Wat is SOAR?

In cyberbeveiliging staat SOAR voor security orchestration, automation en response. Het omvat alle software of hulpmiddelen waarmee bedrijven cyberbeveiligingsdata kunnen verzamelen en analyseren.

Wat is SOAR en hoe werkt het?

Met SOAR-systemen kunnen organisaties verschillende hulpmiddelen en functionaliteiten gebruiken om al hun data over cyberbeveiliging te benutten voor een betere respons op incidenten.

De belangrijkste onderdelen van een SOAR-systeem zijn:

Orkestreren

Beveiligingsorkestratie versnelt en verbetert de respons op incidenten door data van verschillende technologieën en beveiligingstools te integreren en te analyseren. Orkestratie omvat ook het coördineren van verschillende cyberbeveiligingstechnologieën om organisaties te helpen complexe cyberbeveiligingsincidenten aan te pakken. Een SOAR-tool kan bijvoorbeeld operationele IT-data over netwerkbeveiliging verzamelen door data van netwerkbewakingsinstrumenten te gebruiken als basislijn voor firewallregels.

Automatisering

Een van de belangrijkste functies van een SOAR-tool is automatisering, waardoor het zeer tijdrovende handmatig opsporen van en reageren op beveiligingsincidenten overbodig wordt. SOAR-systemen kunnen bijvoorbeeld bepaalde soorten gebeurtenissen automatisch triageren en beveiligingsteams in staat stellen gestandaardiseerde, geautomatiseerde procedures te definiëren, zoals besluitvormingsworkflows, gezondheidscontroles, handhaving en insluiting, en auditing.

Reactie

SOAR-platforms verzamelen data van andere beveiligingstools, zoals SIEM-systemen (Security Information and Event Management) en informatie over bedreigingen. Zij geven prioriteit aan beveiligingsgebeurtenissen en sturen belangrijke informatie over het beveiligingsincident naar het beveiligingspersoneel.

Casemanagement

Casemanagement is een fundamenteel onderdeel van elk SOAR-platform. Casusbeheer biedt beveiligingsanalisten toegang tot individuele casusdossiers, zodat zij alle data met betrekking tot een bepaald incident dynamisch kunnen analyseren en gebruiken om hun reactieprocessen te verbeteren en te verbeteren.

Dashboard

Het dashboard van een SOAR-tool geeft een overzicht van alles wat er gebeurt met betrekking tot de nummers 1, 2, 3, 4 en hoger - d.w.z. alle beveiligingsgerelateerde data en activiteiten, inclusief opmerkelijke gebeurtenissen en hun ernst, playbooks, verbindingen met andere beveiligingstools, workloads en zelfs een overzicht van het rendement van geautomatiseerde activiteiten. Gewoonlijk kunt u een SOAR-dashboard filteren op tijdsperiode, databron of gebruiker. Widgets kunnen worden in- of uitgeschakeld of herschikt volgens uw specificaties. Kortom, het is uw centrale hub voor het controleren van alles wat uw SOAR-systeem doet en hoe goed het dat doet.

Hoe identificeert een SOAR-oplossing bedreigingen?

SOAR-systemen doorzoeken en verzamelen data uit verschillende bronnen, en gebruiken vervolgens een combinatie van menselijk en machine learning om deze data te analyseren om potentiële bedreigingen te detecteren en prioriteit te geven aan plannen en acties om op incidenten te reageren. Gewoonlijk automatiseren bedrijven het SOAR-systeem zodat het zo efficiënt mogelijk cyberbeveiliging kan ondersteunen.

SOAR-databronnen

SOAR-systemen halen en analyseren data uit een aantal verschillende bronnen, waaronder:

• Kwetsbaarheidsscanners, dat zijn computerprogramma's die ontworpen zijn om zwakke plekken in de beveiliging van computers, netwerken of toepassingen te beoordelen.
• Eindpuntbeschermingssoftware, die de eindpunten van een organisatie, zoals servers en pc's, beschermt tegen malware-infecties, cyberaanvallen en andere bedreigingen.
• Firewalls, dat zijn netwerkbeveiligingssystemen die inkomend en uitgaand netwerkverkeer bewaken en controleren op basis van vooraf vastgestelde beveiligingsregels.
• Inbraakdetectie- en inbraakpreventiesystemen, dat zijn netwerkbeveiligingsinstrumenten die netwerken voortdurend controleren op kwaadaardige activiteiten en actie ondernemen om deze te voorkomen.
• Security Information and Event Management-platforms (SIEM),, die logdata, beveiligingswaarschuwingen en gebeurtenissen verzamelen in een gecentraliseerd platform voor realtime analyse van beveiligingsmonitoring en waarschuwingen.
• Feeds met informatie over externe bedreigingen, waaronder alle bruikbare bedreigingsdata die van externe leveranciers worden verzameld om de reactie op en het bewustzijn van cyberbedreigingen te verbeteren.

Belangrijkste voordelen van SOAR

SOAR-systemen maken een effectievere en efficiëntere reactie op incidenten mogelijk door twee primaire voordelen:

• Sneller reageren op incidenten: SOAR helpt bedrijven de gemiddelde detectietijd (mean time to detect - MTTD) en de gemiddelde hersteltijd (mean time to restore - MTTR) te verminderen door de tijd die nodig is om beveiligingswaarschuwingen te kwalificeren en te verhelpen terug te brengen van maanden of weken tot minuten. SOAR maakt ook automatisering van de respons op incidenten mogelijk via procedures die bekend staan als playbooks. De acties van deze automatisering omvatten het blokkeren van IP-adressen op een firewall of IDS-systeem, het opschorten van gebruikersaccounts en het in quarantaine plaatsen van geïnfecteerde eindpunten op een netwerk.
• Betere informatie over cyberbeveiliging: Omdat SOAR-systemen data uit zoveel verschillende bronnen kunnen samenvoegen en analyseren, verbeteren zij de context voor alle soorten cyberbeveiligingsdreigingen en verminderen zij valse alarmen, zodat beveiligingsteams sneller in plaats van harder kunnen werken.

SOAR vs. SIEM

Zowel SOAR als SIEM houden zich bezig met data over beveiligingsbedreigingen en maken een veel betere reactie op beveiligingsincidenten mogelijk.

SIEM aggregeert en correleert echter data van meerdere beveiligingssystemen om waarschuwingen te genereren, terwijl SOAR fungeert als de motor voor herstel en respons op die waarschuwingen.

Om een auto-analogie te gebruiken: SIEM is de brandstof voor de motor van de auto en de motor zelf is SOAR omdat hij de brandstof gebruikt om het resultaat en de actie te leveren en alles automatisch te laten lopen.

Wat te zoeken in een SOAR-tool

Welke SOAR-tool u ook krijgt, hij moet:

• Data en waarschuwingen van verschillende beveiligingssystemen kunnen invoeren en analyseren.
• Workflows kunnen creëren en automatiseren die bedrijven helpen bij het identificeren, prioriteren, onderzoeken en reageren op cyberbeveiligingsdreigingen en waarschuwingen.
• Gemakkelijk te integreren zijn met andere tools om de activiteiten te verbeteren.
• Analyses uit kunnen voeren na een incident om de reactieprocessen en de efficiëntie van de incidentbestrijding te verbeteren.
• De meeste beveiligingsactiviteiten kunnen automatiseren om redundanties te elimineren en beveiligingsteams in staat te stellen zich te concentreren op de taken die meer menselijke inzet vereisen.

Natuurlijk zijn er meer toeters en bellen die deel kunnen uitmaken van een SOAR-systeem, maar beschouw de bovenstaande lijst als de must-haves voor elk SOAR-hulpmiddel.

SOAR-voorbeeld uit de echte wereld: Reactie op phishing

Phishing-e-mails vormen niet alleen een grote bedreiging voor individuen, maar ook voor beveiligingsteams van ondernemingen, omdat sommige ervan goed genoeg zijn gemaakt om opzienbarende gegevensinbreuken uit te voeren. Met een SOAR-systeem kunnen bedrijven niet alleen phishing-aanvallen afweren, maar ze ook in de toekomst voorkomen.

Een SOAR-tool onderzoekt verdachte schadelijke e-mails door verschillende artefacten te extraheren en te analyseren, waaronder headerinformatie, e-mailadressen, URL's en bijlagen. Het triageert dan de dreiging om te bepalen of het een dreiging is, en zo ja, hoe ernstig die is.

Als de SOAR-tool vaststelt dat de e-mail kwaadaardig is, zal hij:

• Het blokkeren en alle andere instanties in andere mailboxen.
• Voorkomen dat uitvoerbare bestanden die verband houden met de e-mail worden uitgevoerd.
• Bron-IP-adressen of URL's blokkeren.
• Het werkstation van de getroffen gebruiker in quarantaine doen, indien nodig.

Natuurlijk kunnen SOAR-systemen niet garanderen dat ze elke phishing-e-mail vangen en blokkeren. Als er toch een doorkomt, kunnen de beveiligingsteams met behulp van casemanagement onderzoeken wat er is gebeurd en waarom, en die kennis gebruiken om de dreigingsdetectie van hun SOAR-systemen in de toekomst te verbeteren.

SOAR: Waar het op neerkomt

SOAR-systemen verkorten de onderzoeks- en reactietijd van uren tot minuten. Ze verminderen ook in hoge mate de organisatorische risico's door alleen de meest hoogwaardige dreigingsdata te gebruiken om de beveiligingsactiviteiten te stroomlijnen. Uiteindelijk maken ze een meer strategische toewijzing van menselijke analisten en menselijke inlichtingen mogelijk, waardoor bedrijven hun interne middelen kunnen maximaliseren en tegelijkertijd externe bedreigingen kunnen minimaliseren.