E-Mail-Sicherheit

    Integration kann Ihre Cyber-Resilienz SOAR unterstützen

    Offene APIs helfen den modernen SOAR-Systemen, automatisch auf Bedrohungen zu reagieren, die mittlere Zeit bis zur Schadensbegrenzung und -behebung zu verkürzen und die Cyber-Resilienz zu verbessern.

    by Bill Camarda
    gettyescalator.jpg

    Wichtige Punkte

    • Eine vorsichtige, aber umfassende Automatisierung ist die einzige Möglichkeit für Sicherheitsorganisationen, die Flut von Warnungen und Vorfällen zu bewältigen, mit der sie konfrontiert werden.
    • SOAR-Technologien versprechen einen einheitlichen Ansatz zur Orchestrierung und Automatisierung von Sicherheitsmaßnahmen, der Sicherheitsexperten für Aufgaben freisetzt, die noch menschliches Urteilsvermögen erfordern.
    • Die Integration von SOAR in verschiedene Tools ist unerlässlich - und das ist einfacher, wenn diese Tools offene APIs anbieten.

    Unabhängig davon, wie gut ausgebildet oder personell ausgestattet Sicherheitsorganisationen sind, übersteigt die Menge der Angriffe, Vorfälle und Warnungen, mit denen sie konfrontiert werden, ihre Möglichkeiten, manuell zu reagieren. Eine kürzlich durchgeführte Umfrage ergab, dass sich bei 70 % der Unternehmen die Zahl der Warnmeldungen innerhalb von fünf Jahren mehr als verdoppelt hat. 83 % leiden unter "Warnmüdigkeit", und 99 % bezeichnen die hohe Zahl der Warnmeldungen als echtes Problem. [1]

    Das ist kein Wunder: In großen Unternehmen gibt es durchschnittlich mehr als 75 verschiedene Sicherheitslösungen, die ein ständiges Rauschen verursachen. Warnungen kommen von Web- und E-Mail-Gateways, Anti-Malware-Diensten, Intrusion Detection and Prevention-Systemen und vielen anderen Quellen. Um all diese Informationen schnell zu analysieren und darauf zu reagieren, wenden sich Unternehmen an Security Orchestration, Automation and Response (SOAR) Systeme. Damit SOAR erfolgreich ist, müssen alle Sicherheitstools und -infrastrukturen nahtlos integriert werden. Offene APIs fördern diese Integration.

    Warum Integration für die SOAR-Leistung von entscheidender Bedeutung ist

    Um die Bedeutung der Integration zu verstehen, sollten Sie sich überlegen, was SOAR-Systeme leisten und warum. Laut der SOAR-Definition von Gartner ermöglichen diese Systeme "Unternehmen die Sammlung von Sicherheitsbedrohungsdaten und -warnungen aus verschiedenen Quellen, wobei die Analyse und Sichtung von Vorfällen mit einer Kombination aus menschlicher und maschineller Leistung durchgeführt werden kann, um standardisierte Aktivitäten zur Reaktion auf Vorfälle gemäß einem Standard-Workflow zu definieren, zu priorisieren und voranzutreiben." [2]

    Bei SOAR steht die Orchestrierung an erster Stelle. Das System muss robuste Verbindungen zu den verschiedenen Sicherheitstools, -diensten und -infrastrukturen unterhalten, die Sie jetzt oder in Zukunft verwenden. Ihr SOAR-System muss ständig aktuelle Informationen von diesen Systemen erfassen, und und in der Lage sein, deren Reaktionen zu steuern.

    Auf dieser Grundlage kann SOAR eine Vielzahl von Sicherheits- und Incident-Response-Aufgaben automatisieren, die Menschen nicht manuell erledigen sollten und auch nicht so schnell erledigen könnten. Gängige Beispiele sind die Durchführung von Anti-Malware-Scans, die Aufnahme riskanter IP-Adressen in eine schwarze Liste oder die vorübergehende Quarantäne und das Schließen von Ports.

    In vielen Fällen übersetzen Unternehmen ihre bestehenden Ablaufpläne für die Reaktion auf Vorfälle in automatisierte Prozesse, die SOAR ohne menschliches Eingreifen ausführen kann. Da SOAR-Systeme immer ausgereifter werden, auf umfangreichere Datensätze zurückgreifen und fortschrittlicheres maschinelles Lernen nutzen, können sie Ereignisse intelligenter auswerten. Sie können Sicherheitsanalysten bei der Suche nach Bedrohungen besser unterstützen und die mittlere Zeit bis zur Lösung eines Problems verkürzen. [3] Der Mensch steuert die Automatisierung immer noch, aber auf einer höheren Ebene - zum Beispiel indem er Vorsichtsmaßnahmen trifft, um Automatisierungen zu vermeiden, die Angreifer erkennen, umgehen oder täuschen können.

    All dies beruht jedoch auf einer soliden Datenintegration.

    Offene APIs erleichtern die Integration - und eine zuverlässige Automatisierung

    Plattformanbieter versuchen, SOAR-Integrationen mit so vielen Sicherheitsprodukten von Drittanbietern wie möglich anzubieten. Wenn diese Sicherheitsprodukte keine offenen APIs bereitstellen, können solche Integrationen schwieriger zu erstellen, zu pflegen und anzupassen sein - sowohl für den Plattformanbieter als auch für den Kunden. Selbst wenn Ihr eigenes Sicherheitsteam nicht vorhat, unter die Haube zu schauen und das "Bindegewebe", das Ihre SOAR-Plattform mit anderen Tools verbindet, zu optimieren, macht open APIs es für diejenigen einfacher, die es tun könnten - sei es Ihr SOAR-Anbieter oder ein Berater eines Drittanbieters.

    Wenn Sicherheitsanbieter offene APIs anbieten, gehen sie gegenüber Entwicklern stärkere Verpflichtungen ein, wie Verbindungen zu ihren Systemen aufgebaut werden sollten und wie sich diese Verbindungen verhalten werden. Sie bieten standardisierte, unterstützte Methoden für die Bearbeitung von Aufgaben wie Autorisierung und Authentifizierung, Zugriff auf Protokolle, Auflistung von Benutzern oder Nachrichten, Erstellen oder Auffüllen von Gruppen oder Ausführen von Richtlinien.

    Bietet ein Anbieter darüber hinaus einen gemeinsamen Satz offener APIs für eine ganze Produktfamilie an, steigt der Wert dieser Produktfamilie im Vergleich zu Einzellösungen ohne gemeinsame APIs. Solche APIs sind ein weiterer Grund für die Kunden, enge strategische Beziehungen zu einigen wenigen Sicherheitsanbietern aufzubauen, anstatt weiterhin mit Dutzenden von Einzelanbietern zu arbeiten.

    Die besten offenen APIs bieten den Entwicklern bewährten Beispielcode, mit dem sie beginnen können, eine vollständige Dokumentation, spezielle Testumgebungen, in denen die Entwickler ihre Integrationen testen können, sowie Unterstützung durch das Team, das die API und das zugrunde liegende Sicherheitstool entwickelt hat. All dies führt zu einer schnelleren und einfacheren Integration - und zu einer größeren Zuversicht, dass automatisierte Prozesse konsistent wiederholbar sind und dass die SOAR-Integrationen von heute auch morgen noch funktionieren.

    Die Quintessenz

    SOAR-Plattformen wurden entwickelt, um Sicherheitsorganisationen dabei zu helfen, die riesigen Mengen an Sicherheitsdaten, die sie sammeln, effektiv zu nutzen. Sie helfen dabei, echte Angriffe inmitten des Rauschens zu erkennen, das durch Tausende von Warnungen erzeugt wird, und ermöglichen es Ihnen, Angriffe schneller zu stoppen und zu entschärfen und so die Cyber-Resilienz zu verbessern. Eine zuverlässige Integration ermöglicht die Orchestrierung, Automatisierung und Reaktion im Sicherheitsbereich - und offene APIs erleichtern die Integration für alle.

    [1] " Sicherheitswarnungen haben sich in den letzten 5 Jahren mehr als verdoppelt, und die SecOps-Teams geben zu, dass sie nicht auf alle eingehen können ," Help Net Security

    [2] " Die Leistungsfähigkeit von SOAR für Behörden verstehen ," Security Boulevard

    [3] " Der LogicHub-Unterschied ," LogicHub

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang