Pas aan waar het ertoe doet, automatiseer de rest

Cyberbeveiliging
SecOps

Er is een schijnbaar eindeloze zoektocht naar het vinden van de juiste beveiligingstools die de juiste mogelijkheden bieden voor uw organisatie.

SOC-teams besteden doorgaans ongeveer een derde van hun dag aan gebeurtenissen die geen enkele bedreiging vormen voor hun organisatie, en dit heeft de acceptatie van geautomatiseerde oplossingen versneld die de plaats innemen van inefficiënte en omslachtige SIEM’s (of deze aanvullen).

Omdat naar schatting 80% van deze bedreigingen in de meeste organisaties voorkomt, kunnen de huidige SOC’s vol vertrouwen vertrouwen op automatisering om dit grote percentage bedreigingssignalen af ​​te dekken.

Maar hoewel het waar is dat automatisering de efficiëntie en effectiviteit van beveiligingsteams aanzienlijk kan verbeteren, zal het nooit in staat zijn om alle detectie- en responsgebruikscasussen onfeilbaar te dekken.

In de onlangs uitgebrachte GigaOm Radar for Autonomous Security Operations Center (SOC) stellen ze terecht dat “het SOC niet volledig autonoom zal zijn – en ook niet mag zijn.”

Naarmate meer leveranciers proberen de dominante spelers in de SIEM-categorie uit te dagen, neemt de vraag toe naar oplossingen die automatisering bieden, wat 80% kan dekken, terwijl ze ook aanpassingsmogelijkheden bieden om op maat gemaakte gebruiksscenario’s te dekken – de resterende 20%.

DE 80%: AUTOMATISERING

Met de voortdurende toename van de wereldwijde gegevenscreatie zien organisaties onvermijdelijk een toename in het aantal waarschuwingen dat door beveiligingsteams wordt beheerd.

Dit lijkt misschien een uitdaging voor overwerkte beveiligingsteams, maar geavanceerde aanbiedingen van leveranciers implementeren automatisering in verschillende stadia van de SOC-workflow, waardoor teams hun snelheid en effectiviteit kunnen verbeteren.

De vier belangrijkste fasen waarin we automatisering zien zijn:

  • Gegevensopname en normalisatie: Door de gegevensopname en -normalisatie te automatiseren, kunnen teams grote hoeveelheden gegevens uit diverse bronnen efficiënt verwerken, waardoor een robuuste basis wordt gelegd voor daaropvolgende geautomatiseerde processen.
  • detectie: Door de verantwoordelijkheid voor het opstellen van een aanzienlijk deel van de detectieregels over te dragen, kunnen beveiligingsanalisten zich concentreren op bedreigingen die uniek zijn voor hun organisatie of marktsegment.
  • Onderzoek: Automatisering kan de last van handmatige en repetitieve taken verlichten, waardoor onderzoeks- en triageprocessen worden versneld.
  • Antwoord: Automatische reacties op bekende en ontdekte bedreigingen maken snelle en nauwkeurige mitigatie mogelijk. Dit kan connectiviteit met casemanagement, SOAR-oplossingen, ITSM, enz. omvatten.

Moderne leveranciers van SIEM-vervanging, zoals Hunters, maken gebruik van kant-en-klare detectieregels, integreren feeds met bedreigingsinformatie en verrijken en kruisen automatisch leads. Deze geautomatiseerde processen verlichten grote hoeveelheden vervelende werklasten, waardoor beveiligingsteams de grote meerderheid van de waarschuwingen eenvoudig kunnen beheren.

DE 20%: MAATWERK

Hoewel het automatiseren van de bovengenoemde fasen van de workflow voor veel SOC’s een enorme bijdrage heeft geleverd aan het verhogen van de efficiëntie, zal er altijd behoefte blijven aan een zekere mate van maatwerk.

Elke organisatie heeft op maat gemaakte behoeften en vereisten, afhankelijk van branche- of bedrijfsspecifieke gebruiksscenario’s. Dit betekent dat zelfs als geautomatiseerde en ingebouwde mogelijkheden 80% van de algemene gebruikssituaties en taken kunnen aanpakken, er aanvullende mogelijkheden nodig zijn om de resterende 20% te dekken.

‘Aanpassing’ kan veel verschillende dingen betekenen, maar de belangrijkste vereiste voor beveiligingsteams is dat ze zowel de flexibiliteit hebben om unieke gebruiksscenario’s af te dekken als de mogelijkheid hebben om hun mogelijkheden te schalen. Laten we eens kijken naar enkele voorbeelden van gebruiksscenario’s waarbij dit nuttig kan zijn:

  • Aangepaste gegevensbronnen opnemen: elke organisatie heeft meerdere gegevensbronnen die ze verwerken met verschillende logformaten. Veel leveranciers beschikken mogelijk niet over kant-en-klare integraties die ze uit elke afzonderlijke gegevensbron kunnen halen, dus als een leverancier deze mogelijkheid wel biedt, kan dat een enorme verbetering betekenen. Dit is vooral bedoeld voor organisaties die momenteel datameren gebruiken (of binnenkort zullen overstappen) om gegevens voor meerdere doeleinden te onderhouden.
  • Detectie als code: dit is een enorm modewoord geworden in de beveiligingsindustrie, maar met goede reden. Detectie-als-code biedt verschillende voordelen voor detectie-ingenieurs, zoals een verbeterde en efficiëntere ontwikkelingslevenscyclus, en voor grote organisaties om multi-tenancy-omgevingen effectiever te beheren. Als u niet bekend bent met het concept: detectie-als-code maakt gebruik van API’s en implementatiepijplijnen om de gewenste auditmogelijkheden te bieden, waardoor de ontwikkelingslevenscyclus voor beveiligingsoperaties veel dichter bij die van traditionele softwareontwikkeling komt te liggen. Deze aanpak verbetert de processen om teams te helpen waarschuwingen van hogere kwaliteit te ontwikkelen of code binnen uw organisatie te hergebruiken, zodat u niet elke nieuwe detector helemaal opnieuw hoeft te bouwen. Het zorgt er ook voor dat de detectie-engineering in de ontwikkelingslevenscyclus achterblijft, waardoor het niet meer nodig is om detectoren handmatig te testen en in te zetten.
  • Schaalbare bedrijfscontext: Of het nu gaat om entiteiten met specifieke gevoeligheidsniveaus (zoals kroonjuwelen), gegevens van verschillende bedrijfseenheden of verschillende geografische gebieden, of geïsoleerde gegevens uit verschillende bronnen: het kost veel tijd en moeite om informatie samen te voegen op een manier die begrijpelijk en bruikbaar is. Door gebruik te maken van een SIEM-alternatief waarmee u dit allemaal via API kunt beheren, wordt de efficiëntie en schaalbaarheid vergroot die niet elke leverancier biedt.

Conclusie

Het opbouwen van een effectief SOC is altijd een genuanceerde inspanning geweest en zal dat ook blijven.

Er bestaat geen one-size-fits-all oplossing als het gaat om beveiligingstools. Het is belangrijk om organisaties manieren te bieden om niet alleen aanpassingen aan te brengen voor hun gebruiksscenario’s, maar het is ook van cruciaal belang dat ze dit ‘maatwerk’ kunnen combineren met de reeds bestaande geautomatiseerde mogelijkheden die leveranciers bieden.

Het is een noodzaak geworden om leveranciers te zoeken die zowel een praktische benadering kunnen bieden voor het aanpassen van tools, maar dit ook kunnen doen op een manier om de autonome delen van hun aanbod te versterken.

Leveranciers van SIEM-vervanging zoals Hunters, die in het eerder genoemde rapport van GigaOm over autonome SOC tot leiders zijn benoemd, staan ​​bekend om hun eenvoudig te gebruiken en kant-en-klare mogelijkheden. En om ervoor te zorgen dat ze aan de behoeften van beveiligingsteams voldoen, blijven ze innovatieve aanpassingsfuncties toevoegen waarmee organisaties hun beveiligingsstrategie kunnen afstemmen op hun unieke vereisten.

Het afdekken van de 80% is van cruciaal belang, maar als u de resterende 20% aanpakt, zal uw beveiligingsteam boven de rest uitstijgen.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Pixel Watch 2 krijgt november-update met oktober-beveiligingspatch

De vernieuwing van Siri komt met talloze AI-integraties en -functies

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]