Reportage

Wie kann die Produktivität von SOCs um mehr als das Doppelte gesteigert werden?

Reportage | 21.02.2022

Was ist SOAR?

SOAR-Technologien ermöglichen Unternehmen das Sammeln, Aggregieren und Analysieren großer Mengen von Daten zu Sicherheitsverletzungen und Warnungen aus einer Vielzahl von Sicherheitssoftware- und -hardware-Suiten. Datenaggregation und -analyse helfen dabei, automatisierte Prozesse für die Reaktion auf Ereignisse mit geringer Sicherheit zu erstellen und Verfahren zur Erkennung und Beseitigung von Bedrohungen zu standardisieren.

SOAR (Security Orchestration, Automation, and Response) ist eine Klasse von Softwareprodukten, die entwickelt wurde, um Sicherheitssysteme zu "orchestrieren", dh sie zu koordinieren und zu verwalten.

Der Begriff wurde ursprünglich vom Forschungsunternehmen Gartner geprägt, das seitdem vier Hauptmerkmale von SOAR-Technologien identifiziert hat:

  • Vereinfachung Ihres Workflows zur Reaktion auf sicherheitsrelvante Vorfälle
  • Datenanreicherung
  • Automatisierung von Sicherheitssystemen
  • Bedrohungserkennung und Segmentierung
soar - what is it

Was ist der Zweck von SOAR?

Die Arbeit in Cybersicherheitsdiensten sieht aus wie ein ständiger Kampf. Reaktionsgeschwindigkeit und Effizienz sind von entscheidender Bedeutung, aber es kann schwierig sein, alle Ihre Systeme harmonisch am Laufen zu halten. Analysten sind oft von der Menge an Warnungen aus unterschiedlichen Systemen überfordert. Die erforderlichen Daten zu erhalten und zu korrelieren, um echte Bedrohungen von Fehlalarmen zu trennen, kann eine mühsame Aufgabe sein. Eine weitere Herausforderung besteht darin, geeignete Reaktionen zu koordinieren, um diesen Bedrohungen zu begegnen.

Das Ziel von SOAR ist es, all diese Herausforderungen anzugehen, indem die Effizienz und die Sicherheitsleistung verbessert werden. Stellen Sie einen standardisierten Datenaggregationsprozess bereit, um Menschen bei der Verwendung maschineller Analysen zu unterstützen, und automatisieren Sie Erkennungs- und Reaktionsprozesse, um die Alarmermüdung zu reduzieren, sodass sich Analysten auf Aufgaben konzentrieren können, die eine tiefere Analyse erfordern, oder sich einfach darauf konzentrieren, wo Menschen am effektivsten sind.

Immer mehr Organisationen implentieren SOAR, um ihre Cybersicherheit zu verbessern.

Eine Frage, die uns oft gestellt wird, lautet: „Gibt es einen Gartner Magic Quadrant für SOAR?“ Die kurze Antwort lautet „noch nicht“.

Nimmy Reichenberg - CMO in Siemplify

Sie sollten SOAR verwenden, wenn Sie:

  • Einen Mangel an ausreichend qualifiziertem Personal haben(zu finden in 99 % der Unternehmen)
  • Eine große Menge manueller Sicherheitsprozesse verwalten, die einen Automatisierungsbedarf schaffen
  • Analysten Ihr SOC bewerten und unter Phishing-E-Mails leiden
  • Viele Cybersicherheitstools und -lösungen im Einsatz haben.
Gartner erwartet ein starkes Wachstum bei der Einführung von SOAR, wobei der Bericht des Unternehmens voraussagt, dass „bis Ende 2022 30 % der Unternehmen mit mehr als fünf Mitarbeitern in ihrem Cybersicherheitsdienst Tools für ihre Sicherheitsoperationen verwenden werden, gegenüber weniger als 5 % heute. "

SOAR Vorteile

Angesichts sich ständig weiterentwickelnder Bedrohungen, eines Mangels an qualifiziertem Sicherheitspersonal und der Notwendigkeit, wachsende IT-Organisationen zu verwalten und zu überwachen, hilft SOAR Unternehmen jeder Größe, ihre Fähigkeit zu verbessern, Angriffe schnell zu erkennen und darauf zu reagieren. Es unterstützt Cybersicherheitsanforderungen durch:

1. Bereitstellung einer besseren Analyse bestehender und potenzieller Bedrohungen.

Die Abwehr immer ausgefeilterer Cybersicherheitsbedrohungen erfordert ein tiefes Verständnis der Taktiken, Techniken und Verfahren (TTP) von Angreifern und die Fähigkeit, Indikatoren für Kompromittierungen (IOC) zu identifizieren. Durch das Sammeln und Validieren von Daten aus einer Vielzahl von Quellen, einschließlich Threat-Intelligence-Plattformen, Intrusion-Detection-Systemen und vielen anderen, hilft SOAR den SOC-Mitarbeitern, produktiver zu werden. Dies bedeutet, dass das Sicherheitspersonal Vorfälle kontextualisieren, bessere Entscheidungen treffen und die Erkennung und Reaktion auf Vorfälle beschleunigen kann.

2. Verbesserung der Effizienz und Effektivität des Betriebs.

Die Verwaltung einer Vielzahl unterschiedlicher Sicherheitstechnologien kann (und verursacht bereits) eine enorme Belastung für das Sicherheitspersonal darstellen. Systeme müssen nicht nur ständig überwacht werden, um ihre kontinuierliche Integrität und Leistung sicherzustellen, sondern die Tausenden von täglichen Alarmen, die sie generieren, können auch zu einer Ermüdung der Alarmbereitschaft führen. Hinzu kommt das ständige Wechseln zwischen mehreren Systemen, das Team Zeit und Mühe kostet und das Fehlerrisiko erhöht. SOAR-Lösungen helfen CSOC bei der Automatisierung und Halbautomatisierung einiger der täglichen und routinemäßigen Aufgaben von Sicherheitsoperationen. Durch die Bereitstellung von Informationen und Kontrollen über ein einziges Dashboard sowie durch den Einsatz von künstlicher Intelligenz und maschinellem Lernen können SOAR-Tools den Bedarf für SOC-Teams zur Lösung von Routineaufgaben erheblich reduzieren. Die Verwendung von SOAR wird dazu beitragen, das Prozessmanagement zu verbessern und die Produktivität und Fähigkeit von Sicherheitsanalysten zu verbessern, eine große Anzahl von Vorfällen ohne Rekrutierung zu bewältigen (und neue Teammitglieder schneller an Bord zu bringen). Dies bedeutet, dass ein wesentlicher Vorteil von SOAR darin besteht, dass es dem Sicherheitspersonal hilft, intelligenter und nicht härter zu arbeiten.

3. Verbesserung der Effizienz der Reaktion auf Vorfälle.

Eine schnelle Reaktion ist entscheidend, um das Risiko von Schäden durch Cyberangriffe zu minimieren. SOAR hilft Unternehmen, die mittlere Erkennungszeit (MTTD) und die mittlere Reaktionszeit (MTTR) zu reduzieren, indem Sicherheitswarnungen in Minuten statt in Tagen, Wochen oder Monaten qualifiziert und behoben werden (Statistiken zeigen 12-mal schnellere Erkennungs- und Reaktionszeiten! ). SOAR ermöglicht es Sicherheitsteams auch, Verfahren zur Reaktion auf Vorfälle (bekannt als Playbooks) zu automatisieren. Automatische Reaktionen können das Blockieren einer IP-Adresse in einer Firewall oder einem IDS-System, das Sperren von Benutzerkonten oder das Isolieren infizierter Endpunkte aus dem Netzwerk umfassen.

4. Optimieren Sie die Berichterstellung und bauen Sie Wissensdatenbanken auf.

In vielen Cybersecurity Operations Centern verbringen Mitarbeiter unverhältnismäßig viel Zeit damit, Berichte zu erstellen und Verfahren zur Reaktion auf Vorfälle zu dokumentieren. Durch das Sammeln von Erkenntnissen aus einer Vielzahl von Quellen und die Präsentation dieser Informationen über anpassbare Dashboards kann SOAR Sicherheitsbeamten dabei helfen, den Papierkram zu reduzieren und gleichzeitig die Kommunikation zwischen dem CISO und den Sicherheitskräften an vorderster Front zu verbessern.

Durch die Automatisierung von Aufgaben und Verfahren versetzt SOAR Organisationen außerdem in die Lage, wichtiges Wissen zu bewahren und optimale Mechanismen zur Reaktion auf Bedrohungen zu implementieren.

Dies ist von entscheidender Bedeutung, denn je länger Bedrohungen unbeaufsichtigt bleiben, desto größer ist die Wahrscheinlichkeit von Schäden.

SOAR - Implementierungsherausforderungen.

Das Fehlen oder die geringe Reife von Prozessen und Verfahren in SOC-Teams bleibt das Haupthindernis für die SOAR-Sicherheitsimplementierung, betont Gartner. Aus diesem Grund ist es unerlässlich, bei der Planung Ihrer SOAR-Implementierung fachkundigen Rat einzuholen.

Zusätzliche Fallstricke im Zusammenhang mit der SOAR-Implementierung:

  • Unrealistische Erwartungen: SOAR ist kein Allheilmittel für alle Sicherheitsbedenken. Organisationen sind bei der Implementierung von SOAR gefährdet, wenn es ihnen nicht gelingt, klar definierte Anwendungsfälle und realistische Ziele festzulegen.
  • Übermäßiges Vertrauen in die Automatisierung: Es ist wichtig, sich nicht einfach auf die Anweisungen und Prozesse zu verlassen, die ursprünglich in SOAR konfiguriert wurden. Unternehmen müssen sicherstellen, dass sie die neuesten Sicherheitskenntnisse anwenden, um sicherzustellen, dass ihr SOAR immer bereit ist, effektiv auf neue Arten von Bedrohungen zu reagieren.
  • Unklare Metriken: Unternehmen laufen Gefahr, mit SOAR nicht die gewünschten Ergebnisse zu erzielen, da sie ihre Erfolgsparameter nicht klar definieren können. Es ist wichtig zu verstehen, was sie zu automatisieren versuchen.

 

Zukunftssichere SOAR-Plattformen nutzen maschinelles Lernen, um mit jeder Analysteninteraktion intelligenter zu werden und umsetzbare Erkenntnisse und Anleitungen für Analysten, Ingenieure und SOC-Manager bereitzustellen.

Maximierung der Vorteile von SOAR mit SOFTPROM.

Fortschrittliche Lösungen in bester Qualität und professionelle Ingenieure, die zusammen mit Partnern jedes Problem lösen können – das ist das Kerngeschäft von SOFTPROM.

Auf der Grundlage unserer Sicherheitsexpertise sowie unseres kollektiven Wissens über die neuesten Netzwerk- und Endpunkt-Tools optimieren wir Systeme, um Fehlalarme zu reduzieren, erstellen Korrelationsregeln und Beobachtungslisten, um neue Muster abnormalen Verhaltens zu erkennen, und erstellen und entwickeln Richtlinien für die Reaktion auf Vorfälle.

Advanced solutions of the best quality and professional engineers capable of solving any problem together with partners - this is the key direction of SOFTPROM's activity.

Siemplify SOAR wurde von Grund auf speziell für SOCs entwickelt und geht weit über traditionelle SOARs oder Playbooks hinaus. Alles auf der Plattform, vom Fallmanagement bis zum Krisenmanagement, wurde entwickelt, um sicherzustellen, dass Sicherheitsteams effektiv und effizient arbeiten.

Siemplify verwendet einen patentierten bedrohungszentrierten Ansatz, der Warnungen über alle Erkennungstools hinweg in Einzelfällen gruppiert. Dies ist ein wirkungsvoller Paradigmenwechsel, der sicherstellt, dass Ihre Analysten ihre Zeit mit Bedrohungen verbringen, anstatt Benachrichtigungen nachzujagen, was wiederum enorme Effizienzgewinne bringt.

Schließlich wurden die meisten SOAR-Lösungen für fortgeschrittene Benutzer entwickelt und erfordern teure, beschäftigte und schwer erreichbare Sicherheitsexperten, um effektiv zu sein. Siemplify („Sehr einfach“) ermöglicht mit seiner intuitiven Benutzeroberfläche weniger erfahrenen Analysten, produktiv zu sein und schnell auf Kurs zu kommen.

Wenn Sie Beratung, Projektkalkulation oder eine Testversion der Lösung benötigen, kontaktieren Sie uns bitte: