Verbeter uw automatisering en orkestratie met integratie

Zoals recente invallen in de krantenkoppen duidelijk maken, worden de bedreigingen van cyberbeveiliging steeds groter. Dus hoe kunnen publieke en private organisaties de curve voorblijven?

Een betere integratie van technologieën, processen en vooral mensen zou wel eens de sleutel kunnen zijn. Meer integratie maakt een betere veiligheidsorkestratie mogelijk, waardoor bedreigingen beter kunnen worden opgespoord en sneller kan worden gereageerd. Maar integratie effent ook de weg voor een verdergaande automatisering van beveiligingsprocessen - wat het tekort aan geschoold cyberbeveiligingspersoneel kan compenseren waarmee veel bedrijven en overheidsinstanties te kampen hebben.

Beveiligingstool Orchestratie en SOAR

Als het gaat om de verdediging van hun organisatie, zijn CISO's terughoudend om al hun eieren in één mandje te stoppen, omdat één groot beveiligingspakket ook één groot faalpunt kan worden. In plaats daarvan proberen ze hun beveiliging te lagen door gebruik te maken van meerdere tools en oplossingen, waarbij ze kiezen voor die tools en oplossingen die het meest geschikt zijn voor een bepaald type cyberverdediging.

Maar als deze tools niet zijn geïntegreerd, werken ze als op zichzelf staande eilanden die waarschuwingen genereren, en de hoeveelheid gegevens die ze genereren kan een cyberbeveiligingsteam al snel overweldigen. Orkestratie van beveiliging is het proces waarbij een uiteenlopende reeks technologieën wordt geïntegreerd in één meerlaagse beveiligingsoplossing, zodat de verschillende componenten samenwerken om een volledig beeld van de bedreigingen te krijgen en een gecoördineerde reactie mogelijk te maken.

De methodologie die het meest in verband wordt gebracht met orkestratie is SOAR, dat in 2017 voor het eerst werd geïntroduceerd door het analistenbureau Gartner en staat voor Security Orchestration, Analysis and Response. [1] Een op SOAR gebaseerde oplossing is gericht op:

• De activiteiten en reacties van de verschillende ingezette beveiligingsinstrumenten coördineren, zodat zij samenwerken zonder elkaar te hinderen.
• Stroomlijn de workflow van het beveiligingssysteem, zodat elk onderdeel van de verdediging van de organisatie zich kan blijven concentreren op wat het het beste kan.
• Exporteer alle door deze instrumenten gegenereerde gegevens op een gebruiksvriendelijke en georganiseerde manier.
• Deze gegevens kunnen op één console worden bekeken en gepresenteerd op een manier die duidelijkheid en eenvoud biedt bij het analyseren van verdachte activiteiten.
• Duidelijke, gemakkelijk te volgen regels en protocollen naleven in geval van een incident.

Automatisering en integratie met SIEM

Voordat SOAR bestond, was er SIEM, een andere term van Gartner die in 2005 werd geïntroduceerd om de toen nieuwe integratie van beveiligingsinformatiebeheer (SIM) en beveiligingseventbeheer (SEM) te beschrijven. SIEM staat voor security information and event management, een samenvoeging van beide termen. [2]

Een SIEM-platform verzamelt en selecteert gegevens die worden gegenereerd door de verschillende elementen van de beveiligingsoplossing van een organisatie, zoals antivirus-, firewall- en inbraakpreventieprogramma's. Het SIEM organiseert de gegevens die door deze toepassingen worden gegenereerd en creëert rapporten op basis van deze gegevens.

Wanneer SOAR-programma's met het SIEM zijn geïntegreerd, kunnen ze automatisch reageren op beveiligingswaarschuwingen die door het SIEM worden gemeld en de juiste actie ondernemen. Hoe vollediger de integratie, hoe uitgebreider de automatisering en hoe directer de reactie. Dit vermindert aanzienlijk de tijd die nodig is voor handmatige interventies en zorgt voor een veel snellere en uitgebreidere reactie op een aanval, waardoor de verdediging van een bedrijf aanzienlijk wordt versterkt.

Maar de sleutel tot dit alles is de mate waarin het SIEM, het SOAR en de verschillende beveiligingstoepassingen die er deel van uitmaken, zijn geïntegreerd. Zonder adequate integratie is de reactie op bedreigingen vertraagd en onsamenhangend, omdat operators gedwongen zijn van de ene console naar de andere over te schakelen en door stapels vaak tegenstrijdige gegevens te bladeren - waarvan een groot deel irrelevant kan zijn voor de onmiddellijke crisis.

Dit in tegenstelling tot wat er gebeurt wanneer de e-mail gateway en andere systemen van een bedrijf met elkaar verbonden zijn via een grondig geïntegreerde beveiligingsarchitectuur. In dat geval kan een gebeurtenis bij de gateway automatisch een SOAR-playbook activeren. Het systeem zet het verdachte bestand automatisch in een sequentie en controleert het hele netwerk om er zeker van te zijn dat het bestand volledig is gezuiverd. Met de juiste integratie, als een app met malware wordt geïdentificeerd, volgt het gehele uitgebreide beveiligingssysteem dezelfde regels en verwijdert het deze gelijktijdig in het hele netwerk. Honderden waarschuwingen worden vermeden en - nog belangrijker - het risiconiveau van de organisatie wordt sterk verlaagd.

Compensatie voor het tekort aan cybervaardigheden

Met een uitgebreidere integratie kunnen meer taken van de operator worden geautomatiseerd - en dit kan een echte zegen zijn voor onderbezette cyberbeveiligingsteams. Volgens het rapport "State of Cybersecurity 2020" van ISACA heeft 62% van de beveiligingsafdelingen van bedrijven moeite om gekwalificeerd personeel te vinden en te werven, en heeft een "aanzienlijke onderbezetting" hun vermogen ondermijnd om nieuwe bedreigingen het hoofd te bieden. Bovendien heeft een aanzienlijke minderheid (42%) van de groepen die hun openstaande vacatures niet hebben kunnen invullen, te maken met een toegenomen aantal aanvallen. [3] Door delen van hun workflows te integreren en te automatiseren, kunnen beveiligingsteams hun verdediging versterken en het tekort aan vaardigheden compenseren.

Best-of-breed security point solutions kunnen effectief worden samengevoegd in een geïntegreerde beveiligingsarchitectuur met behulp van door de leverancier geleverde off-the-shelf integraties op basis van open API's. Hiermee kunnen uw beveiligingssystemen communiceren en hun acties coördineren zonder grote configuratie- of aanpassingsproblemen. Mimecast ondersteunt bijvoorbeeld meer dan 100 open API's en biedt kant-en-klare integraties met meer dan 60 toonaangevende leveranciers van beveiligingsoplossingen. Dus als de e-mailbeveiligingsgateway een bedreiging detecteert, kan deze automatisch de SIEM activeren om deze te analyseren, de SOAR om de bedreiging te verhelpen en de firewalls en endpoints om deze te blokkeren. Handmatige tussenkomst wordt tot een minimum beperkt.

De kern van de zaak

Het gebruik van kant-en-klare integraties op basis van open API's om best-of-breed beveiligingsprogramma's samen te voegen tot een sterk geïntegreerd cyberbeveiligingsplatform zorgt voor een betere orkestratie van de beveiliging, waardoor bedreigingen beter kunnen worden opgespoord en sneller kan worden gereageerd. Meer integratie maakt ook de weg vrij voor verdergaande automatisering van beveiligingsprocessen, waardoor reactietijden eveneens worden verbeterd en de last kan worden verlicht van beveiligingsteams die worstelen met het vinden en werven van gekwalificeerd personeel.

[1] " De evolutie van SOAR-platforms ," SecurityWeek

[2] " Evolutie van SIEM door de jaren heen, " Logsign

[3] " Nieuw onderzoek van ISACA toont aan dat organisaties met onvervulde cyberbeveiligingsrollen meer aanvallen te verduren krijgen, " ISACA