Hoe u uw autonome SOC-strategie kunt opbouwen

Cyberbeveiliging
Autonomous SOC Strategy

Beveiligingsleiders bevinden zich in een lastige positie als ze proberen te onderscheiden hoeveel nieuwe AI-gestuurde cyberbeveiligingstools daadwerkelijk ten goede kunnen komen aan een Security Operations Center (SOC). De hype over generatieve AI is nog steeds alomtegenwoordig, maar beveiligingsteams moeten in de realiteit leven. Ze worden voortdurend geconfronteerd met binnenkomende waarschuwingen van eindpuntbeveiligingsplatforms, SIEM-tools en phishing-e-mails die door interne gebruikers worden gerapporteerd. Beveiligingsteams worden ook geconfronteerd met een acuut tekort aan talent.

In deze gids leggen we praktische stappen uit die organisaties kunnen nemen om meer van hun processen te automatiseren en een autonome SOC-strategie op te bouwen. Dit zou het acute tekort aan talent in beveiligingsteams moeten aanpakken, door gebruik te maken van kunstmatige intelligentie en machinaal leren met een verscheidenheid aan technieken. Deze systemen simuleren de besluitvormings- en onderzoeksprocessen van menselijke analisten.

Eerst zullen we doelstellingen voor een autonome SOC-strategie definiëren en vervolgens de belangrijkste processen overwegen die geautomatiseerd kunnen worden. Vervolgens zullen we verschillende AI- en automatiseringsproducten overwegen en ten slotte kijken naar een paar voorbeelden van hoe deze tools kunnen worden gebruikt als onderdeel van een autonome SOC-strategie.

Het doel van een autonome SOC-strategie

Het doel van de autonome SOC-strategie is om elke stap van de alarmtriage van begin tot eind te automatiseren, waardoor de risico's worden verminderd door onafhankelijk onderzoek, triage en oplossing zoveel mogelijk waarschuwingen zonder menselijke tussenkomst.

Het is belangrijk om hier verwachtingen te stellen: het doel van een autonome SOC-strategie mag niet zijn om ieder mens in een beveiligingsteam te vervangen door AI-technologie. Zoals bij elke goed afgeronde cyberbeveiligingsstrategie gaat het er uiteindelijk om de organisatie te beschermen door ‘mensen, processen en technologie’ te integreren. Geen enkele redelijke beveiligingsprofessional denkt dat we mensen uit die vergelijking kunnen halen.

U kunt denken aan een autonoom SOC dat functioneert als een extra team van Tier 1- of 2-analisten, waardoor de capaciteit en vaardigheden van uw team worden uitgebreid. Het systeem moet zo worden ontworpen dat kritieke bedreigingen voor menselijke analisten kunnen escaleren. Een autonoom SOC zou dat moeten doen werk voor mensenmet behulp van technologie die in uw processen past, uw werk eenvoudiger maakt en uw mogelijkheden vergroot.

6 belangrijke SOC-processen om te automatiseren

Ten eerste moeten we erkennen dat elke SOC anders is (we zullen het in de volgende sectie hebben over tools voor automatisering). U moet rekening houden met de specifieke behoeften van uw SOC, zodat u prioriteit kunt geven aan het automatiseren van de workflows die knelpunten veroorzaken of overweldig je team. Handmatige taken die repetitief en tijdrovend zijn, zijn belangrijke mogelijkheden voor automatisering.

Hier bekijken we zes belangrijke SOC-processen. Deze beschrijven wat we ons Autonome SOC zullen noemen:

  1. Monitor – Het Autonome SOC bewaakt en verzamelt voortdurend waarschuwingen van uw geïntegreerde beveiligingstools, zodat geen enkele potentiële bedreiging onopgemerkt blijft.
  2. Verzamel bewijs – Bij ontvangst van een inkomende waarschuwing verzamelt het Autonome SOC alle relevante gegevens die verband houden met de waarschuwing. Dat omvat bestanden, processen, opdrachtregels, bewijsmateriaal van procesargumenten, URL's, IP's, bovenliggende en onderliggende processen, geheugenafbeeldingen en meer.
  3. Onderzoeken – Het Autonome SOC analyseert elk verzameld bewijsmateriaal met behulp van AI en een verscheidenheid aan geavanceerde technieken. Dat omvat sandboxing, genetische code-analyse, statische analyse, open-source intelligence (OSINT), geheugenanalyse en reverse engineering. De resultaten van deze individuele analyses worden vervolgens samengevat in een samenhangende incidentbrede beoordeling met behulp van generatieve AI-modellen.
  4. Triage – Het Autonome SOC categoriseert het risico dat aan elke waarschuwing is verbonden en beslist op basis van de onderzoeksresultaten of deze moet worden geëscaleerd. Bovendien vermindert de Autonome SOC de ruis door valse positieven automatisch te corrigeren binnen de detectiesystemen, aangezien deze geen andere actie vereisen.
  5. Antwoorden – Ernstige bedreigingen worden onmiddellijk geëscaleerd naar de analisten. Voor alle bevestigde bedreigingen biedt het Autonome SOC beoordelingen, aanbevelingen en het aanmaken van tickets in het casemanagementsysteem. Deze omvatten detectie-inhoud en kant-en-klare jachtregels om het responsproces te begeleiden.
  6. Rapport – Het Autonome SOC genereert rapporten om uw team op de hoogte te houden en afstemmingssuggesties te geven, waardoor uw beveiligingsactiviteiten voortdurend kunnen worden verbeterd.

Bij deze stappen wordt technologie gebruikt om ‘autonoom’ waarschuwingen te doorzoeken, waarbij alleen de waarschuwingen worden geëscaleerd die echt menselijke analyse vereisen. Dit helpt bij het effectief beheren van een groot aantal waarschuwingen en vermindert de tijd die wordt besteed aan valse positieven drastisch.

SOC-automatiseringstools voor het bouwen van uw autonome SOC

Op praktisch niveau heeft u de juiste tools nodig om uw strategie uit te voeren. Laten we eens kijken naar enkele van de belangrijkste tools die u in uw systemen kunt integreren om een ​​stapsgewijs implementatieplan te ontwerpen.

  1. SOAR-producten: Dit is een gevestigde productcategorie, waarbij veel SOC-teams taken automatiseren met behulp van SOAR-tools (Security Orchestration, Automation, and Response). Het brengt uitdagingen met zich mee, omdat SOAR meestal zware engineering of het bouwen van complexe draaiboeken met zich meebrengt. Sommige SOAR's hebben onlangs AI geïntegreerd, of bieden kant-en-klare playbooks en tools zonder code die het automatiseren van sommige processen vereenvoudigen.
  2. Autonome SOC-producten: dit is een nieuwere productcategorie, die gebruikmaakt van native geautomatiseerde workflows en AI om waarschuwingen op te nemen, te onderzoeken en te beoordelen. De nieuwste startups in deze categorie zijn in 2023 of 2024 gelanceerd, met behulp van technologie gebaseerd op generatieve AI. Meer volwassen Autonome SOC-producten hebben generatieve AI geïntegreerd en gebruiken deze als aanvulling op kerntechnologieën zoals genetische analyse of machinaal leren.
  3. AI Co-Pilot-producten: Dit is de nieuwste categorie hier, die in 2023 opkwam. Nieuwe ‘co-piloot’-tools kunnen generatieve AI gebruiken om analisten te helpen, zodat ze gemakkelijk systemen kunnen bevragen om antwoorden te krijgen tijdens een onderzoek. Deze kunnen mogelijk worden geïntegreerd met andere tools, waardoor de reactie op incidenten wordt versneld of autonoom actie wordt ondernomen, maar het is niet duidelijk hoe effectief of populair deze AI-assistenten zullen worden.

Verschillende omgevingen vereisen verschillende tools, maar we bevinden ons op een punt waarop de tools steeds gemakkelijker te implementeren zijn en het haalbaar is om tools te selecteren die goed bij elkaar passen. De gebruikte beveiligingsproducten moeten de integratie met SOC-automatiseringstools ondersteunen om het automatiseren van onderzoeks- en waarschuwingstriageprocessen voor elk type waarschuwing mogelijk te maken.

Drie verschillende voorbeelden van autonome SOC-strategieën

Een autonome SOC-strategie moet aanpasbaar zijn, aangezien elk beveiligingsteam en elke organisatie andere behoeften heeft. Hier hebben we een paar voorbeelden van autonome SOC-strategieën, die laten zien hoe verschillende soorten beveiligingsteams of organisaties een autonome SOC-strategie kunnen implementeren.

Voorbeeld 1

Laten we dit scenario eens bekijken: een SOC-team beschikt al over een SOAR die enige automatisering biedt, maar hun workflows voor het beoordelen van waarschuwingen zijn niet volledig geautomatiseerd. Triage, onderzoeken en reacties worden afgehandeld door een klein intern team van SOC-analisten, met hulp van een uitbestede beheerde beveiligingsdienstverlener. Ze doen nog steeds veel handmatige taken, te veel valse positieven, en ze willen hun gemiddelde tijd om te reageren verbeteren. Ze willen niet nog meer processen automatiseren door complexere draaiboeken voor incidentrespons te bouwen en te onderhouden. Ze besloten een autonoom SOC-platform te gebruiken dat kan worden geïntegreerd met hun detectietools.

In de bovenstaande illustratie zien we de processen geautomatiseerd door het autonome SOC-product, dat een belangrijk onderdeel zal zijn van de strategie van dit team.

Ze beginnen door het te integreren met hun eindpuntbeveiligingsproduct om deze waarschuwingen te monitoren en te beoordelen. Ze testen de resultaten en bouwen vertrouwen op in hun autonome SOC-systeem voor eindpuntwaarschuwingen, waarbij ze hun SOAR gebruiken voor het escaleren van waarschuwingen en casemanagement. Met dit systeem bedraagt ​​de triagetijd voor eindpuntwaarschuwingen gemiddeld minder dan 2 minuten. Zodra de analisten er zeker van zijn dat het autonome SOC-proces effectief is geïmplementeerd, integreert het team het autonome SOC-product om ook door gebruikers gerapporteerde phishing-e-mails en SIEM-waarschuwingen op te nemen en te beoordelen.

Voorbeeld #2

Laten we vervolgens eens kijken naar een SOC-team in een Managed Detection and Response-provider. Dit MDR-team ziet het adopteren van een AI-gestuurde strategie als een concurrentievoordeel om de klantenservice te verbeteren en de omzet te verhogen. Ze moeten waarschuwingen van veel klanten monitoren en beoordelen, die veel verschillende tools gebruiken voor detectie en respons.

Ze besloten een autonome SOC-strategie te implementeren, waaronder het gebruik van een autonoom SOC-product dat kan worden geïntegreerd met alle tools van hun klanten. Hierdoor kunnen ze elke waarschuwing vanuit meerdere klantomgevingen efficiënt monitoren, onderzoeken en beoordelen, wat snelle triagetijden oplevert, aangedreven door AI en automatisering. Door hun mogelijkheden uit te breiden met AI en automatisering kan het MSSP-team extra klanten aan boord krijgen en hogere waarschuwingsvolumes afhandelen, zonder de uitdagingen van het werven en inhuren van extra analisten. Na de implementatie van het autonome SOC-product kunnen ze ook het klantaanbod uitbreiden en nieuwe diensten bieden, zoals dekking voor door gebruikers gerapporteerde phishing-e-mails.

Voorbeeld #3

Laten we ons vervolgens een voorbeeld van een SOC-team voorstellen met een gevestigde autonome SOC-strategie. Het Autonomous SOC-product onderzoekt en triageert waarschuwingen van geïntegreerde detectiesystemen en de SOAR wordt gebruikt voor escalaties en casemanagement. Nadat deze tools volledig zijn geïmplementeerd, voegt het team een ​​AI-co-piloot toe om het beveiligingsteam te helpen meer informatie op te vragen.

Dit laat zien hoe deze tools in verschillende delen van een SOC zouden kunnen passen, maar het is minder realistisch omdat tools zoals AI-copiloten erg nieuw zijn en nog maar weinig teams ze effectief gebruiken.

3 voordelen van autonome SOC-producten

De processen voor het monitoren van waarschuwingen, onderzoeken en triage zijn voor veel SOC-teams belangrijke automatiseringsmogelijkheden. Omdat alarmtriageprocessen een aantal repetitieve en tijdrovende taken omvatten, maakt het stroomlijnen van deze werklast met een autonoom SOC-product analisten effectiever en efficiënter.

Autonome SOC-producten bieden een aantrekkelijke optie, vooral omdat ze zijn gebouwd om eenvoudig te implementeren en te integreren met andere beveiligingstools. Ze kunnen teams helpen bij het aanpakken van uitdagingen als gevolg van grote hoeveelheden waarschuwingen en tekorten aan talent.

Deze gespecialiseerde producten bieden drie belangrijke voordelen:

  1. Verminder het risico door ervoor te zorgen dat elk artefact en elke waarschuwing die wordt opgenomen uit geïntegreerde waarschuwingsbronnen uitgebreid wordt onderzocht en efficiënt wordt beoordeeld.
  2. Stel analisten in staat zich te concentreren op echte bedreigingen en waarschuwingsmoeheid te voorkomen door waarschuwingen te beoordelen met behulp van AI-automatisering om beslissingen te nemen en specifieke soorten waarschuwingen op te lossen.
  3. Escaleer de meest kritieke waarschuwingen via de autonome SOC-processen, waardoor belangrijke informatie wordt verstrekt en analisten prioriteit kunnen geven aan de respons op ernstige incidenten.

Uiteindelijk kunnen kunstmatige intelligentie en automatisering databronnen integreren om een ​​uniforme en geautomatiseerde triage-ervaring te bieden, onderzoeken te verbeteren, analisten te ondersteunen en de responstijden te versnellen. Er moet een autonome SOC-strategie worden ontworpen om deze geavanceerde technologieën te gebruiken om uw beveiligingsteam te ondersteunen en hun mogelijkheden uit te breiden.

Over Intezer

Intezer is een toonaangevende leverancier van AI-aangedreven technologie voor autonome beveiligingsoperaties. Met een focus op innovatie en kwaliteit is het Autonomous SOC Platform ontworpen om incidenten te onderzoeken, triagebeslissingen te nemen en bevindingen over ernstige bedreigingen te escaleren, zoals een deskundige Tier 1 SOC-analist (maar zonder burn-out, vaardigheidstekorten en waarschuwingsmoeheid).

Tot de klanten van Intezer behoren Fortune 500-bedrijven zoals Adobe en Equifax, middelgrote bedrijven en MSSP's die het Autonomous SOC Platform van Intezer gebruiken om waarschuwingen te beoordelen en hun Tier 1 SOC-processen volledig te automatiseren.

In 2016 werd Intezer opgericht met als missie het onderzoeken en ontwikkelen van technologie om SOC-teams te helpen die te veel werk, te veel waarschuwingen en te weinig mensen hadden. Het Autonomous SOC Platform werd voor het eerst gelanceerd in 2022. De kerntechnologieën maken gebruik van een raamwerk voor kunstmatige intelligentie dat machinaal leren, generatieve AI en eigen genetische analyse omvat.

Wilt u meer weten? Boek een demo bij Intezer om het Autonomous SOC Platform met eigen ogen te zien.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Microsoft maakt zich zorgen over de deal van Apple met OpenAI

MediaTek kondigt Dimensity 7300 en Dimensity 7300X aan

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]