Security Orchestration Automation & Response

Security Orchestration Automation & Response

Security Orchestration, Automation & Response (SOAR) oplossingen brengen organisaties in stelling om informatie te verzamelen over securitydreigingen en helpen om te reageren op security incidenten, zelfs zonder tussenkomst van de mens. Het doel van het gebruiken van een SOAR oplossing is om de efficiency te verhogen van menselijk bediende en digitale security operations.


Neem voor meer informatie over Security Orchestration Automation & Response contact op met onze security consultants via +31 (0) 345 506 105, stuur een e-mail naar info@isoc24.com of vul ons contactformulier in door op onderstaande button te klikken.

SOAR platforms bestaan vaak uit 3 verschillende componenten. Deze componenten zijn security orchestration, security automation en security response.

  1. Security Orchestration
    Het is mogelijk om de oplossing te integreren en te koppelen met zowel de interne- als de externe middelen via ofwel ingebouwde ofwel special geschreven integraties en door middel van API’s. De typische systemen waar de oplossing mee kan worden gekoppeld zijn vulnerability scanners, endpoint protection oplossingen, gedragsanalyse systemen, firewalls, intrusion detectie oplossingen en zelfs ook SIEM oplossingen en externe threat intelligence feeds. Alle verzamelde data biedt een nog beter inzicht om dreigingen te kunnen detecteren en zelfs meer context toe te voegen voor betere onderlinge samenwerking. Het resultaat hiervan is dat er meer alerts en meer data wordt verzameld ten behoeve van analyse en verrijking. Het samenvoegen van data teneinde het initiële response process te kunnen opstarten vindt plaats binnen het security orchestration process. Het security automation proces zorgt ervoor dat de juiste acties worden genomen.
  2. Security Automation
    De alerts en data afkomstig uit het security orchestration proces worden door het security automation proces ingelezen en geanalyseerd. In dit proces wordt het veelal repetitieve en handmatige proces vervangen door een geautomatiseerd proces. Taken die voorheen door analisten uitgevoerd warden zoals log analyse, het onderzoeken van tickets, de auditing activiteiten en vulnerability scanning kunnen worden gestandaardiseerd en automatisch uitgevoerd worden door het SOAR platform. Er wordt gebruik gemaakt van Machine learning en ‘kunstmatige intelligentie (AI)’ om de verkregen inzichten vanuit analisten verder te ‘ontcijferen’ en toe te passen in het proces zodat goed doordachte besluiten kunnen worden genomen door het SOAR systeem en de nodige aanbevelingen te doen met betrekking tot toekomstige geautomatiseerde acties. Het automation proces kan zelfs het dreigingsniveau naar een hoger niveau zetten in situaties waar bijvoorbeeld menselijke interventie benodigd is. Om ervoor te zorgen dat het SOAR proces goed verloopt zijn goed werkende playbooks absoluut essentieel. De specifiek op maat samengestelde playbooks zijn als het ware al voor gedefinieerde ‘geautomatiseerde’ acties. Een combinatie van meerdere SOAR playbooks kan met elkaar worden verbonden teneinde complexe acties te kunnen opstarten. Bijvoorbeeld in het geval waarin een verdachte URL gevonden wordt in een e-mail van een bepaalde medewerker en deze wordt gesignaleerd tijdens een scan kan er een playbook worden geïnitieerd waarmee de mail wordt geblokkeerd, de medewerker wordt geïnformeerd over de phishing actie en het IP adres van de zender op de blacklist wordt geplaatst. De acties ter opvolging vanuit het security team kunnen ook door de SOAR worden getackeld mocht dit noodzakelijk zijn natuurlijk. In het voorgaande phishing voorbeeld zou de follow-up bijvoorbeeld kunnen inhouden dat er in de mailboxen van andere medewerkers van de organisatie wordt gezocht naar vergelijkbare e-mails en ook de zender(s) van deze berichten op de blacklist worden geplaatst mochten deze worden gevonden.
  3. Security Response
    Één enkel overzicht voor analisten in het process van planning, monitoring en rapportage van de acties die uitgevoerd zijn nadat er een dreiging gedetecteerd is en deze in het security response proces is opgenomen. Dit proces omvat ook incident response acties zoals case management, rapportages en het delen van de opgebouwde threat intelligence.

Hieronder hebben wij de meest belangrijke voordelen van SOAR voor security operations afdelingen weergegeven:

  • Detectie van incidenten en reactietijden zijn veel sneller. De snelheid en het volume van security dreigingen en gebeurtenissen (events) groeit constant. De verbeterde data context vanuit het SOAR in combinatie met automation kan ervoor zorgen dat de ‘reparatietijd’ en responsetijd drastisch worden gereduceerd met als resultaat dat de impact van een dreiging verder wordt verlaagd.
  • Betere threat context. De integratie van meer data vanuit een bredere hoeveelheid systemen en middelen resulteert in het feit dat SOAR platformen meer context, een betere analyse en zeer up-to-date dreigingsinformatie kunnen leveren.
  • Versimpeld Beheer. SOAR platforms zijn extreem bruikbaar voor organisaties die de informatie uit de verschillende security systemen in één enkele interface willen onderbrengen. SecOps- en andere security teams worden ondersteund door het centraal verwerken en aanbieden van informatie waardoor het beheer wordt vereenvoudigd en kostbare tijd wordt bespaard.
  • Schaalbaarheid. Het kunnen schalen van de verschillende tijdsintensieve- en handmatige processen kan een wissel trekken op security personeel en in sommige gevallen is het zelfs onmogelijk om bij te blijven daar de security event informatie constant groeit. Het vermogen om te kunnen organiseren, automatiseren en door het gebruiken van de SOAR workflows kan beter het hoofd worden geboden aan schaalbaarheidseisen.
  • Het verhogen van de productiviteit van de analisten. Door voor de dreigingen met een lager dreigingsniveau automatisering toe te passen is minder betrokkenheid door de SecOps- en SOC teams nodig waardoor zij beter in staat zijn om de dreigingen te prioriteren en beter kunnen reageren op dreigingen die snelle menselijke interventie vereisen.
  • Stroomlijnen van het operations proces. Gestandaardiseerde playbooks en procedures die ervoor zorgen dat de low-level taken geautomatiseerd kunnen worden zodat SecOps teams in het zelfde tijdsbestek kunnen reageren op meer dreigingen. Deze workflows zorgen er ook voor dat dezelfde gestandaardiseerde reparatiepogingen organisatiebreed over alle systemen kunnen worden toegepast.
  • Rapportage en samenwerking. Het proces rondom de rapportage en analyse brengt informatie beter en sneller samen waardoor het data management proces verder wordt verbeterd met als resultaat dat betere respons kan plaatsvinden. Voordeel hiervan is dat de bestaande security programma’s en policies kunnen worden aangepast met als gevolg nog effectievere security. Het gecentraliseerde dashboard van het SOAR platform verbetert tevens het algehele proces rondom het delen van informatie over de, vaak binnen de organisatie verspreide, enterprise teams waardoor de communicatie en samenwerking tussen de teams verder wordt verbeterd.
  • Verlaging van de algehele kosten. Security analisten met SOAR middelen tot hun beschikking kunnen in veel gevallen voor kostenverlaging zorgen ten opzichte van hun collega’s zonder SOAR die elk proces rondom de detectie, analyse, response en rapportage van dreigingen handmatig moeten uitvoeren.

De uitdagingen tijdens het implementeren van een SOAR:

Het SOAR systeem zou onderdeel uit moeten maken van een goed geïmplementeerde verdedigingsstrategie aangezien de input van andere security systemen vitaal is om dreigingen beter te kunnen detecteren. SOAR is zeker geen ‘silver bullet’, noch een standalone systeem.

SOAR moet worden gezien als aanvullende technologie, zeker niet als een vervanging voor bestaande security middelen. SOAR is ook geen algehele vervanging voor menselijke acties, maar kan er zeker voor zorgen dat de workflows en skills van de analisten veel effectiever worden ingezet zodat sterk verbeterde incident detectie en -response kan plaatsvinden met ook nog eens een significante tijds- en kostenbesparing.

Een aantal andere aandachtspunten zijn als volgt:

  • Het ontbreken van een organisatie brede security strategie;
  • Verwachtingen zijn niet duidelijk geformuleerd;
  • De complexiteit rondom het inrichten en beheren van een SOAR oplossing;
  • Het gebrek aan, of gelimiteerde meetinformatie.

Gartner zegt het volgende over de meest belangrijke eigenschappen van een SOAR systeem:

  1. Vulnerability management en threat management technologieën die reparatie van kwetsbaarheden ondersteunen door middel van een geformaliseerde workflow-, samenwerkings- en rapportage mogelijkheden.
  2. Incident Response technologie die organisaties ondersteunt bij het plannen, beheren, volgen en coördineren van de response op security incidenten; en
  3. Security operation technologie die zorgt voor automatisering en orchestratie van processen, workflows, de executie van policies en rapportages.

Deze definitie is verder uitgeschreven door Gartner, zie hieronder:

  • Security incident response platforms, inclusief onder andere vulnerability management, case management, incident management, workflows, incident knowledge base, auditing en logging functies, rapportage en meer;
  • Security orchestration and automation, inclusief workflow automatisering, playbooks, integraties, playbook beheer, data verzameling, log analyse en account lifecycle beheer; en
  • Threat intelligence platforms, inclusief threat intelligence aggregatie, analyse en distributie, alert context verrijking en threat intelligence visualisaties.

SOAR vergeleken met SIEM

Zowel SOAR- als SIEM systemen aggregeren data vanuit een verscheidenheid aan bronnen maar beide oplossingen zijn niet gelijk aan elkaar. De SIEM oplossing verzamelt data, herkent afwijkingen, hangt een score aan dreigingen en genereert meldingen (alerts). Het SOAR systeem heeft deze taken ook maar voegt daar een aantal belangrijke aanvullende zaken aan toe. De SOAR platforms integreren met een veel breder scala aan zowel interne- als externe oplossingen, deze kunnen zowel security- maar ook non security gerelateerd zijn. SIEM systemen bieden enkel meldingen (alerts) aan security analisten tijdens een specifieke gebeurtenis.

iSOC24 heeft de SOAR oplossingen Swimlane, Rapid7, Logpoint en ThreatQ in haar portfolio.


Neem voor meer informatie over Security Orchestration Automation & Response contact op met onze security consultants via +31 (0) 345 506 105, stuur een e-mail naar info@isoc24.com of vul ons contactformulier in door op onderstaande button te klikken.