Mehr über Vorfallsreaktionssoftware erfahren
Was ist Incident-Response-Software?
Incident-Response-Software, manchmal auch Sicherheitsvorfall-Management-Software genannt, ist eine Sicherheitstechnologie, die zur Behebung von Cybersecurity-Problemen in Echtzeit eingesetzt wird. Diese Tools entdecken Vorfälle und benachrichtigen das zuständige IT- und Sicherheitspersonal, um das Sicherheitsproblem zu lösen. Darüber hinaus ermöglichen die Tools den Teams, Workflows zu entwickeln, Verantwortlichkeiten zu delegieren und niedrigstufige Aufgaben zu automatisieren, um die Reaktionszeit zu optimieren und die Auswirkungen von Sicherheitsvorfällen zu minimieren.
Diese Tools dokumentieren auch historische Vorfälle und helfen den Benutzern, den Grundursachen auf den Grund zu gehen, um Sicherheitsprobleme zu beheben. Wenn neue Sicherheitsprobleme auftreten, können Benutzer forensische Untersuchungstools nutzen, um die Ursache des Vorfalls zu ermitteln und festzustellen, ob es sich um ein anhaltendes oder größeres Problem handelt. Viele Incident-Response-Softwarelösungen integrieren sich auch mit anderen Sicherheitstools, um die Alarmierung zu vereinfachen, Workflows zu verknüpfen und zusätzliche Bedrohungsinformationen bereitzustellen.
Welche Arten von Incident-Response-Software gibt es?
Reine Incident-Response-Lösungen
Reine Incident-Response-Lösungen sind die letzte Verteidigungslinie im Sicherheitsökosystem. Erst wenn Bedrohungen unentdeckt bleiben und Schwachstellen aufgedeckt werden, kommen Incident-Response-Systeme zum Einsatz. Ihr Hauptaugenmerk liegt auf der Erleichterung der Behebung von kompromittierten Konten, Systemdurchdringungen und anderen Sicherheitsvorfällen. Diese Produkte speichern Informationen zu häufigen und neu auftretenden Bedrohungen und dokumentieren jedes Vorkommen für eine nachträgliche Analyse. Einige Incident-Response-Lösungen sind auch mit Live-Feeds verbunden, um globale Informationen zu neu auftretenden Bedrohungen zu sammeln.
Vorfallmanagement und -reaktion
Vorfallmanagementprodukte bieten viele ähnliche Verwaltungsfunktionen wie Incident-Response-Produkte, aber andere Tools kombinieren Vorfallmanagement, Alarmierung und Reaktionsfähigkeiten. Diese Tools werden häufig in DevOps-Umgebungen verwendet, um Sicherheitsvorfälle von ihrem Auftreten bis zu ihrer Behebung zu dokumentieren, zu verfolgen und zu beschaffen.
Vorfallmanagement-Tracking- und Servicetools
Andere Vorfallmanagement-Tools haben einen stärkeren Fokus auf das Servicemanagement. Diese Tools verfolgen Sicherheitsvorfälle, erlauben es den Benutzern jedoch nicht, Sicherheitsworkflows zu erstellen, Probleme zu beheben oder forensische Untersuchungsfunktionen bereitzustellen, um die Grundursache des Vorfalls zu ermitteln.
Was sind die häufigsten Funktionen von Incident-Response-Software?
Incident-Response-Software kann eine Vielzahl von Funktionen bieten, aber einige der häufigsten sind:
Workflow-Management: Workflow-Management-Funktionen ermöglichen es Administratoren, Workflows zu organisieren, die das Remediation-Personal anleiten und Informationen zu spezifischen Situationen und Vorfalltypen bereitstellen.
Workflow-Automatisierung: Workflow-Automatisierung ermöglicht es Teams, den Arbeitsfluss zu optimieren, indem Trigger und Alarme eingerichtet werden, die die entsprechenden Personen benachrichtigen und Informationen weiterleiten, wenn ihre Aktion im Entschädigungsprozess erforderlich ist.
Vorfallsdatenbank: Vorfallsdatenbanken dokumentieren historische Vorfallsaktivitäten. Administratoren können auf Daten zu Vorfällen zugreifen und diese organisieren, um Berichte zu erstellen oder die Daten besser navigierbar zu machen.
Vorfallalarmierung: Alarmierungsfunktionen informieren relevante Personen in Echtzeit, wenn Vorfälle auftreten. Einige Reaktionen können automatisiert sein, aber die Benutzer werden dennoch informiert.
Vorfallsberichterstattung: Berichterstattungsfunktionen erstellen Berichte, die Trends und Schwachstellen im Zusammenhang mit ihrem Netzwerk und ihrer Infrastruktur detailliert beschreiben.
Vorfallsprotokolle: Historische Vorfallsprotokolle werden in der Vorfallsdatenbank gespeichert und dienen als Benutzerreferenz und Analyse bei der Behebung von Sicherheitsvorfällen.
Bedrohungsinformationen: Bedrohungsinformations-Tools, die oft mit forensischen Tools kombiniert werden, bieten einen integrierten Informationsfeed, der die Cybersecurity-Bedrohungen detailliert beschreibt, sobald sie weltweit entdeckt werden. Diese Informationen werden entweder intern oder von einem Drittanbieter gesammelt und dienen dazu, weitere Informationen zu Gegenmaßnahmen bereitzustellen.
Sicherheitsorchestrierung: Orchestrierung bezieht sich auf die Integration von Sicherheitslösungen und die Automatisierung von Prozessen in einem Reaktionsworkflow.
Automatisierte Behebung: Automatisierung adressiert Sicherheitsprobleme in Echtzeit und reduziert die Zeit, die für die manuelle Behebung von Problemen aufgewendet wird. Sie hilft auch, häufige Netzwerk- und Systemsicherheitsvorfälle schnell zu lösen.
Was sind die Vorteile von Incident-Response-Software?
Der Hauptwert der Incident-Response-Technologie liegt in der erhöhten Fähigkeit, Cybersecurity-Vorfälle zu entdecken und zu beheben. Dies sind einige wertvolle Komponenten des Incident-Response-Prozesses.
Bedrohungsmodellierung: Informationssicherheits- und IT-Abteilungen können diese Tools nutzen, um sich mit dem Incident-Response-Prozess vertraut zu machen und Workflows zu entwickeln, bevor Sicherheitsvorfälle auftreten. Dies ermöglicht es Unternehmen, vorbereitet zu sein, um Sicherheitsvorfälle schnell zu entdecken, zu beheben und daraus zu lernen, wie sie geschäftskritische Systeme beeinflussen.
Alarmierung: Ohne ordnungsgemäße Alarmierungs- und Kommunikationskanäle können viele Sicherheitsbedrohungen Netzwerke durchdringen und über längere Zeiträume unentdeckt bleiben. In dieser Zeit können Hacker, interne Bedrohungsakteure und andere Cyberkriminelle sensible und andere geschäftskritische Daten stehlen und IT-Systeme verwüsten. Eine ordnungsgemäße Alarmierung und Kommunikation kann die Zeit, die erforderlich ist, um Vorfälle zu entdecken, das relevante Personal zu informieren und Vorfälle zu beseitigen, erheblich verkürzen.
Isolation: Incident-Response-Plattformen ermöglichen es Sicherheitsteams, Vorfälle schnell zu isolieren, wenn sie ordnungsgemäß alarmiert werden. Die Isolierung infizierter Systeme, Netzwerke und Endpunkte kann den Umfang eines Vorfalls erheblich reduzieren. Wenn sie ordnungsgemäß isoliert sind, können Sicherheitsexperten die Aktivitäten der betroffenen Systeme überwachen, um mehr über die Bedrohungsakteure, ihre Fähigkeiten und ihre Ziele zu erfahren.
Behebung: Die Behebung ist der Schlüssel zur Incident-Response und bezieht sich auf die tatsächliche Entfernung von Bedrohungen wie Malware und eskalierten Berechtigungen, unter anderem. Incident-Response-Tools erleichtern die Entfernung und ermöglichen es den Teams, die Wiederherstellung zu überprüfen, bevor infizierte Systeme wieder eingeführt oder der normale Betrieb wieder aufgenommen wird.
Untersuchung: Die Untersuchung ermöglicht es Teams und Unternehmen, mehr darüber zu erfahren, warum sie angegriffen wurden, wie sie angegriffen wurden und welche Systeme, Anwendungen und Daten negativ betroffen waren. Diese Informationen können Unternehmen helfen, auf Anfragen zu Compliance-Informationen zu reagieren, die Sicherheit in gefährdeten Bereichen zu stärken und ähnliche zukünftige Probleme in kürzerer Zeit zu lösen.
Wer nutzt Incident-Response-Software?
Informationssicherheits (InfoSec) Fachleute: InfoSec-Fachleute nutzen Incident-Response-Software, um Sicherheitsbedrohungen für ein Unternehmen zu überwachen, zu alarmieren und zu beheben. Mit Incident-Response-Software können InfoSec-Fachleute ihre Reaktion auf Sicherheitsvorfälle automatisieren und schnell skalieren, über das hinaus, was Teams manuell tun können.
IT-Fachleute: Für Unternehmen ohne dedizierte Informationssicherheitsteams können IT-Fachleute Sicherheitsrollen übernehmen. Fachleute mit begrenztem Sicherheitswissen können auf Incident-Response-Software mit robusterer Funktionalität angewiesen sein, um ihnen bei der Identifizierung von Bedrohungen, ihrer Entscheidungsfindung bei Sicherheitsvorfällen und der Bedrohungsbehebung zu helfen.
Incident-Response-Dienstleister: Praktiker bei Incident-Response-Dienstleistern nutzen Incident-Response-Software, um aktiv die Sicherheit ihrer Kunden zu verwalten, sowie andere Anbieter von verwalteten Sicherheitsdiensten.
Was sind die Alternativen zu Incident-Response-Software?
Unternehmen, die es vorziehen, Open-Source- oder andere verschiedene Software-Tools zusammenzustellen, um die Funktionalität von Incident-Response-Software zu erreichen, können dies mit einer Kombination aus Log-Analyse, SIEM, Intrusion-Detection-Systemen, Schwachstellenscannern, Backup und anderen Tools tun. Umgekehrt können Unternehmen das Management ihrer Sicherheitsprogramme an Managed Service Provider auslagern.
Endpoint-Detection-and-Response (EDR) Software: Sie kombinieren sowohl Endpoint-Antivirus als auch Endpoint-Management-Lösungen, um bösartige Software zu erkennen, zu untersuchen und zu entfernen, die in die Geräte eines Netzwerks eindringt.
Managed-Detection-and-Response (MDR) Software: Sie überwachen proaktiv Netzwerke, Endpunkte und andere IT-Ressourcen auf Sicherheitsvorfälle.
Extended-Detection-and-Response (XDR) Software: Sie sind Tools, die zur Automatisierung der Entdeckung und Behebung von Sicherheitsproblemen in hybriden Systemen verwendet werden.
Incident-Response-Dienstleister: Für Unternehmen, die ihre Incident-Response nicht intern kaufen und verwalten oder ihre Open-Source-Lösungen entwickeln möchten, können sie Incident-Response-Dienstleister beauftragen.
Log-Analyse-Software: Log-Analyse-Software ermöglicht die Dokumentation von Anwendungsprotokolldateien für Aufzeichnungen und Analysen.
Log-Monitoring-Software: Durch die Erkennung und Alarmierung von Benutzern auf Muster in diesen Protokolldateien hilft Log-Monitoring-Software, Leistungs- und Sicherheitsprobleme zu lösen.
Intrusion-Detection-and-Prevention-Systems (IDPS): IDPS wird verwendet, um IT-Administratoren und Sicherheitspersonal über Anomalien und Angriffe auf IT-Infrastruktur und Anwendungen zu informieren. Diese Tools erkennen Malware, sozial manipulierte Angriffe und andere webbasierte Bedrohungen.
Security-Information-and-Event-Management (SIEM) Software: SIEM-Software kann Sicherheitsinformationen alarmieren und Sicherheitsoperationen auf einer Plattform zentralisieren. SIEM-Software kann jedoch keine Remediation-Praktiken automatisieren, wie es einige Incident-Response-Software tut. Für Unternehmen, die SIEM nicht intern verwalten möchten, können sie mit Managed-SIEM-Dienstleistern zusammenarbeiten.
Threat-Intelligence-Software: Threat-Intelligence-Software bietet Organisationen Informationen zu den neuesten Formen von Cyberbedrohungen wie Zero-Day-Angriffen, neuen Formen von Malware und Exploits. Unternehmen können auch mit Threat-Intelligence-Dienstleistern zusammenarbeiten.
Vulnerability-Scanner-Software: Vulnerability-Scanner sind Tools, die Anwendungen und Netzwerke ständig überwachen, um Sicherheitslücken zu identifizieren. Sie arbeiten, indem sie eine aktuelle Datenbank bekannter Schwachstellen pflegen und Scans durchführen, um potenzielle Exploits zu identifizieren. Unternehmen können sich dafür entscheiden, mit Vulnerability-Assessment-Dienstleistern zusammenzuarbeiten, anstatt dies intern zu verwalten.
Patch-Management-Software: Patch-Management-Tools werden verwendet, um sicherzustellen, dass die Komponenten des Software-Stacks und der IT-Infrastruktur eines Unternehmens auf dem neuesten Stand sind. Sie benachrichtigen dann die Benutzer über notwendige Updates oder führen Updates automatisch aus.
Backup-Software: Backup-Software bietet Schutz für Geschäftsdaten, indem sie Daten von Servern, Datenbanken, Desktops, Laptops und anderen Geräten kopiert, falls Benutzerfehler, beschädigte Dateien oder physische Katastrophen die kritischen Daten eines Unternehmens unzugänglich machen. Im Falle eines Datenverlusts durch einen Sicherheitsvorfall können Daten aus einem Backup in ihren vorherigen Zustand wiederhergestellt werden.
Software im Zusammenhang mit Incident-Response-Software
Die folgenden Technologiefamilien stehen entweder in engem Zusammenhang mit Incident-Response-Softwareprodukten oder haben erhebliche Überschneidungen in der Produktfunktionalität.
Security-Information-and-Event-Management (SIEM) Software: SIEM-Plattformen gehen Hand in Hand mit Incident-Response-Lösungen. Incident-Response kann durch SIEM-Systeme erleichtert werden, aber diese Tools sind speziell darauf ausgelegt, den Remediationsprozess zu optimieren oder während der Sicherheitsworkflow-Prozesse zusätzliche Untersuchungskapazitäten hinzuzufügen. Incident-Response-Lösungen bieten nicht das gleiche Maß an Compliance-Wartung oder Protokollspeicherfähigkeiten, können jedoch verwendet werden, um die Fähigkeit eines Teams zu erhöhen, Bedrohungen zu bekämpfen, sobald sie auftreten.
Datenpannen-Benachrichtigungssoftware: Datenpannen-Benachrichtigung-Software hilft Unternehmen, die Auswirkungen von Datenpannen zu dokumentieren, um die Aufsichtsbehörden zu informieren und betroffene Personen zu benachrichtigen. Diese Lösungen automatisieren und operationalisieren den Datenpannen-Benachrichtigungsprozess, um strenge Datenschutzgesetze und -vorschriften innerhalb der vorgeschriebenen Fristen einzuhalten, die in einigen Fällen nur 72 Stunden betragen können.
Digitale Forensik-Software: Digitale Forensik-Tools werden verwendet, um Sicherheitsvorfälle und -bedrohungen zu untersuchen und zu analysieren, nachdem sie aufgetreten sind. Sie erleichtern nicht die tatsächliche Behebung von Sicherheitsvorfällen, können jedoch zusätzliche Informationen über die Quelle und den Umfang eines Sicherheitsvorfalls bereitstellen. Sie können auch detailliertere Untersuchungsinformationen bieten als Incident-Response-Software.
Security-Orchestration, Automation, and Response (SOAR) Software: SOAR ist ein Segment des Sicherheitsmarktes, das sich auf die Automatisierung aller niedrigstufigen Sicherheitsaufgaben konzentriert. Diese Tools integrieren sich mit dem SIEM eines Unternehmens, um Sicherheitsinformationen zu sammeln. Sie integrieren sich dann mit Überwachungs- und Reaktionstools, um einen automatisierten Workflow von der Entdeckung bis zur Lösung zu entwickeln. Einige Incident-Response-Lösungen ermöglichen die Entwicklung und Automatisierung von Workflows, verfügen jedoch nicht über die breite Palette an Integrations- und Automatisierungsmöglichkeiten einer SOAR-Plattform.
Insider-Threat-Management (ITM) Software: Unternehmen nutzen ITM-Software, um die Aktionen interner Systembenutzer auf ihren Endpunkten zu überwachen und aufzuzeichnen, wie aktuelle und ehemalige Mitarbeiter, Auftragnehmer, Geschäftspartner und andere berechtigte Personen, um Unternehmenswerte wie Kundendaten oder geistiges Eigentum zu schützen.
Herausforderungen mit Incident-Response-Software
Softwarelösungen können ihre eigenen Herausforderungen mit sich bringen. Die größte Herausforderung, der Incident-Response-Teams mit der Software begegnen können, besteht darin, sicherzustellen, dass sie den einzigartigen Prozessanforderungen des Unternehmens entspricht.
Falsch positive Ergebnisse: Incident-Response-Software kann eine Bedrohung identifizieren, die sich als ungenau herausstellt, was als falsch positives Ergebnis bekannt ist. Das Handeln auf falsch positive Ergebnisse kann Unternehmensressourcen und Zeit verschwenden und unnötige Ausfallzeiten für betroffene Personen verursachen.
Entscheidungsfindung: Incident-Response-Software kann die Behebung einiger Sicherheitsbedrohungen automatisieren, jedoch sollte ein Sicherheitsexperte mit Kenntnissen der einzigartigen Umgebung des Unternehmens in den Entscheidungsprozess einbezogen werden, wie diese Probleme automatisiert behandelt werden sollen. Dies kann erfordern, dass Unternehmen den Softwareanbieter konsultieren und zusätzliche professionelle Dienstleistungen für die Bereitstellung der Softwarelösung erwerben. Ebenso müssen beim Entwerfen von Workflows, wer im Falle eines Sicherheitsvorfalls alarmiert werden soll und welche Maßnahmen wann ergriffen werden sollen, diese mit den spezifischen Sicherheitsanforderungen der Organisation im Hinterkopf entworfen werden.
Änderungen in der regulatorischen Compliance: Es ist wichtig, über Änderungen in den regulatorischen Compliance-Gesetzen auf dem Laufenden zu bleiben, insbesondere in Bezug auf Anforderungen zur Datenpannen-Benachrichtigung, wer benachrichtigt werden muss und innerhalb welchen Zeitrahmens. Unternehmen sollten auch sicherstellen, dass der Softwareanbieter die notwendigen Updates für die Software selbst bereitstellt oder diese Aufgabe operativ übernimmt.
Insider-Bedrohungen: Viele Unternehmen konzentrieren sich auf externe Bedrohungen, planen jedoch möglicherweise nicht angemessen für Bedrohungen von Insidern wie Mitarbeitern, Auftragnehmern und anderen mit privilegiertem Zugang. Es ist wichtig sicherzustellen, dass die Incident-Response-Lösung die einzigartige Sicherheitsrisiko-Umgebung des Unternehmens sowohl für externe als auch interne Vorfälle adressiert.
Wie kauft man Incident-Response-Software?
Anforderungserhebung (RFI/RFP) für Incident-Response-Software
Es ist wichtig, die Anforderungen des Unternehmens zu sammeln, bevor die Suche nach einer Incident-Response-Softwarelösung beginnt. Um ein effektives Incident-Response-Programm zu haben, muss das Unternehmen die richtigen Tools nutzen, um ihr Personal und ihre Sicherheitspraktiken zu unterstützen. Dinge, die bei der Bestimmung der Anforderungen zu berücksichtigen sind:
Befähigung des Personals, das für die Nutzung der Software verantwortlich ist: Das Team, das mit der Verwaltung dieser Software und der Incident-Response des Unternehmens beauftragt ist, sollte stark in die Anforderungserhebung und dann in die Bewertung von Softwarelösungen einbezogen werden.
Integrationen: Die Softwarelösung sollte sich in den bestehenden Software-Stack des Unternehmens integrieren. Viele Anbieter bieten vorgefertigte Integrationen mit den gängigsten Drittanbietersystemen an. Das Unternehmen muss sicherstellen, dass die erforderlichen Integrationen entweder vom Anbieter vorgefertigt angeboten werden oder mit Leichtigkeit erstellt werden können.
Benutzerfreundlichkeit: Die Software sollte für das Incident-Response-Team einfach zu bedienen sein. Funktionen, die sie in einer Incident-Response-Lösung bevorzugen könnten, sind vorgefertigte Workflows für häufige Vorfälle, No-Code-Automatisierungs-Workflow-Builder, Entscheidungsprozessvisualisierung, Kommunikationstools und ein Wissensaustauschzentrum.
Tägliches Volumen an Bedrohungen: Es ist wichtig, eine Incident-Response-Softwarelösung auszuwählen, die den Bedürfnissen des Unternehmens entspricht. Wenn das Volumen der täglich empfangenen Sicherheitsbedrohungen hoch ist, kann es besser sein, ein Tool mit robuster Funktionalität in Bezug auf die Automatisierung der Behebung auszuwählen, um die Belastung des Personals zu reduzieren. Für Unternehmen, die ein geringes Volumen an Bedrohungen erleben, können sie möglicherweise mit weniger robusten Tools auskommen, die das Tracking von Sicherheitsvorfällen bieten, ohne viel automatisierte Behebungsfunktionalität.
Anwendbare Vorschriften: Benutzer sollten im Voraus lernen, welche spezifischen Datenschutz-, Sicherheits-, Datenpannen-Benachrichtigungs- und anderen Vorschriften für ein Unternehmen gelten. Dies kann durch Vorschriften getrieben sein, wie Unternehmen, die in regulierten Branchen wie dem Gesundheitswesen tätig sind und HIPAA unterliegen, oder Finanzdienstleistungen, die dem Gramm-Leach-Bliley Act (GLBA) unterliegen; es kann geografisch sein, wie Unternehmen, die der DSGVO in der Europäischen Union unterliegen; oder es kann branchenspezifisch sein, wie Unternehmen, die sich an Sicherheitsstandards der Zahlungsverkehrsbranche wie den Payment Card Industry-Data Security Standard (PCI-DSS) halten.
Anforderungen zur Datenpannen-Benachrichtigung: Es ist unerlässlich, festzustellen, welche Sicherheitsvorfälle meldepflichtige Datenpannen sein können und ob die spezifische Datenpanne den Aufsichtsbehörden, betroffenen Personen oder beiden gemeldet werden muss. Die ausgewählte Incident-Response-Softwarelösung sollte es dem Incident-Response-Team ermöglichen, diese Anforderungen zu erfüllen.
Vergleich von Incident-Response-Softwareprodukten
Erstellen Sie eine Longlist
Benutzer können auf G2.com nach Incident-Response-Software-Anbietern recherchieren, wo sie Informationen wie verifizierte Software-Benutzerbewertungen und Anbieterrankings basierend auf Benutzerzufriedenheit und Softwaresegmentgrößen, wie kleine, mittlere oder große Unternehmen, finden können. Es ist auch möglich, Softwarelösungen nach unterstützten Sprachen zu sortieren.
Benutzer können alle Softwareprodukte, die ihren grundlegenden Anforderungen entsprechen, in ihrer "Meine Liste" auf G2 speichern, indem sie das "Favoriten"-Herzsymbol auf der Produktseite der Software auswählen. Das Speichern der Auswahl in der G2-Meine-Liste ermöglicht es Benutzern, ihre Auswahl in Zukunft erneut zu referenzieren.
Erstellen Sie eine Shortlist
Benutzer können ihre "Meine Liste" auf G2.com besuchen, um ihre Auswahl weiter einzugrenzen. G2 bietet eine Produktvergleichsfunktion, bei der Käufer Softwarefunktionen nebeneinander basierend auf echten Benutzerrankings bewerten können.
Sie können auch die vierteljährlichen Softwareberichte von G2.com überprüfen, die detaillierte Informationen zur Wahrnehmung der Benutzer über ihre Rendite (in Monaten), die Zeit, die zur Implementierung ihrer Softwarelösung benötigt wurde, Benutzerfreundlichkeitsrankings und andere Faktoren enthalten.
Demos durchführen
Benutzer können das Produkt, das sie eingegrenzt haben, live sehen, indem sie Demonstrationen vereinbaren. Oftmals können sie Demos direkt über G2.com vereinbaren, indem sie auf die Schaltfläche "Angebot anfordern" im Produktprofil des Anbieters klicken.
Sie können ihre Liste von Anforderungen und Fragen im Voraus mit dem Anbieter ihrer Demo teilen. Es ist am besten, eine standardisierte Liste von Fragen für jede Demonstration zu verwenden, um einen fairen Vergleich zwischen jedem Anbieter auf den gleichen Faktoren sicherzustellen.
Auswahl von Incident-Response-Software
Wählen Sie ein Auswahlteam
Incident-Response-Software wird wahrscheinlich von InfoSec-Teams oder IT-Teams verwaltet. Die Personen, die für die tägliche Nutzung dieser Tools verantwortlich sind, müssen Teil des Auswahlteams sein.
Andere, die im Auswahlteam von Vorteil sein könnten, sind Fachleute aus dem Service Desk, Netzwerkbetrieb, Identitäts- und Zugriffsmanagement, Anwendungsmanagement, Datenschutz, Compliance und Rechtsteams.
Verhandlung
Die meisten Incident-Response-Softwarelösungen werden als SaaS auf Abonnement- oder Nutzungsbasis verkauft. Die Preisgestaltung hängt wahrscheinlich von den Funktionen ab, die eine Organisation benötigt. Beispielsweise kann die Protokollüberwachung nach GB berechnet werden, während Schwachstellenbewertungen nach dem Asset berechnet werden können. Oftmals können Käufer Rabatte erhalten, wenn sie Verträge für eine längere Dauer abschließen.
Es ist auch wichtig, über Implementierung, Supportpakete und andere professionelle Dienstleistungen zu verhandeln. Es ist besonders wichtig, die Incident-Response-Software korrekt einzurichten, wenn sie erstmals bereitgestellt wird, insbesondere wenn es darum geht, automatisierte Behebungsaktionen zu erstellen und Workflows zu entwerfen.
Endgültige Entscheidung
Vor dem Kauf von Software erlauben die meisten Anbieter eine kostenlose kurzfristige Testversion des Produkts. Die täglichen Benutzer des Produkts müssen die Fähigkeiten der Software testen, bevor sie eine Entscheidung treffen. Wenn das Auswahlteam während der Testphase zustimmt und andere im Auswahlteam mit der Lösung zufrieden sind, können Käufer mit dem Vertragsprozess fortfahren.
