2. februar 2023
Skrevet av Trygve Wettestad – Salgsdirektør for store og komplekse kunder innen nettverk og cybersikkerhet hos NetNordic Norway AS
SOAR (Security Orchestration, Automation, and Response) refererer til en samling softwareløsninger og verktøy som lar organisasjoner strømlinjeforme sin sikkerhetsdrift på tre nøkkelområder: trussel- og sårbarhetshåndtering, hendelsesrespons og automatisering av sikkerhetsdrift. Nedenfor ser vi litt på alle tre og forhåpentligvis hjelpe deg å forstå hvorfor SOAR bør være en del av organisasjonens strategiplanlegging for cybersikkerhet fremover. Det kan enten bygges selv eller kjøpes som en tjeneste!
Det er mye forvirring rundt SOAR og SIEM, noe som er helt normalt. Å forstå de viktigste forskjellene mellom de to er uklart siden de har mange felles komponenter for cybersikkerhet.
Verktøy for sikkerhetsinformasjon og hendelsesadministrasjon (SIEM) sentraliserer hendelsesdata fra nettverk, servere, applikasjoner og databaser. Det inkluderer også brannmurer, inntrengningsforebyggende systemer, antivirusprogramvare og sikre nettinnholdsporter. Dataene blir deretter analysert i sann tid for å identifisere sikkerhetssårbarheter fra ulike kilder. SIEM rangerer deretter hendelser intelligent basert på kritiske trussel- og sårbarhetsnivåer.
SIEM-verktøy og -produkter kombinerer styringssystemer for sikkerhetsinformasjon og verktøy for styring av sikkerhetshendelser. Dette for å sikre overholdelse, undersøke tilfeller, gjennomgå håndtering av nettverkssårbarhet og gi trussel intelligens.
SOAR løsninger derimot optimaliserer prosesser og tillater orkestrering av forskjellige teknologier i standardiserte responsprosedyrer for hver type angrep, kalt Standard Operating Procedures (SOP). Den automatiserer også repeterende oppgaver innenfor disse prosessene og sikrer at alle analytikere følger de samme prosedyrene.
Trussel- og sårbarhetshåndtering er en proaktiv tilnærming til endepunktsikkerhet som gir organisasjonen din innsikt i sårbarheter og om det er noen usikkerheter knyttet til nettopp deres «posture» (oppsett). I SOAR er trussel- og sårbarhetshåndtering prosessen med å identifisere potensielle trusler mot en organisasjons sikkerhetssystem og sårbarheter som kanskje må løses. Det innebærer å identifisere disse truslene og sårbarhetene samt bestemme hvordan man skal reageres på de for å redusere potensielle risikoer.
Dette oppnås ved å overvåke og analysere nettverkstrafikk og identifisere mistenkelig atferd. Ved identifisering, kan passende tiltak iverksettes for å sikre systemets sikkerhet. En SOAR løsning automatiserer denne prosessen. Da kan organisasjoner automatisere sikkerhetsorkestreringen og responsprosessene sine for å identifisere, undersøke og svare på potensielle trusler raskere. SOAR minimerer i tillegg det manuelle arbeidet som er involvert i prosessen og frigjør sikkerhetspersonell til å fokusere på andre viktige oppgaver.
Det første trinnet i hendelsesrespons er gjenkjenning (detection), dvs. å identifisere mistenkelig aktivitet på nettverket eller systemene dine som kan indikere en inntrenging. Dette kan omfatte uvanlige trafikkmønstre, ondsinnede e-poster, uautoriserte pålogginger, mistenkelige filer som lastes opp eller ned fra servere, osv. De potensielle truslene som oppdages blir viktig å undersøke nærmere for å finne ut om det faktisk har vært et sikkerhetsbrudd.
Blir det fastslått om det har vært en inntrenging i systemene dine, er neste trinn å iverksette umiddelbare tiltak for å begrense trusselen og dempe effektene så raskt som mulig. Dette kan innebære midlertidig isolasjon av berørte systemer fra nettverket. Da kan man undersøke nærmere ved deaktivering av brukerkontoer knyttet til den mistenkelige aktiviteten, gjenopprette sikkerhetskopier, implementere nye sikkerhetstiltak, osv. Målet er å redusere risikoen for ytterligere skade på systemet.
Til slutt er det viktig å samle bevis for senere analyse. Dette kan inkludere å ta skjermbilder, lage kopier av ondsinnet kode eller filer, arkivere loggdata osv. Slike bevis vil være avgjørende for å hjelpe organisasjoner med å identifisere angripere og straffeforfølge dem. I tillegg bør organisasjoner dokumentere sine hendelsesresponsfunn. Dette for å iverksette tiltak for å hjelpe dem med å forberede seg på fremtidige hendelser.
SOAR-teknologien gjør mer enn bare å reagere på hendelser eller tjene som et verktøy for sikkerhetsoperasjonssentre / cybersikkerhet for å håndtere økende varsler. Tidligere varslet mange sikkerhetsinformasjonssystemer at programvaren behandlet data i antall. Så lenge mange sårbarheter var patchet, var sikkerhetsledelsen og styrene deres glade for at ting gikk bra.
Den logikken er imidlertid feil. Visse sårbarheter er farligere enn andre. I SOAR-plattformer brukes kunstig intelligens for å analysere og kategorisere sårbarheter ut fra kritikalitet. Rapid7 sin SOAR-plattform bruker markedsledende automasjon for å bygge intelligente arbeidsflyter som hjelper teamet ditt å strømlinjeforme all drift.
SOAR-plattformer hjelper også med økt teamfleksibilitet og samarbeid. Mange plattformer kommer med forhåndsbygde arbeidsflyter for å håndtere de vanligste brukstilfellene for å spare tid og penger, men de fleste av dem kan tilpasses for å passe organisasjonens teknologistabel.
NetNordic jobber tett med Rapid7 sitt team for å hjelpe til med å levere risikostyring, sårbarhetsanalyse, hendelsesdeteksjon og respons, applikasjonssikkerhet og selvfølgelig SOAR.
Ta kontakt med oss for en uforpliktende sikkerhetsprat i dag!
Fyll inn kontaktinformasjon:
SOAR (Security Orchestration, Automation, and Response) refererer til en samling softwareløsninger og verktøy som lar organisasjoner strømlinjeforme sin sikkerhetsdrift på tre nøkkelområder: trussel- og sårbarhetshåndtering, hendelsesrespons og automatisering av sikkerhetsdrift.
Les mer
Red Team Testing, også kjent som fysisk sikkerhetstesting, er ganske forskjellig fra vanlig penetrasjonstesting (såkalt PenTest). Fysisk sikkerhetstesting gjør at vi går «on-premise» / «inhouse» og prøver å bryte oss inn i «bygninger», dirker låser...
Les mer
Hva er penetrasjonstesting? En penetrasjonstest, også kalt en penntest, er et autorisert simulert cyberangrep hvor du bruker en testteknikk for å identifisere alle sårbarheter i et system og evaluere sikkerhetsnivåene. Penetrasjonstestingen er en slags sikkerhetskontroll,...
Les mer
Hvordan kan du oppdage trusler i miljøet ditt? Det finnes mange forskjellige løsninger som organisasjoner kan bruke for å oppdage cybersikkerhetstrusler i systemene deres. Generelt sett er imidlertid sikkerhetsinformasjons- og hendelsesstyringssystemene en god plattform og...
Les mer
Digital Forensics er kunsten å undersøke digitale bevis, samlet inn fra ulike typer IT-systemer, og det inkluderer også gjenoppretting og etterforskning av nettkriminalitet, ved å se gjennom materialer som finnes i digitale enheter og IT-miljøer.
Les mer
Kjernefunksjonene til et Incident Response Team er å hjelpe organisasjoner med å gjenopprette og gjenoppbygge IT-miljøene sine. Hvis organisasjonen din blir utsatt for et nettangrep, vil vårt Incident Response Team begynne å jobbe med det...
Les mer
NetNordic SOC (Security Operations Center) jobber proaktivt. Dette betyr at den kan oppdage cybersikkerhetstrusler, redusere mulige angrep og hendelser, samt isolere og forhindre anomalier i våre kunders IT-miljø, ved at vårt SOC-personell handler og overvåker...
Les mer