In cyberbeveiliging staat SOAR voor security orchestration, automation en response. Het omvat alle software of hulpmiddelen waarmee bedrijven cyberbeveiligingsdata kunnen verzamelen en analyseren.
Met SOAR-systemen kunnen organisaties verschillende hulpmiddelen en functionaliteiten gebruiken om al hun data over cyberbeveiliging te benutten voor een betere respons op incidenten.
De belangrijkste onderdelen van een SOAR-systeem zijn:
Orkestreren
Beveiligingsorkestratie versnelt en verbetert de respons op incidenten door data van verschillende technologieën en beveiligingstools te integreren en te analyseren. Orkestratie omvat ook het coördineren van verschillende cyberbeveiligingstechnologieën om organisaties te helpen complexe cyberbeveiligingsincidenten aan te pakken. Een SOAR-tool kan bijvoorbeeld operationele IT-data over netwerkbeveiliging verzamelen door data van netwerkbewakingsinstrumenten te gebruiken als basislijn voor firewallregels.
Automatisering
Een van de belangrijkste functies van een SOAR-tool is automatisering, waardoor het zeer tijdrovende handmatig opsporen van en reageren op beveiligingsincidenten overbodig wordt. SOAR-systemen kunnen bijvoorbeeld bepaalde soorten gebeurtenissen automatisch triageren en beveiligingsteams in staat stellen gestandaardiseerde, geautomatiseerde procedures te definiëren, zoals besluitvormingsworkflows, gezondheidscontroles, handhaving en insluiting, en auditing.
Reactie
SOAR-platforms verzamelen data van andere beveiligingstools, zoals SIEM-systemen (Security Information and Event Management) en informatie over bedreigingen. Zij geven prioriteit aan beveiligingsgebeurtenissen en sturen belangrijke informatie over het beveiligingsincident naar het beveiligingspersoneel.
Casemanagement
Casemanagement is een fundamenteel onderdeel van elk SOAR-platform. Casusbeheer biedt beveiligingsanalisten toegang tot individuele casusdossiers, zodat zij alle data met betrekking tot een bepaald incident dynamisch kunnen analyseren en gebruiken om hun reactieprocessen te verbeteren en te verbeteren.
Dashboard
Het dashboard van een SOAR-tool geeft een overzicht van alles wat er gebeurt met betrekking tot de nummers 1, 2, 3, 4 en hoger - d.w.z. alle beveiligingsgerelateerde data en activiteiten, inclusief opmerkelijke gebeurtenissen en hun ernst, playbooks, verbindingen met andere beveiligingstools, workloads en zelfs een overzicht van het rendement van geautomatiseerde activiteiten. Gewoonlijk kunt u een SOAR-dashboard filteren op tijdsperiode, databron of gebruiker. Widgets kunnen worden in- of uitgeschakeld of herschikt volgens uw specificaties. Kortom, het is uw centrale hub voor het controleren van alles wat uw SOAR-systeem doet en hoe goed het dat doet.
SOAR-systemen doorzoeken en verzamelen data uit verschillende bronnen, en gebruiken vervolgens een combinatie van menselijk en machine learning om deze data te analyseren om potentiële bedreigingen te detecteren en prioriteit te geven aan plannen en acties om op incidenten te reageren. Gewoonlijk automatiseren bedrijven het SOAR-systeem zodat het zo efficiënt mogelijk cyberbeveiliging kan ondersteunen.
SOAR-systemen halen en analyseren data uit een aantal verschillende bronnen, waaronder:
SOAR-systemen maken een effectievere en efficiëntere reactie op incidenten mogelijk door twee primaire voordelen:
Zowel SOAR als SIEM houden zich bezig met data over beveiligingsbedreigingen en maken een veel betere reactie op beveiligingsincidenten mogelijk.
SIEM aggregeert en correleert echter data van meerdere beveiligingssystemen om waarschuwingen te genereren, terwijl SOAR fungeert als de motor voor herstel en respons op die waarschuwingen.
Om een auto-analogie te gebruiken: SIEM is de brandstof voor de motor van de auto en de motor zelf is SOAR omdat hij de brandstof gebruikt om het resultaat en de actie te leveren en alles automatisch te laten lopen.
Welke SOAR-tool u ook krijgt, hij moet:
Natuurlijk zijn er meer toeters en bellen die deel kunnen uitmaken van een SOAR-systeem, maar beschouw de bovenstaande lijst als de must-haves voor elk SOAR-hulpmiddel.
Phishing-e-mails vormen niet alleen een grote bedreiging voor individuen, maar ook voor beveiligingsteams van ondernemingen, omdat sommige ervan goed genoeg zijn gemaakt om opzienbarende gegevensinbreuken uit te voeren. Met een SOAR-systeem kunnen bedrijven niet alleen phishing-aanvallen afweren, maar ze ook in de toekomst voorkomen.
Een SOAR-tool onderzoekt verdachte schadelijke e-mails door verschillende artefacten te extraheren en te analyseren, waaronder headerinformatie, e-mailadressen, URL's en bijlagen. Het triageert dan de dreiging om te bepalen of het een dreiging is, en zo ja, hoe ernstig die is.
Als de SOAR-tool vaststelt dat de e-mail kwaadaardig is, zal hij:
Natuurlijk kunnen SOAR-systemen niet garanderen dat ze elke phishing-e-mail vangen en blokkeren. Als er toch een doorkomt, kunnen de beveiligingsteams met behulp van casemanagement onderzoeken wat er is gebeurd en waarom, en die kennis gebruiken om de dreigingsdetectie van hun SOAR-systemen in de toekomst te verbeteren.
SOAR-systemen verkorten de onderzoeks- en reactietijd van uren tot minuten. Ze verminderen ook in hoge mate de organisatorische risico's door alleen de meest hoogwaardige dreigingsdata te gebruiken om de beveiligingsactiviteiten te stroomlijnen. Uiteindelijk maken ze een meer strategische toewijzing van menselijke analisten en menselijke inlichtingen mogelijk, waardoor bedrijven hun interne middelen kunnen maximaliseren en tegelijkertijd externe bedreigingen kunnen minimaliseren.