Nyttig viten om SOAR orkestrering

Skrevet av Trygve Wettestad – Salgsdirektør for store og komplekse kunder innen nettverk og cybersikkerhet hos NetNordic Norway AS

SOAR (Security Orchestration, Automation, and Response) refererer til en samling softwareløsninger og verktøy som lar organisasjoner strømlinjeforme sin sikkerhetsdrift på tre nøkkelområder: trussel- og sårbarhetshåndtering, hendelsesrespons og automatisering av sikkerhetsdrift. Nedenfor ser vi litt på alle tre og forhåpentligvis hjelpe deg å forstå hvorfor SOAR bør være en del av organisasjonens strategiplanlegging for cybersikkerhet fremover. Det kan enten bygges selv eller kjøpes som en tjeneste!

SOAR eller SIEM

Det er mye forvirring rundt SOAR og SIEM, noe som er helt normalt. Å forstå de viktigste forskjellene mellom de to er uklart siden de har mange felles komponenter for cybersikkerhet.

Verktøy for sikkerhetsinformasjon og hendelsesadministrasjon (SIEM) sentraliserer hendelsesdata fra nettverk, servere, applikasjoner og databaser. Det inkluderer også brannmurer, inntrengningsforebyggende systemer, antivirusprogramvare og sikre nettinnholdsporter. Dataene blir deretter analysert i sann tid for å identifisere sikkerhetssårbarheter fra ulike kilder. SIEM rangerer deretter hendelser intelligent basert på kritiske trussel- og sårbarhetsnivåer.

SIEM-verktøy og -produkter kombinerer styringssystemer for sikkerhetsinformasjon og verktøy for styring av sikkerhetshendelser. Dette for å sikre overholdelse, undersøke tilfeller, gjennomgå håndtering av nettverkssårbarhet og gi trussel intelligens.

SOAR løsninger derimot optimaliserer prosesser og tillater orkestrering av forskjellige teknologier i standardiserte responsprosedyrer for hver type angrep, kalt Standard Operating Procedures (SOP). Den automatiserer også repeterende oppgaver innenfor disse prosessene og sikrer at alle analytikere følger de samme prosedyrene.

Trussel- og sårbarhetshåndtering

Trussel- og sårbarhetshåndtering er en proaktiv tilnærming til endepunktsikkerhet som gir organisasjonen din innsikt i sårbarheter og om det er noen usikkerheter knyttet til nettopp deres «posture» (oppsett). I SOAR er trussel- og sårbarhetshåndtering prosessen med å identifisere potensielle trusler mot en organisasjons sikkerhetssystem og sårbarheter som kanskje må løses. Det innebærer å identifisere disse truslene og sårbarhetene samt bestemme hvordan man skal reageres på de for å redusere potensielle risikoer.

Dette oppnås ved å overvåke og analysere nettverkstrafikk og identifisere mistenkelig atferd. Ved identifisering, kan passende tiltak iverksettes for å sikre systemets sikkerhet. En SOAR løsning automatiserer denne prosessen. Da kan organisasjoner automatisere sikkerhetsorkestreringen og responsprosessene sine for å identifisere, undersøke og svare på potensielle trusler raskere. SOAR minimerer i tillegg det manuelle arbeidet som er involvert i prosessen og frigjør sikkerhetspersonell til å fokusere på andre viktige oppgaver.

Hendelsesrespons

Det første trinnet i hendelsesrespons er gjenkjenning (detection), dvs. å identifisere mistenkelig aktivitet på nettverket eller systemene dine som kan indikere en inntrenging. Dette kan omfatte uvanlige trafikkmønstre, ondsinnede e-poster, uautoriserte pålogginger, mistenkelige filer som lastes opp eller ned fra servere, osv. De potensielle truslene som oppdages blir viktig å undersøke nærmere for å finne ut om det faktisk har vært et sikkerhetsbrudd.

Blir det fastslått om det har vært en inntrenging i systemene dine, er neste trinn å iverksette umiddelbare tiltak for å begrense trusselen og dempe effektene så raskt som mulig. Dette kan innebære midlertidig isolasjon av berørte systemer fra nettverket. Da kan man undersøke nærmere ved deaktivering av brukerkontoer knyttet til den mistenkelige aktiviteten, gjenopprette sikkerhetskopier, implementere nye sikkerhetstiltak, osv. Målet er å redusere risikoen for ytterligere skade på systemet.

Til slutt er det viktig å samle bevis for senere analyse. Dette kan inkludere å ta skjermbilder, lage kopier av ondsinnet kode eller filer, arkivere loggdata osv. Slike bevis vil være avgjørende for å hjelpe organisasjoner med å identifisere angripere og straffeforfølge dem. I tillegg bør organisasjoner dokumentere sine hendelsesresponsfunn. Dette for å iverksette tiltak for å hjelpe dem med å forberede seg på fremtidige hendelser.

Automatisering av sikkerhetsoperasjoner

SOAR-teknologien gjør mer enn bare å reagere på hendelser eller tjene som et verktøy for sikkerhetsoperasjonssentre / cybersikkerhet for å håndtere økende varsler. Tidligere varslet mange sikkerhetsinformasjonssystemer at programvaren behandlet data i antall. Så lenge mange sårbarheter var patchet, var sikkerhetsledelsen og styrene deres glade for at ting gikk bra.

Den logikken er imidlertid feil. Visse sårbarheter er farligere enn andre. I SOAR-plattformer brukes kunstig intelligens for å analysere og kategorisere sårbarheter ut fra kritikalitet. Rapid7 sin SOAR-plattform bruker markedsledende automasjon for å bygge intelligente arbeidsflyter som hjelper teamet ditt å strømlinjeforme all drift.

SOAR-plattformer hjelper også med økt teamfleksibilitet og samarbeid. Mange plattformer kommer med forhåndsbygde arbeidsflyter for å håndtere de vanligste brukstilfellene for å spare tid og penger, men de fleste av dem kan tilpasses for å passe organisasjonens teknologistabel.

NetNordic jobber tett med Rapid7 sitt team for å hjelpe til med å levere risikostyring, sårbarhetsanalyse, hendelsesdeteksjon og respons, applikasjonssikkerhet og selvfølgelig SOAR.  

Ta kontakt med oss for en uforpliktende sikkerhetsprat i dag!
Fyll inn kontaktinformasjon: