2. februar 2023
SOAR (Security Orchestration, Automation, and Response) refererer til en samling softwareløsninger og verktøy som lar organisasjoner strømlinjeforme sin sikkerhetsdrift på tre nøkkelområder: trussel- og sårbarhetshåndtering, hendelsesrespons og automatisering av sikkerhetsdrift. Nedenfor ser vi litt på alle tre og forhåpentligvis hjelpe deg å forstå hvorfor SOAR bør være en del av organisasjonens strategiplanlegging for cybersikkerhet fremover. Det kan enten bygges selv eller kjøpes som en tjeneste!
Det er mye forvirring rundt SOAR og SIEM, noe som er helt normalt. Å forstå de viktigste forskjellene mellom de to er uklart siden de har mange felles komponenter for cybersikkerhet.
Verktøy for sikkerhetsinformasjon og hendelsesadministrasjon (SIEM) sentraliserer hendelsesdata fra nettverk, servere, applikasjoner og databaser. Det inkluderer også brannmurer, inntrengningsforebyggende systemer, antivirusprogramvare og sikre nettinnholdsporter. Dataene blir deretter analysert i sann tid for å identifisere sikkerhetssårbarheter fra ulike kilder. SIEM rangerer deretter hendelser intelligent basert på kritiske trussel- og sårbarhetsnivåer.
SIEM-verktøy og -produkter kombinerer styringssystemer for sikkerhetsinformasjon og verktøy for styring av sikkerhetshendelser. Dette for å sikre overholdelse, undersøke tilfeller, gjennomgå håndtering av nettverkssårbarhet og gi trussel intelligens.
SOAR løsninger derimot optimaliserer prosesser og tillater orkestrering av forskjellige teknologier i standardiserte responsprosedyrer for hver type angrep, kalt Standard Operating Procedures (SOP). Den automatiserer også repeterende oppgaver innenfor disse prosessene og sikrer at alle analytikere følger de samme prosedyrene.
Trussel- og sårbarhetshåndtering er en proaktiv tilnærming til endepunktsikkerhet som gir organisasjonen din innsikt i sårbarheter og om det er noen usikkerheter knyttet til nettopp deres «posture» (oppsett). I SOAR er trussel- og sårbarhetshåndtering prosessen med å identifisere potensielle trusler mot en organisasjons sikkerhetssystem og sårbarheter som kanskje må løses. Det innebærer å identifisere disse truslene og sårbarhetene samt bestemme hvordan man skal reageres på de for å redusere potensielle risikoer.
Dette oppnås ved å overvåke og analysere nettverkstrafikk og identifisere mistenkelig atferd. Ved identifisering, kan passende tiltak iverksettes for å sikre systemets sikkerhet. En SOAR løsning automatiserer denne prosessen. Da kan organisasjoner automatisere sikkerhetsorkestreringen og responsprosessene sine for å identifisere, undersøke og svare på potensielle trusler raskere. SOAR minimerer i tillegg det manuelle arbeidet som er involvert i prosessen og frigjør sikkerhetspersonell til å fokusere på andre viktige oppgaver.
Det første trinnet i hendelsesrespons er gjenkjenning (detection), dvs. å identifisere mistenkelig aktivitet på nettverket eller systemene dine som kan indikere en inntrenging. Dette kan omfatte uvanlige trafikkmønstre, ondsinnede e-poster, uautoriserte pålogginger, mistenkelige filer som lastes opp eller ned fra servere, osv. De potensielle truslene som oppdages blir viktig å undersøke nærmere for å finne ut om det faktisk har vært et sikkerhetsbrudd.
Blir det fastslått om det har vært en inntrenging i systemene dine, er neste trinn å iverksette umiddelbare tiltak for å begrense trusselen og dempe effektene så raskt som mulig. Dette kan innebære midlertidig isolasjon av berørte systemer fra nettverket. Da kan man undersøke nærmere ved deaktivering av brukerkontoer knyttet til den mistenkelige aktiviteten, gjenopprette sikkerhetskopier, implementere nye sikkerhetstiltak, osv. Målet er å redusere risikoen for ytterligere skade på systemet.
Til slutt er det viktig å samle bevis for senere analyse. Dette kan inkludere å ta skjermbilder, lage kopier av ondsinnet kode eller filer, arkivere loggdata osv. Slike bevis vil være avgjørende for å hjelpe organisasjoner med å identifisere angripere og straffeforfølge dem. I tillegg bør organisasjoner dokumentere sine hendelsesresponsfunn. Dette for å iverksette tiltak for å hjelpe dem med å forberede seg på fremtidige hendelser.
SOAR-teknologien gjør mer enn bare å reagere på hendelser eller tjene som et verktøy for sikkerhetsoperasjonssentre / cybersikkerhet for å håndtere økende varsler. Tidligere varslet mange sikkerhetsinformasjonssystemer at programvaren behandlet data i antall. Så lenge mange sårbarheter var patchet, var sikkerhetsledelsen og styrene deres glade for at ting gikk bra.
Den logikken er imidlertid feil. Visse sårbarheter er farligere enn andre. I SOAR-plattformer brukes kunstig intelligens for å analysere og kategorisere sårbarheter ut fra kritikalitet. Rapid7 sin SOAR-plattform bruker markedsledende automasjon for å bygge intelligente arbeidsflyter som hjelper teamet ditt å strømlinjeforme all drift.
SOAR-plattformer hjelper også med økt teamfleksibilitet og samarbeid. Mange plattformer kommer med forhåndsbygde arbeidsflyter for å håndtere de vanligste brukstilfellene for å spare tid og penger, men de fleste av dem kan tilpasses for å passe organisasjonens teknologistabel.
NetNordic jobber tett med Rapid7 sitt team for å hjelpe til med å levere risikostyring, sårbarhetsanalyse, hendelsesdeteksjon og respons, applikasjonssikkerhet og selvfølgelig SOAR.
Skrevet av Trygve Wettestad – Salgsdirektør for store og komplekse kunder innen nettverk og cybersikkerhet hos NetNordic Norway AS
Ta kontakt med oss for en uforpliktende sikkerhetsprat i dag!
Fyll inn kontaktinformasjon:
Våre sikkerhetsrådgivere har lang erfaring i bransjen og NetNordic kan tilby skreddersydde tjenester innen relevante fagområder. Security Advisory avdelingen i NetNordic kan tilby løsninger og tjenester for å sikre at din digitale infrastruktur er sikret...
Les mer
Mennesket er det viktigste forsvarsmekanismen i bedriften, som forsterker viktigheten med en god sikkerhetskultur og rutiner. Ifølge NSM temarapport fra 2023, er fire av de ti viktigste sårbarhetene knyttet til passord. Dette påvirker mange bedrifter...
Les mer
Nå som juleklokkene snart kimer inn håper jeg alle våre kunder, samarbeidspartnere og høyt verdsatte kolleger finner julefreden. Litt stress med julehandel og ribbesvor hører høytiden til, og kanskje får vi ikke mandelen i grøten i...
Les mer
Trusselbildet vokser stadig på tvers av bransjer og er ikke lengre bare mot aktører med samfunnskritisk infrastruktur. Derfor velger de beste cybersikkerhetsteam kontinuerlig sikkerhetsvalidering for å avdekke sikkerhetshull! Vil ikke dere også ha det beste...
Les mer
NetNordic leverer SOC-tjeneste og omfattende overvåking til AddSecure, samt et team av sikkerhetseksperter. Dette slik at AddSecure kan reagere og isolere mulige sikkerhetstrusler i sitt datainfrastrukturmiljø, 24/7/365.
Les mer
Nasjonalt digitalt risikobilde 2023 Nasjonal Sikkerhetsmyndighet (NSM) la i oktober frem sin rapport om nasjonalt risikobilde. Vi har skrevet en liten oppsummering om de viktigste punktene i rapporten. Ønsker du å lese rapporten i sin...
Les mer
Vi erkjenner alle at det er et presserende behov for stadig mer omfattende cybersikkerhetsløsninger! National Institute of Standards and Technology (NIST) etablerte tidlig (tilbake i 2014) en benchmark for cybersikkerhet på globalt nivå. Gjennom NIST...
Les mer
Oktober markerer den årlige internasjonale satsingen for å løfte kunnskap og engasjement rundt trusler og digital sikkerhet. I dagens digitale tidsalder, hvor teknologi spiller en integrert rolle i våre personlige og profesjonelle liv, er fokus...
Les mer
NetNordic har vært en fantastisk samarbeidspartner, vi har jobbet med dem, og vi vil fortsette å jobbe med dem! Juha-Matti Heino, CIO at Wihuri Group Wihuri er et globalt finsk industri- og handelskonglomerat, som driver...
Les mer
men dette bør du vite dersom dere opplever ytelsesproblemer eller vil utføre feilsøking! Software-Defined Wide Area Network (SD-WAN) teknologi revolusjonerer måten organisasjoner administrerer nettverkstrafikken sin på. Med sin evne til å koble dataplanet fra kontrollplanet,...
Les mer