SOAR (security orchestration, automation and response) er den smarte reaktion på stigende IT-sikkerhedstrusler
Virksomheder opererer i lyset af voksende IT-trusler. Forskning tyder på, at 79% af alle organisationer globalt var udsat for et cyberangreb 2020, herunder cyberkriminalitet og nationalstatsangreb som i den grad er på fremmarch.
For at imødegå dette er CISO’er afhængige af et væld af sikkerhedsværktøjer og -teknikker. En typisk stor virksomhed kan bruge 15 eller flere separate og ikke-tilsluttede sikkerhedsværktøjer, men rækkevidden og mangfoldigheden af værktøjer i brug skaber en udfordring i sig selv.
Hvert værktøj skal administreres og vedligeholdes. Selvom de nyeste sikkerhedssystemer leverer vigtig operationel intelligens, risikerer sikkerhedsteams og sikkerhedsoperationscentre (SOCs) at blive overvældet af for mange data og for mange opgaver samtidigt med at antallet af sikkerhedstrusler fortsætter med at stige.
Vi risikerer at nå det punkt, hvor SOC’s arbejdsbyrder begynder at overstige kapaciteten hos den menneskelige analytiker. Resultat bliver heraf at organisationens sikkerhedsrespons bliver langsommere og mindre effektiv.
Indstillingen SOAR
En løsning, der i stigende grad foretrækkes af virksomhederne, er at investere i en integreret sikkerhedsplatform som SOAR.
SOAR eller Security Orchestration, Automation and Response samler efterretningsovervågning og hændelsesrespons sammen med andre relaterede værktøjer, der indfanger ”best practices”.
SOAR tilføjer en enkelt grænseflade til styring af flere leverandørers værktøjer og kombinerer advarsler i realtid og hændelsesdata med eksterne trussel-feeds.
Den nuværende generation af SOAR-teknologier understøtter indbygget realtidssamarbejde og integreres med kundeservicestyringsplatforme og kan standardisere og dokumentere handlinger under en hændelse.
Et andet og stadig vigtigere træk er understøttelse af automatisering. Den nyeste generation af SOAR-værktøjer bruger maskinlæring til at forbedre hændelsesresponsen. Hver gang en organisation står over for en trussel, bliver SOC mere effektiv efterhånden som maskinlæring opbygger viden om de mest effektive kommandoer.
Hurtigere svar, reducerede trusler
Samlet set kan de vigtigste funktioner i SOAR – samarbejde, integreret trusselsintelligens, automatisering, sagsstyring og playbooks til hændelsesrespons – føre til 90% hurtigere svartider for hændelser. De reducerer også antallet af indberetninger, der kræver menneskelig indgriben, med helt op til 95 %.
Dette forbedrer i høj grad SOC’s MTTR (Mean Time To Respond), som er et centralt mål for SOC effektivitet.
Reduktion af MTTR reducerer opholdstiden for et angreb eller hvor længe en modstander eller hacker forbliver i systemet før de opdages og deres aktiviteter lukkes ned.
Konsolidering af sikkerhedsværktøjer i en SOAR-platform giver også andre fordele. Det forbedrer synligheden på tværs af organisationen ved at binde trusselsefterretninger til hændelsesrapporter i realtid. Sammenkædning af interne datafeeds og ekstern trusselsinformation giver mere kontekst omkring sikkerhedshændelser og hjælper SOC med at prioritere de mest kritiske trusler.
Og automatisering gør det muligt for SOC-specialister at være mere proaktive. Teams kan hurtigt se, om systemer skal lappes eller om slutpunktsbeskyttelsen er opdateret. Det frigør menneskelige analytikere til at håndtere de mere komplekse hændelser og giver tid til andre opgaver, såsom at arbejde med interessenter i organisationen og forbedre sikkerhedsbevidstheden.
