Heim >Betrieb und Instandhaltung >Sicherheit >So wählen Sie eine SOAR-Lösung aus
SOAR (Security Orchestration, Automation and Response) gilt als die ikonische Lösung des SOC der nächsten Generation und ist auch ein Schlüsselmechanismus zur Verbesserung der Effizienz von Sicherheitsabläufen.
Wie wir alle wissen, liegt der Schwerpunkt des SOC der nächsten Generation auf der Verbesserung der Erkennungs- und Reaktionsfähigkeiten. Die Realität zeigt jedoch, dass das SOC-Einsatzteam einem enormen Druck ausgesetzt ist, die Fehlalarmrate weiter steigt und die mittlere Reaktionszeit (MTTR) immer schwer zu verbessern ist. Daher setzen die Sicherheitsbranche und die Sicherheitsteams von Unternehmen große Hoffnungen in SOAR-Lösungen und erwarten, dass die SOC-Effizienz bei der Erkennung und Reaktion auf Bedrohungen durch den Einsatz von SOAR deutlich verbessert wird.
Partei A muss verstehen, dass sie vor neuen Herausforderungen stehen wird, wenn sie die SOAR-Lösungen nicht richtig implementiert. Ohne angemessene Planung können Unternehmen, die Sicherheitsautomatisierungstools einführen, Opfer häufiger Fehltritte werden, die schnell zu einer verringerten Effizienz und einer schlechten Sicherheitslage führen können.
Kurz gesagt, Unternehmen müssen bei der Auswahl einer geeigneten SOAR-Lösung viele Faktoren berücksichtigen. Im Folgenden finden Sie die Erkenntnisse und Vorschläge mehrerer ausländischer Sicherheitsexperten zur SOAR-Auswahl:
Rishi Bhargava, Vizepräsident für Produktstrategie bei Palo Alto Networks
Die Implementierung von SOAR-Lösungen reicht nicht einfach von „fehlen“ zu „haben“. " Verfahren. Unternehmen müssen ihre bestehenden Prozesse und Sicherheitstool-Stacks bewerten und dann einen geeigneten Bereitstellungsansatz wählen.
Das Ökosystem ist von entscheidender Bedeutung: SOAR-Lösungen müssen in der Lage sein, sich in die Tools der Anbieter zu integrieren, die Sie derzeit verwenden. Optionen für Eigenentwicklung oder kundenspezifische Integration sollten bereitgestellt werden. Eine zuverlässige SOAR-Lösung sollte mit der Entwicklung des Unternehmens Schritt halten und kontinuierlich verbessert werden können. Integrieren Sie Erkennungs-, Anreicherungs- und Ausführungsprozesse sowie zugehörige Tools perfekt.
Leistungsstarke Ticket- und Fallverwaltungsfunktionen: Die Reaktion auf Vorfälle beginnt und endet selten mit der Automatisierung. An der Untersuchung von Vorfällen sind stets Analysten beteiligt. Fragen Sie den Anbieter: Bietet Ihre SOAR-Plattform ein natives Fallmanagement oder ist sie in verwandte Tools integriert? Können Sie Vorfallzeitpläne ohne viel Programmieraufwand rekonstruieren? Intelligence-Workflows sind zeitaufwändig und nicht skalierbar, sodass die integrierte Automatisierung des Threat Intelligence Managements Ihre durchschnittliche Reaktionszeit erheblich verkürzen wird.
Flexible Bereitstellung: Die SOAR-Plattform sollte die lokale Bereitstellung und die in der Cloud gehostete Bereitstellung unterstützen. Suchen Sie für verteilte Umgebungen nach einer Umgebung, die skaliert und eine vollständig mandantenfähige Umgebung unterstützt.
Egal, wo Sie sich bei der Auswahl oder Implementierung von SOAR befinden, die oben genannten Überlegungen stellen sicher, dass Ihr Unternehmen auf dem besten Weg ist.
Der grundlegende Zweck von SOAR-Lösungen besteht darin, Sicherheitspersonal dabei zu helfen, seine Fähigkeit zur Erkennung und Reaktion auf Cyber-Bedrohungen durch Automatisierungs- und Orchestrierungstechnologie zu verbessern.
Durch die Eliminierung von Fehlalarmen und die Automatisierung sich wiederholender Aktivitäten sind die SOAR-Automatisierungsfunktionen von Cyber Security Automation in der Lage, die meisten Bedrohungen automatisch zu bewältigen. Nutzen Sie SOAR, um zeitaufwändige und sich wiederholende Aufgaben zu automatisieren, sodass Analysten mehr Zeit haben, sich auf Fälle zu konzentrieren, die menschliches Eingreifen erfordern.
Die sofort einsatzbereiten Funktionen von SOAR sollten szenariogesteuerte, gebrauchsfertige automatische Pläne sein. Mit einsatzbereiten Plänen können Teams die Reaktionszeiten von Stunden auf Minuten verkürzen und die Produktivität der Analysten steigern.
Integrierte Toolsets sind nützlicher als isolierte Sicherheitstools, weil sie sich gegenseitig ergänzen. Ein wichtiger Aspekt von SOAR besteht darin, dass es sich in die vorhandenen Sicherheitslösungen, die IT-Infrastruktur und die Technologien im Unternehmen integrieren lässt und als gesamte Sicherheitsumgebung fungiert, indem es die Zusammenarbeit verbessert und alle Elemente orchestriert, als wären sie alle Teil derselben Lösung. zentraler Hub.
KPIs und Metriken: Die detaillierten Berichte von SOAR zu Fällen und Analysten können Managern helfen, historische Ereignisse zu verstehen und zukünftige Richtungen besser zu planen.
SOAR-Lösungen sollten es Teams ermöglichen, den Identifizierungs- und Reaktionsprozess über große und vielfältige Datenströme hinweg zu automatisieren, was eine nahezu nahtlose Priorisierung von Bedrohungen und Schwachstellen und vieles mehr ermöglicht effizient im Sicherheitsbereich. Bei richtiger Implementierung können Security Operations Centers (SOCs) vom Einsatz von SOAR-Lösungen profitieren und ihnen helfen, schneller und effektiver auf Bedrohungen zu reagieren.
Die Integration von SOAR mit anderen Sicherheitstools wie Security Information and Event Management (SIEM) kann die geschäftlichen und technischen Ergebnisse von SOC-Teams durch Automatisierung verändern und gleichzeitig die Effizienz verbessern.
Unternehmen können SOAR nutzen, um die Fähigkeiten von SIEM zu erweitern und umfassende Lösungen bereitzustellen. SIEM sammelt und speichert Daten auf nützliche Weise, die SOAR nutzen kann, um Vorfälle automatisch zu untersuchen und darauf zu reagieren und den Bedarf an manuellen Vorgängen zu reduzieren.
Und für die bisher größte Herausforderung der SOC-Teams – Fehlalarme – können SOAR-Lösungen dabei helfen, Informationen zu sammeln, doppelte Warnungen zu priorisieren und zu konsolidieren, um die Anzahl der Fehlalarme zu reduzieren.
Cody Cornell Chief Strategy Officer, SwinlaneBei der Betrachtung von SOAR-Lösungen müssen Unternehmen aus zwei Perspektiven denken: Welches Problem muss die Automatisierung des Sicherheitsbetriebs lösen, und welche Anforderungen werden in Zukunft erfüllt?
Oft werden die von Ihnen verwendeten Tools genutzt? gegen Ihre Gegner Strategien sind dynamisch, nicht statisch. Daher sollten Sie sich für Lösungen entscheiden, die schnell integriert und skaliert werden können – nicht nur, um den heutigen Anforderungen gerecht zu werden, sondern auch, um den Anforderungen der Zukunft gerecht zu werden.
Zweitens: Wenn Sie sich die Veränderungen bei den Angreifertechniken ansehen, glauben Sie, dass Angreifer auch die Automatisierung nutzen werden, um Scans durchzuführen, sondern auch DevOps-Methoden, um für jeden Angriff eine einzigartige Grundlage zu schaffen? Zielarchitektur.
Wenn dies so weitergeht, benötigen Sie eine automatisierte Plattform, die Kompromissindikatoren (IOCs) und andere Informationen in Fällen und Warnungen ohne menschliches Eingreifen verfolgen und untersuchen kann.
Matthias Maier, Splunk Security Evangelist
Es gibt ein paar verschiedene Kriterien, die Sie bei der Auswahl einer SOAR-Plattform berücksichtigen sollten und welche Sie verwenden sollten:
(1) Kernkompetenzen
Benutzer können diese leicht als die wesentlichen identifizieren Bausteine einer SOAR-Plattform und -Funktionalität. Einige der wichtigen Komponenten, wie zum Beispiel der Orchestrator, sind für die Steuerung und Überwachung aller Aktivitäten im Zusammenhang mit einer bestimmten Sicherheitslösung verantwortlich. Es ist wichtig, dass der Orchestrator die verfügbaren Ressourcen optimal nutzt. Das andere ist die Automatisierungsmaschine. Da automatisierte Aufgaben unabhängig ablaufen und weitgehend kein menschliches Eingreifen erfordern, sind Attribute wie Plattformskalierbarkeit und Skalierbarkeit wichtige zu berücksichtigende Kriterien. Auch das Fall- und Programmmanagement sollte berücksichtigt werden.
(2) Plattformattribute
Dies ist ein qualitativer Standard. Durch Beobachtung und Interaktion mit der Plattform können diese Kriterien häufiger beurteilt werden. Die SOAR-Plattform muss ein starkes Community-Modell unterstützen und die gemeinsame Nutzung von Anwendungsintegrationen und Playbooks erleichtern. Es ist auch wichtig zu verstehen, wie die SOAR-Plattform sowohl vertikal als auch horizontal skaliert. Da im Laufe der Zeit Anwendungsfälle hinzugefügt werden, erhöht sich die Verarbeitungslast auf der Plattform. Eine offene, mobilfreundliche und benutzerfreundliche Plattform ist ebenfalls ein wichtiger Gesichtspunkt.
(3) Geschäftliche Überlegungen
Zu den vom Unternehmen bereitgestellten Mehrwertdiensten gehören Projekte zur Verbesserung seiner Kerntechnologie, wie Schulung und Support. Unabhängig davon, wie großartig die Kerntechnologie eines Unternehmens ist, müssen Faktoren außerhalb des Produkts beachtet werden, von denen traditionell angenommen wird, dass sie einen erheblichen Einfluss auf den Entscheidungsprozess eines Käufers haben.
Faiz Ahmad Shuja, CEO, SIRP
Eine Studie ergab, dass Sicherheitsexperten täglich durchschnittlich 840 Sicherheitswarnungen erhalten. Da die manuelle Untersuchung der meisten Warnungen etwa 15 bis 30 Minuten in Anspruch nimmt, ist dies für jedes Sicherheitsteam eine nahezu unmögliche Aufgabe.
Durch die Automatisierung möglichst vieler Arbeitslasten können Sicherheitsteams Schritt halten und sicherstellen, dass wichtige Bedrohungen nicht übersehen werden. Die SOAR-Plattform ist eine der effektivsten Lösungen.
Der wichtigste Schritt zur erfolgreichen SOAR-Integration ist die zuverlässige Dokumentation aller Sicherheitsprozesse. Für alle wichtigen Prozesse ist ein gut ausgearbeitetes Reaktionshandbuch erforderlich. Wenn beispielsweise eine potenzielle Phishing-E-Mail erkannt wird, kann die Reaktion die Untersuchung der Absenderadresse und die Erkennung von Spoofing-Anzeichen, Reputationsbewertungen aller URLs und die Erkennung schädlicher Skripte umfassen. Sobald alle diese Prozesse erfasst sind, kann die SOAR-Plattform mit der automatischen Ausführung beginnen.
Außerdem müssen Unternehmen sicherstellen, dass die von ihnen gewählte SOAR-Plattform über starke Integrationsfähigkeiten verfügt. Diese Plattform muss sich nahtlos in ihre bestehende SIEM-Lösung integrieren und mit anderen Sicherheitslösungen und einer breiteren IT-Infrastruktur verbinden lassen.
Amos Stern, CEO, Siemplify
Sicherheitskoordinierung, Automatisierung und Reaktion können einige der frustrierendsten Herausforderungen lösen, mit denen Sicherheitsteams seit langem konfrontiert sind.
Die richtige SOAR-Plattform, gepaart mit einer guten Implementierung, kann dazu beitragen, die Alarmüberlastung zu reduzieren, die vielen verschiedenen Erkennungstools eines Unternehmens zusammenzuführen und automatisierte und wiederholbare Prozesse aufzubauen, um die Reaktionszeiten zu verkürzen und gleichzeitig Sicherheitsanalysten von mühsamen und mühsamen Aufgaben zu befreien oft mühsame Handarbeit. Dadurch können sie sich auf hochwertige Aufgaben konzentrieren, beispielsweise auf die Suche nach Bedrohungen und den Aufbau einer widerstandsfähigeren Sicherheitsinfrastruktur.
Formulieren Sie diesen Satz wie folgt: Das Hauptziel besteht darin, verschiedene Erkennungstools von Drittanbietern zu integrieren, Warnungen zu erhalten und Arbeitsabläufe mithilfe nativer APIs zu automatisieren.
Die besten SOARs können jedoch als zentrale Werkbank fungieren. Denken Sie wie Salesforce, das gilt auch für SOC-Analysten. Die SOAR-Lösung, nach der Sie suchen sollten, sollte über die folgenden erweiterten Funktionen verfügen:
Fallmanagement (insbesondere die Möglichkeit, kontextrelevante Warnungen zu gruppieren);
Zusammenarbeit (besonders wichtig). in der neuen Remote-Arbeitsumgebung);
Dashboards und KPIs (um Transparenz und Einblicke zu schaffen);
Krisenmanagement (Eskalation) für organisationsübergreifende Reaktion im Falle eines größeren Vorfalls.
Das obige ist der detaillierte Inhalt vonSo wählen Sie eine SOAR-Lösung aus. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!