teile ihrer Dienstleistungen auszulagern.

Die Zukunft der Sicherheitsoperationen

Diese Sicherheitstrends werden sich 2020 und darüber hinaus fortsetzen.

Für Unternehmen bedeutet dies mehr Zusammenarbeit zwischen Sicherheitsanbietern und Dienstleistern, um die Sicherheitsautomatisierung für ihre Unternehmen und Kunden zu verbessern.

Für Sicherheitsteams wird der größte Einfluss eine einfachere Arbeit sein: Automatisierung und Sichtbarkeit zu erreichen, Sicherheitslösungen im Einklang zu betreiben und Reaktions-Workflows zu entwickeln. Dies befähigt Sicherheitsteams, Probleme basierend auf ihren eigenen einzigartigen Zielen oder Bedürfnissen zu identifizieren und zu priorisieren. Darüber hinaus können sie weniger Zeit mit geringfügigen Problemen verschwenden und Risiken entsprechend bewerten, um die Auswirkungen jeder Sekunde, die sie arbeiten, zu optimieren.

Dies sollte eine beträchtliche Anzahl von Unternehmenssicherheitsteams betreffen. Bis 2022 werden fast ein Drittel der Unternehmensorganisationen von fünf oder mehr Sicherheitsexperten besetzt sein. Diese Zahl wird von heute 5 % in die Höhe schnellen, laut Gartner.

Zukünftige Sicherheitsteams, die von SOAR unterstützt werden, werden besser denn je in der Lage sein, Risiken zu analysieren, Sicherheitsprobleme zu entdecken und Bedrohungen schnell zu beheben.