Integratie kan uw cyberbestendigheid SOAR helpen

Hoe deskundig of goed bemand beveiligingsorganisaties ook zijn, het aantal aanvallen, incidenten en waarschuwingen waarmee ze te maken krijgen, overtreft hun mogelijkheden om handmatig te reageren. Uit een recent onderzoek is gebleken dat bij 70% van de organisaties het aantal waarschuwingen in vijf jaar tijd meer dan verdubbeld is; 83% heeft te maken met "waarschuwingsmoeheid" en 99% noemt het grote aantal waarschuwingen een echt probleem. [1]

Het is geen wonder: Grote organisaties hebben gemiddeld meer dan 75 verschillende puntbeveiligingsoplossingen die voortdurend voor ruis zorgen. Waarschuwingen zijn afkomstig van web- en e-mailgateways, anti-malwarediensten, inbraakdetectie- en -preventiesystemen en vele andere bronnen. Om al deze informatie snel te kunnen analyseren en erop te kunnen reageren, wenden organisaties zich tot Security Orchestration, Automation and Response (SOAR) systemen. SOAR kan alleen succesvol zijn als al uw beveiligingstools en -infrastructuur naadloos worden geïntegreerd. Open API's bevorderen die integratie.

Waarom integratie essentieel is voor SOAR-prestaties

Om het belang van integratie te begrijpen, kunt u kijken naar wat SOAR-systemen doen, en waarom. Zoals Gartners definitie van SOAR luidt, stellen deze systemen "organisaties in staat gegevens en waarschuwingen over beveiligingsrisico's uit verschillende bronnen te verzamelen, waarbij incidentanalyse en triage kunnen worden uitgevoerd met behulp van een combinatie van menselijke en machinekracht om te helpen bij het definiëren, prioriteren en aansturen van gestandaardiseerde incidentresponsactiviteiten volgens een standaardworkflow." [2]

In SOAR komt orkestratie op de eerste plaats. Het systeem moet robuuste verbindingen onderhouden met de verschillende beveiligingstools, -diensten en -infrastructuur die je gebruikt, nu of in de toekomst. Uw SOAR-systeem moet voortdurend actuele informatie van die systemen opvangen, en in staat zijn om hun reacties te sturen.

Als die basis er is, kan SOAR beginnen met het automatiseren van een breed scala aan beveiligings- en incidentresponstaken die mensen niet handmatig zouden moeten doen, en ook niet zo snel zouden kunnen doen. Bekende voorbeelden zijn het uitvoeren van anti-malware scans, het op een zwarte lijst plaatsen of tijdelijk in quarantaine plaatsen van risicovolle IP-adressen, en het sluiten van poorten.

In veel gevallen vertalen organisaties hun bestaande draaiboeken voor incidentrespons in geautomatiseerde processen die SOAR zonder menselijke tussenkomst kan uitvoeren. Naarmate SOAR-systemen geavanceerder worden, gebruikmaken van rijkere datasets en meer geavanceerde machine learning toepassen, kunnen ze gebeurtenissen slimmer evalueren. Ze kunnen beveiligingsanalisten meer helpen bij het opsporen van bedreigingen en het verkorten van de gemiddelde oplostijd. [3] Mensen sturen de automatisering nog steeds, maar op een hoger niveau - bijvoorbeeld door voorzorgsmaatregelen te nemen om automatiseringen te vermijden die aanvallers kunnen herkennen, omzeilen of misleiden.

Maar nogmaals, dit alles rust op een fundament van sterke gegevensintegratie.

Open API's vergemakkelijken de integratie - en betrouwbare automatisering

Platformleveranciers proberen SOAR-integraties aan te bieden met zoveel mogelijk beveiligingsproducten van derden. Wanneer deze beveiligingsproducten geen open API's openstellen, kunnen dergelijke integraties moeilijker te creëren, te onderhouden en aan te passen zijn - zowel voor de platformleverancier als voor de klant. Zelfs als uw eigen beveiligingsteam niet van plan is onder de motorkap te kruipen en het "verbindingsweefsel" tussen uw SOAR-platform en andere tools aan te passen, maakt open API's het eenvoudiger voor degenen die dat wel willen - of dat nu uw SOAR-leverancier is of een externe consultant.

Wanneer beveiligingsleveranciers open API's aanbieden, doen ze sterkere toezeggingen aan ontwikkelaars over hoe verbindingen met hun systemen moeten worden gebouwd, en hoe die verbindingen zich zullen gedragen. Ze bieden gestandaardiseerde, ondersteunde manieren om taken af te handelen zoals autorisatie en authenticatie, toegang tot logs, het inventariseren van gebruikers of berichten, het aanmaken of vullen van groepen, of het uitvoeren van beleid.

Bovendien, wanneer een leverancier een gedeelde set van open API's aanbiedt voor een hele familie van producten, stijgt de waarde van die productfamilie ten opzichte van puntoplossingen zonder gedeelde API's. Dergelijke API's geven klanten nog een reden om sterke strategische relaties aan te gaan met een paar beveiligingsleveranciers in plaats van te blijven werken met tientallen aanbieders van specifieke producten.

De beste open API's bieden ontwikkelaars beproefde voorbeeldcode om mee te beginnen, volledige documentatie, speciale stagingomgevingen om ontwikkelaars te helpen hun integraties te testen, en ondersteuning van het team dat de API en de onderliggende beveiligingstool heeft gebouwd. Dit alles leidt tot snellere en eenvoudigere integratie - en tot meer vertrouwen dat geautomatiseerde processen consistent herhaalbaar zullen zijn en dat de SOAR-integraties van vandaag morgen zullen werken.

De kern van de zaak

SOAR-platforms zijn ontworpen om beveiligingsorganisaties te helpen effectief te reageren op de enorme hoeveelheden beveiligingsgegevens die ze verzamelen. Ze helpen echte aanvallen te herkennen in de ruis die door duizenden waarschuwingen wordt gegenereerd, zodat u aanvallen sneller kunt stoppen en beperken en zo de veerkracht van cyberspace kunt verbeteren. Betrouwbare integratie maakt orkestratie, automatisering en reactie op beveiligingsproblemen mogelijk - en open API's maken integratie voor iedereen eenvoudiger.

[1] " Beveiligingswaarschuwingen zijn meer dan verdubbeld in de afgelopen 5 jaar, SecOps teams geven toe dat ze ze niet allemaal kunnen krijgen ," Help Net Security

[2] " Inzicht in de kracht van SOAR voor de overheid ," Security Boulevard

[3] " Het LogicHub-verschil ," LogicHub