De voordelen van een SOAR-aanpak bij netwerkbeveiliging

“Automation is hard op weg de belangrijkste tool in de gereedschapskist van een professional te worden”

Geen enkel bedrijf is bestand tegen schadelijke cyberaanvallen die het netwerk in gevaar brengen. Dat blijkt wel uit de enorme verscheidenheid aan hacks en datalekken van de afgelopen twaalf maanden. Wanneer dit gebeurt, kan snel schakelen het verschil betekenen tussen snelle inperking en een schadelijk datalek. Nu bedrijven geconfronteerd worden met steeds strengere regels en een groeiend bewustzijn rond maatschappelijke verantwoordelijkheid, zijn snelheid en meetbaarheid van betrouwbare security-oplossingen cruciaal geworden.

Tekort aan goed personeel

Beveiligingsteams krijgen steeds vaker te maken met een tekort aan goede IT-medewerkers. En dat is een groot probleem. Vaak betekent dit dat IT-afdelingen maar een handjevol mensen tellen – waarbij sommigen ook niet over alle kennis en expertise beschikken die nodig is. Tegelijkertijd neemt de druk om nieuwe technologieën in te voeren, toe en worden budgetten steeds kleiner – waardoor beveiligingsteams over steeds minder middelen beschikken. En dat is vooral zorgwekkend omdat het dreigingslandschap steeds gevaarlijker en complexer wordt.

Bedrijven hebben jarenlang vooral geïnvesteerd in verschillende cybersecurity-tools die duizenden of zelfs tienduizenden alerts per dag genereren. Voor veel beveiligingsteams is die situatie als navigeren in een mijnenveld – waarbij de regelmatige onderbezetting nog eens extra gevaar met zich meebrengt.

Ingewikkelde richtlijnen

Eén van de grootste uitdagingen waarmee beveiligingsteam worden geconfronteerd, zijn de ingewikkelde richtlijnen die zij moeten volgen bij het tegenhouden van een aanval. Onderdeel daarvan zijn een flink aantal tijdsintensieve, handmatige stappen. Op zo’n moment wordt van hen verwacht dat zij meerdere producten kennen en begrijpen, de door elk product gegenereerde data kunnen correleren, en vervolgens een weloverwogen beslissing kunnen nemen of de melding terecht is. Dat is op zijn zachts gezegd te veel gevraagd. Op zo’n moment – wanneer tijd van essentieel belang is – kan een gebrek aan personeel en automatisering een organisatie blootstellen aan nog grotere risico’s.

De opkomst van de SOAR-aanpak

Ingebouwde security orchestration, automation and response (SOAR) is al een tijdje een buzzword in de wereld van cybersecurity. De mogelijkheden die SOAR biedt zijn – zonder twijfel – de volgende stap in de beveiliging van bedrijven. Gartner beschrijft SOAR als “technologieën die organisaties in staat stellen om vanuit verschillende bronnen data en alerts te verzamelen over securitybedreigingen, waarmee incidentanalyse en -beoordeling kunnen worden uitgevoerd met behulp van een combinatie van de kracht van mens en machine, om gestandaardiseerde incidentresponsactiviteiten volgens een standaardworkflow te definiëren, te prioriteren en aan te sturen”. Gartner voorspelt dat tegen het einde van 2020 vijftien procent van de organisaties met een beveiligingsteam bestaande uit meer dan vijf mensen gebruik zal maken van SOAR – dat is nu één procent.

SOAR biedt beveiligingsteams aanpasbare workflows en controles om het onderzoek en de neutralisatie van gekwalificeerde cyberdreigingen te stroomlijnen en te versnellen. Ook automatiseert het veel van de alledaagse taken waar beveiligingsteams vaak mee te maken krijgen. Bovendien kunnen analisten – door het gebruik van case playbooks – binnen één platform reageren en handelen. Het gevolg? Hogere efficiëntie en effectiviteit, juist op het moment dat het er echt toe doet. Bovendien verbetert SOAR zowel de productiviteit van organisaties als het vermogen van IT-teams om sneller te kunnen reageren op cyberbedreigingen en ze op te lossen.

Reactiesnelheid verbeteren

Aan de hand van duidelijke, meetbare statistieken – zoals mean time to detect (MTTD), mean time to respond (MTTR), time to qualify (TTQ) en time to investigate (TTI) – kan SOAR analisten nog meer voordelen bieden. Zo geeft de technologie analisten inzicht in workflow-effectiviteit en helpt het hen snel mogelijke verbeterpunten te identificeren en door te voeren. Zo is de effectiviteit van beveiligingsteams verder te verbeteren.

Eerdergenoemde prestatiestatistieken helpen securityprofessionals bovendien om de waarde van hun teams voor het bedrijf te bewijzen en kwantificeren. En, indien nodig, kunnen de statistieken als waardevol bewijs dienen voor regelgevende instanties die erom vragen.

Veel beveiligingsteams zijn verantwoordelijk voor een behoorlijke hoeveelheid administratie – of het nu om het schrijven van verslagen of het vastleggen van beveiligingsprocedures gaat. SOAR vermindert de hoeveelheid papierwerk en verbetert de rapportagemogelijkheden. Doordat SOAR data van verschillende bronnen te verzamelt en deze via een visueel dashboard weergeeft, is het niet langer nodig om deze taken handmatig uit te voeren. Bovendien wordt zo voorkomen dat teams belangrijke taken en updates vergeten uit voeren – iets wat zo kan gebeuren te midden van de drukke en snel bewegende omgeving waarbinnen zij werken.

Benodigde investeringen

Hoewel de automatisering van SOAR snel rendement oplevert, zijn er wel vooraf investeringen nodig. Daarom zijn buy-in en samenwerking van de bredere IT-organisatie essentieel. SOAR automatiseert handelingen binnen de gehele IT-organisatie. Daardoor is het belangrijk om ook IT-teams buiten om het beveiligingsteam aan boord te krijgen.

Uiteindelijk helpt SOAR bedrijven en beveiligingsteams om bedreigingen sneller te detecteren en erop te reageren, belangrijke prestatie-indicatoren zoals MTTD en MTTR te kwantificeren, en om hun dagelijkse werklast terug te dringen door middel van verbeterde intelligentie en rapportage, gestroomlijnde workflows en playbooks voor geautomatiseerde responsacties. Automatisering is zonder twijfel hard op weg het belangrijkste gereedschap van een IT-professional te worden. Het IT-landschap ontwikkelt zich continu en is zeer geavanceerd en complex – en IT-teams hebben steeds meer moeite om die ontwikkelingen bij te houden. SOAR neemt alle handmatige taken weg zodat teams zich kunnen focussen op belangrijker taken: het veilig houden van de volledige IT-omgeving.

Dit is een ingezonden bijdrage van Rob Pronk, Regional Director Noord Europa bij LogRhythm. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.