Resource

Wat is SOAR?

Security Orchestration, Automation and Response uitgelegd

SOAR staat voor Security Orchestration, Automation and Response en stelt organisaties in staat om beveiligingswerkzaamheden op drie belangrijke gebieden te stroomlijnen:

  1. Threat en vulnerability management;
  2. Incident response; en
  3. Automatisering van beveiligingswerkzaamheden.

Een verzameling software oplossingen en -tools stelt organisaties in staat om automatisch input te verzamelen die door het security operations team (SOC) wordt gecontroleerd en om gestandaardiseerde oplossingen te definiëren.

Security Orchestration, Automatisering en Response in detail

Om een beter grip te krijgen op wat SOAR inhoudt, zetten we de drie onderwerpen hieronder uiteen.

Security automation

Security Automation is de automatische uitvoering van beveiligingstaken - zoals het scannen op kwetsbaarheden of het zoeken naar logboeken - zonder menselijke tussenkomst. Informatie wordt automatisch opgehaald uit geavanceerde detectiesystemen en Security Information en Event Management (SIEM).

Security orchestration

Security orchestration heeft betrekking op de manier waarop alle beveiligingstools met elkaar verbonden zijn. Zelfs verschillende beveiligingssystemen zijn geïntegreerd. In deze laag stroomlijnt SOAR alle beveiligingsprocessen.

Security response

Security response betekent dat automatisering helpt bij het definiëren, rangschikken en uitvoeren van standaard incidentbestrijding op basis van vooraf gedefinieerde beleidsregels. Bijvoorbeeld: apparaten isoleren en endpoints herstellen om bedreigingen te elimineren. Deze reacties vormen een nauwkeurig evenwicht tussen menselijke en machinale kracht. De machine reageert automatisch op bepaalde gestandaardiseerde incidenten, maar maakt menselijke tussenkomst of besluitvorming in kritieke situaties mogelijk.

Waarom hebben organisaties SOAR-beveiliging nodig?

Veel organisaties hebben moeite om bedreigingen het hoofd te bieden. Hun SOC's worden voortdurend gebombardeerd met waarschuwingen uit verschillende bronnen. Iedereen in de organisatie beseft het ernstige zakelijke risico van onvoldoende beveiliging, maar toch is het moeilijk om getalenteerde beveiligingsexperts te vinden.

Voor de meeste bedrijven groeit de architectuur voor cybersecurity organisch als er een nieuwe server, tool of software wordt toegevoegd. Als gevolg daarvan zijn er tientallen beveiligingsproducten van verschillende leveranciers en technologieën actief en hebben ze allemaal hun eigen beveiligingsdomein gecreëerd. In deze situatie moeten security officers vaak handmatig aanvallen bestrijden omdat de tools niet zijn geïntegreerd en dus ook niet geautomatiseerd zijn.

Deze terugkerende en tijdrovende processen zijn vrij saaie taken voor beveiligingsprofessionals. Wanneer je goede beveiligingsexperts hebt gevonden, wil je niet het risico lopen om ze te verliezen door deze vervelende procedures. Met SOAR kun je hen uitdagen om relevante gegevens te verzamelen en te analyseren en nauwkeurige automatische reacties te definiëren. Als SOAR eenmaal is geïnstalleerd, kun je meer bereiken in minder tijd.

Ontwikkeling van SOAR

Vanwege cyber dreigingen, bedrijfsrisico's en de schaarste aan goede beveiligingsexperts is SOAR de afgelopen jaren van vroege adoptie tot mainstream gegroeid. Volgens de SOAR-marktgids van Gartner "zal tegen het einde van 2022 30% van de organisaties met een beveiligingsteam van meer dan vijf personen gebruik maken van SOAR-instrumenten in hun beveiligingsactiviteiten (in vergelijking met minder dan 5% in 2019)".

Om gelijke tred te houden met het huidige evoluerende dreigingslandschap in een markt waar het ontbreekt aan voldoende beveiligingsexperts, is SOAR-beveiliging de oplossing.

Het verschil tussen SOAR en SOAPA

Als je geïnteresseerd bent in SOAR, ben je waarschijnlijk ook de term SOAPA (Security Operations en Analytics Platform Architecture) tegengekomen. Het een kan niet functioneren zonder het ander. Omdat veel organisaties tientallen veiligheidsmaatregelen hebben verzameld voor het samenvoegen van software, tools en servers binnen hun IT-architectuur, heeft SOAR een architectuur nodig waarin al deze verschillende beveiligingspunten zijn aangesloten. Terwijl SOAR het proces is van het orkestreren, automatiseren en reageren op dreigingen, biedt SOAPA deze architectuur.

Het is de orchestratie laag die alle technologieën in staat stelt om samen te werken op het gebied van risico preventie, -detectie en -respons, maar het biedt ook ruimte voor het verzamelen van enorme hoeveelheden beveiligingsgegevens, die kunnen worden gebruikt voor allerlei analyses. Dit kan variëren van realtime dreigingsdetectie tot langetermijnonderzoek achteraf. Zoals je je kunt voorstellen, vereist dit een omgeving die gemakkelijk maanden of zelfs jaren aan beveiligingsgegevens kan bestrijken. Na het verzamelen koppelt SOAPA de gegevens aan analytische engines, die beginnen met het analyseren en vinden van patronen. Wanneer een probleem wordt gedetecteerd, geeft SOAPA het door aan de platform laag van de beveiligingsactiviteiten, die een geautomatiseerde taak in gang zet.

Sommige experts zeggen dat SOAR het proces is, anderen definiëren SOAR als een laag binnen de SOAPA-architectuur.

De voordelen van Security Orchestration, Automation en Response

Nu cyberdreigingen steeds geavanceerder worden en voor getrainde beveiligingsprofessionals steeds moeilijker te vinden, willen organisaties manieren onderzoeken om de beveiliging niet alleen te verbeteren, maar ook te vereenvoudigen. SOAR-beveiliging biedt adequate beveiliging op de juiste schaal en voor de juiste prijs.

SOAR:

  • Vermindert de verstoring van de activiteit met een geautomatiseerde en bliksemsnelle reactie op veiligheidsincidenten;
  • Vermindert de totale kosten van incidenten;
  • Verbetert de efficiëntie van je beveiligingsteam; en
  • Bespaart tijd en geld door het automatiseren van beveiligingsprocessen.

Waar te beginnen met SOAR?

Als jouw organisatie wat hulp kan gebruiken bij het opzetten van SOAR-beveiliging, dan heeft Infradata de experts in huis om je te helpen bij het opzetten en definiëren van je beveiligingsautomatisering. Bel ons gerust en bespreek de mogelijkheden voor jouw organisatie.

Contact met een expert

Spreek met een solutions expert of architect. Bel ons of laat een bericht achter. Ons team staat voor je klaar.

Pagina delen:

Deze website maakt gebruik van cookies. Door verder te gaan op de site ga je akkoord met ons gebruik van cookies. Lees meer