Hoe u de SOC-automatiseringsmatrix van Tines kunt gebruiken

Cyberbeveiliging
SOC Automation

De SOC Automation Capability Matrix (SOC ACM), gemaakt door John Tuckner en het team van het workflow- en automatiseringsplatform Tines, is een reeks technieken die zijn ontworpen om teams voor beveiligingsoperaties te helpen hun automatiseringsmogelijkheden te begrijpen en effectiever op incidenten te reageren.

Het is een aanpasbare, leveranciersonafhankelijke tool met lijsten met automatiseringsmogelijkheden. Het wordt sinds de lancering in januari 2023 gedeeld en aanbevolen door leden van de beveiligingsgemeenschap, met name door Airbnb-ingenieur Allyn Stott in zijn BSides en Black Hat-toespraak, Hoe ik leerde stoppen met piekeren en een modern detectie- en responsprogramma opbouwde.

De SOC ACM is vergeleken met de MITRE ATT&CK- en RE&CT-frameworks, waarbij een gebruiker zei: “Het zou een standaard kunnen zijn voor de classificatie van SOAR-automatiseringen, een beetje zoals het RE&CT-framework, maar met meer focus op automatisering.” Het wordt gebruikt door organisaties in Fintech, Cloud Security en daarbuiten, als basis voor het beoordelen en optimaliseren van hun beveiligingsautomatiseringsprogramma’s.

Hier gaan we dieper in op de werking van het SOC ACM en delen we hoe u deze in uw organisatie kunt gebruiken.

SOC-automatisering

Wat is de SOC-automatiseringsmogelijkhedenmatrix?

De SOC Automation Capability Matrix is ​​een interactieve reeks technieken waarmee teams voor beveiligingsoperaties proactief kunnen reageren op veelvoorkomende cyberbeveiligingsincidenten.

Het is geen lijst met specifieke gebruiksscenario’s die verband houden met een bepaald product of dienst, maar een manier om na te denken over de mogelijkheden die een organisatie zou kunnen volgen.

Het biedt een solide basis voor beginners om te begrijpen wat er mogelijk is met beveiligingsautomatisering. Voor meer geavanceerde programma’s dient het als inspiratiebron voor toekomstige implementaties, als hulpmiddel om succes te meten en als middel om resultaten te rapporteren.

Hoewel de tool leveranciersonafhankelijk is, past het goed bij een platform als Tines, dat is ontwikkeld door beveiligingsprofessionals om collega-beveiligingsprofessionals te helpen hun bedrijfskritische processen te automatiseren.

SOC-automatisering

Hoe werkt de SOC Automation Capability Matrix?

De SOC ACM is opgesplitst in categorieën die automatiseringsmogelijkheden bevatten.

Elke mogelijkheid omvat:

  • Beschrijving – een kort overzicht van wat de mogelijkheid doet
  • Technieken – technologie-agnostische ideeën voor het implementeren van de mogelijkheid
  • Voorbeelden – relevante workflowsjablonen uit de Tines-bibliotheek
  • Referenties – ander onderzoek dat bijdraagt ​​aan het vermogen

Het raamwerk leest van links naar rechts en van boven naar beneden binnen categorieën. Hoewel er minimaal een mening bestaat over welke capaciteiten de meeste waarde opleveren of gemakkelijker te implementeren zijn, kan het raamwerk worden aangepast aan wat organisaties het meest waardevol vinden.

Elke capaciteit kan op zichzelf staan ​​in de matrix, maar het samenvoegen van vele capaciteiten kan veel complexere en impactvollere resultaten opleveren.

Hoe u de SOC-automatiseringsmogelijkhedenmatrix gebruikt

Vervolgens illustreren we hoe u de SOC ACM kunt gebruiken, waarbij we de phishing-reactie als voorbeeld nemen. Veel organisaties gebruiken meerdere technieken om verdachte berichten te vinden en te analyseren, zodat ze op passende wijze kunnen reageren op kwaadaardige e-mails.

Om te beginnen volgen hier enkele processen die een routinematig phishing-onderzoek kan omvatten:

  1. Ontvang een phishing-e-mail of -melding
  2. Stuur een melding naar het beveiligingsteam voor verwerking
  3. Maak een ticket aan om de analyse bij te houden en vast te leggen
  4. Bekijk de elementen van de e-mail, inclusief bijlagen, koppelingen en kopteksten van e-mailberichten
  5. Indien verdacht, verwijder dan de e-mail en voeg functies toe aan blokkeerlijsten
  6. Stuur een melding naar de ontvanger met een statusupdate

Binnen de matrixmogelijkheid verschijnen Phishing-waarschuwingen in de sectie Waarschuwingsafhandeling; het vermeldt dat veel organisaties tools zoals e-mailbeveiligingsgateways implementeren om te voorkomen dat verdachte e-mails in hun inbox worden afgeleverd, terwijl ze ook waarschuwingen genereren voor aanvalscampagnes die kunnen worden geautomatiseerd.

SOC-automatisering

De mogelijkheid schetst ook een strategie om een ​​doelgerichte inbox te creëren waarin gebruikers gemakkelijk phishing-e-mails kunnen doorsturen die mogelijk door de filters zijn gepasseerd. Het implementeren van beide mogelijkheden biedt de mogelijkheid om een ​​automatiseringsworkflow te starten.

Zodra een verdacht bericht is geïdentificeerd, hetzij via de gebruikersrapportage of via een gegenereerde waarschuwing, komen er meer automatiseringsmogelijkheden beschikbaar. Eén aanbeveling is om zo snel mogelijk een locatie te creëren waar u de levenscyclus van elke waarschuwing kunt volgen.

Door gebruik te maken van de mogelijkheid voor trackinglocatie in de sectie Problemen volgen, kunnen we identificeren waar deze waarschuwingen moeten worden geregistreerd, bijgewerkt en gerapporteerd. Merk op hoe de workflow nu tussen secties van de Automation Capability Matrix is ​​verplaatst om het proces uit te breiden.

SOC-automatisering

Nu de waarschuwings- en trackinglocatie is bepaald, kunnen we overgaan tot een grondige analyse van de phishing-waarschuwing in kwestie. Phishing-e-mails bevatten doorgaans mogelijk kwaadaardige bijlagen en verdachte links om authenticatiemateriaal te bemachtigen en worden doorgaans verzonden vanuit vervalste bronnen.

Als we de verrijkingsfase ingaan, willen we ons concentreren op het benutten van minimaal een paar belangrijke mogelijkheden: domeinanalyse voor eventuele koppelingen in de hoofdtekst van de e-mail, bestandshashanalyse/bestandsanalyse om eventuele bijlagen bij de e-mail te bekijken, en e-mailattributen voor kijk dieper in de e-mailheaders op tekenen van e-mails van vervalste adressen.

Voor verrijkingsmogelijkheden groeit het aantal opties voor API-gestuurde tools en services die kunnen worden gebruikt om deze mogelijkheden te bieden exponentieel. Enkele veel voorkomende opties zijn VirusTotal voor bestanden, URLscan voor domeinen en EmailRep voor afzenderinformatie. Elk van deze verrijkingsresultaten kan worden vastgelegd op de bijbehorende trackinglocatie die eerder is geïdentificeerd om de resultaten te documenteren en analisten inzicht te geven in de resultaten.

Dit laat zien hoeveel mogelijkheden uit dezelfde sectie kunnen worden toegepast op dezelfde automatiseringsworkflow, in dit geval om analisten zoveel mogelijk informatie te bieden.

SOC-automatisering

Nadat de verrijking heeft plaatsgevonden, kan er al een oordeel zijn geveld, maar het is waarschijnlijker dat de kwestie een snelle beoordeling door een analist vereist. Op dit punt wordt de sectie Gebruikersinteractie van cruciaal belang.

Om te beginnen kunnen we Chat Alerts gebruiken om het beveiligingsteam in een Slack-kanaal op de hoogte te stellen dat er een phishing-e-mail is binnengekomen en dat er een trackingprobleem is gecreëerd, waarbij verschillende verrijkingsdetails zijn toegevoegd naarmate aanvullende context gereed is voor beoordeling.

Dat zorgt voor het informeren van het beveiligingsteam, maar hoe zit het met het updaten van gebruikers die mogelijk getroffen zijn of die de e-mail hebben gerapporteerd? Phishing-reactieprocessen zijn vooral uniek omdat veel organisaties gebruikers actief trainen in het melden van e-mails die zij mogelijk als verdacht beschouwen. Het informeren van deze gebruikers binnen een kort tijdsbestek met een zelfverzekerd oordeel is een geweldige manier om activiteiten mogelijk te maken, zoals het snel laten ondertekenen van gevoelige documenten of het voorkomen van massale malware-uitbraken.

Om dit te doen, kunnen we de functie Gebruikersmelding gebruiken om de gebruiker die de e-mail heeft gerapporteerd te identificeren en hem de resultaten van de e-mailanalyse te verstrekken. In het geval van gebruikersinteractie gaat het niet alleen om extra kennisgeving aan het beveiligingsteam, maar ook om het vergroten van het bereik en het in staat stellen van anderen met realtime informatie om de juiste beslissingen te nemen.

SOC-automatisering

Op dit moment hebben er veel activiteiten plaatsgevonden en hebben we veel kennis tot onze beschikking. Hoewel meer informatie altijd nuttig is, is het op de juiste manier handelen uiteindelijk het belangrijkste, wat resulteert in de herstelfase. Veel van de datapunten (indicatoren) die we eerder hebben verzameld, kunnen worden gebruikt voor herstelmaatregelen. Afhankelijk van hoe de situatie zich heeft ontwikkeld, kunnen we een aantal van de volgende stappen ondernemen:

  • Domeinblokkeringslijst: Voeg domeinen en URL’s die als verdacht zijn geïdentificeerd toe aan een blokkeerlijst.
  • Bestandshash-blokkeerlijst: voeg eventuele bestandshash toe die als schadelijk is geïdentificeerd aan een blokkeerlijst.
  • E-mail verwijderen: verwijder e-mails gerelateerd aan een aanvalscampagne uit inboxen.
  • Wachtwoord ongeldig maken: Wijzig de wachtwoorden van gebruikers waarvan is vastgesteld dat ze inloggegevens hebben ingediend bij een phishing-website.
SOC-automatisering

De sleutel tot elk herstel is weten wat mogelijk is en klein beginnen, vooral wanneer automatisering wordt gebruikt om vertrouwen op te bouwen. Eén manier om dit te doen is door koppelingen of knoppen aan te bieden waarop handmatig moet worden geklikt om herstelacties uit te voeren, maar op een herhaalbare manier. Als u volledige automatisering wilt introduceren, biedt het bijhouden van lijsten met verdachte domeinen die kunnen worden geblokkeerd u veel nut en weinig risico, en kan het snel worden opgelost met weinig algemene impact als er fouten optreden.

Als we het proces van begin tot eind bekijken, hebben we de volgende mogelijkheden gebruikt om cruciale acties voor veel cyberbeveiligingsteams te helpen automatiseren:

  • Phishing-waarschuwingen
  • Volglocatie
  • Bestandshash-analyse
  • Domeinanalyse
  • E-mailattributen
  • Chatwaarschuwingen
  • Gebruikersmelding
  • Domeinblokkeringslijst
  • Bestand-hash-blokkeerlijst
  • E-mail verwijderen
  • Wachtwoord ongeldig maken

Een belangrijk voordeel van het ontwikkelen van deze mogelijkheden in uw organisatie om één enkel proces, zoals phishing, aan te pakken, is dat veel van deze mogelijkheden nu beschikbaar zijn voor hergebruik voor aanvullende doeleinden, zoals het detecteren van malware of het afhandelen van verdachte logins, waardoor elke volgende automatiseringsmogelijkheid eenvoudiger wordt.

SOC-automatisering

Het aanpassen van de matrix

De SOC ACM is ook beschikbaar op GitHub voor degenen die deze liever zelf uitvoeren of bijdragen.

Zo kan het SOC ACM volledig worden aangepast aan uw wensen. Dit bevat:

  • Nieuwe categorieën en mogelijkheden toevoegen
  • Reorganiseren volgens uw prioriteiten
  • Het volgen van automatiseringsworkflows die aansluiten bij deze mogelijkheden
  • De configuratie exporteren
  • Donkere en lichte modus

Ook kun je verschillende omgevingen of verschillende organisaties anders beoordelen door aparte borden te maken. Als uw organisatie bijvoorbeeld een bedrijf overneemt met andere capaciteiten dan het uwe, kunt u de matrix gebruiken om die omgeving geheel anders te visualiseren.

Al deze configuratie kan vanwege privacy lokaal in uw browser worden opgeslagen. Naast het exporteren van de configuratie, kunt u deze ook importeren om eerdere beoordelingen nieuw leven in te blazen, allemaal zonder inlogaccount en zonder enige tracking.

Het SOC ACM als rapportagetool

Teams die toegang hebben tot de SOC ACM op GitHub kunnen de matrix ook gebruiken om visueel aan te tonen waar ze zich bevinden in hun automatiseringstraject en om de waarde van hun automatiseringsprogramma te communiceren met leiderschap en andere belangrijke belanghebbenden.

Al snel na het implementeren van een aantal mogelijkheden zullen teams begrijpen welke mogelijkheden ze het meest gebruiken, de bijbehorende activiteiten en de waarde ervan, zoals bespaarde tijd of verminderde responstijd. Hierdoor kunnen ze resultaten delen met relevante teams en beslissen wat ze als volgende prioriteit willen geven.

Casestudy: bijhouden van bespaarde tijd en uitvoeringen om waarde aan te tonen met de SOC ACM

Op de Tines Roadshow: San Francisco vertelde de maker van de SOC Automation Capability Matrix, John Tuckner, hoe hij samenwerkte met een Fintech-bedrijf om hun automatiseringsprogramma te beoordelen en te verbeteren met behulp van de matrix. Ze vertelden Tuckner: “De Automation Capability Matrix helpt ons onze workflows te organiseren, te identificeren welke workflows ons de meeste tijd besparen en toekomstige kansen te benadrukken.”

Hoogtepunten:

  • 25 mogelijkheden geïmplementeerd en getagd
  • 10 workflows die gebruik maken van Slack slash-opdrachten met 2.000 uitvoeringen
  • Workflows voor het verzenden van multifactor-prompts zijn 721 keer uitgevoerd, wat een tijdbesparing van 6,5 uur per maand oplevert

Aanbevelingen:

  • Kijk naar het beheren van lijsten met IOC’s voor responsmogelijkheden, ‘IP-lijst’, ‘domeinlijst’ en ‘hashlijst’.
  • Documenteer en markeer de inspanningen die zijn geleverd in de tijd die is bespaard door gebruik te maken van case management.

Toekomstige staat – wat ze anders gaan doen:

  • Gedistribueerde waarschuwingen en gebruikersinteractie via Slack aanpakken
    • Gebruikersmelding
    • Reactie van gebruiker
  • Beveiliging bijwerken Slack-kanaal en incidentrapportage om een ​​Slack-bot te gebruiken en rapporten en vragen naar het juiste subteam te routeren
    • Noodbronnen op de hoogte stellen
    • Getimede escalaties
    • Slash-opdrachten
  • Voeg meer responsacties toe via Tines-automatisering via onze Slack-bot
    • Verzameling van artefacten
    • MFA-apparaat uitschakelen
    • Asset opzoeken (niet alleen eindpunten, moeten cloud-assets bevatten)

De SOC Automation Capability Matrix is ​​een nuttig hulpmiddel voor teams in alle stadia van hun automatiseringstraject en biedt inspiratie voor hun volgende automatiseringsbuilds en een manier om hun automatiseringsprogramma te beoordelen.

Als je de SOC Automation Capability Matrix in meer detail wilt verkennen, kun je deze vinden op Notion, gehost door het Tines-team.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Meta werkt aan een AI-polsbandje dat hersensignalen kan lezen

Hoe AI een revolutie teweegbrengt in de beveiliging van smartphones

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]