Uw investeringen maximaliseren door beveiligingsautomatisering

Laten we eerlijk zijn, we hebben het al jaren over beveiligingsautomatisering. We hebben geworsteld met wat, wanneer en hoe te automatiseren. We hebben het onderwerp mens versus machine besproken. En op bepaalde momenten, wanneer we zijn "verbrand" (automatisch automatisch afsluiten van systemen per ongeluk), hebben we ons afgevraagd of er überhaupt plaats is voor automatisering. Maar diep in ons hart weten we al jaren dat automatisering de toekomst heeft. Nu is de toekomst hier.

Hoewel de meeste organisaties op zijn minst een minimale automatisering van de belangrijkste processen voor beveiliging en incidentrespons (IR) hadden, dienden de gebeurtenissen van 2020 als een omslagpunt, zegt Noor Boulos van ThreatQuotient . De nieuwe SANS rapport bespreekt hoe de wereldwijde pandemie veel organisaties dwong hun plannen voor automatisering te versnellen, waar ze prioriteit geven aan hun investeringen en de plannen die ze voor de toekomst hebben. Het onderzoek omvatte bedrijven van elke omvang, die een diverse mix van industrieën vertegenwoordigen en met activiteiten in Noord-Amerika, Europa, Azië-Pacific en Afrika.

Enkele van de belangrijkste bevindingen zijn:

• Bijna een derde van de organisaties gaf aan dat hun plannen voor automatisering zijn versneld vanwege de COVID-19-pandemie.

• Meer dan 80% van de organisaties heeft ten minste gedeeltelijke automatisering van belangrijke beveiligings- en IR-processen, een stijging van 47% in 2020.

• Dieper boren, IR-processen zagen de grootste groei in automatisering, waarbij uitgebreide automatisering bijna 18% steeg, van 10,5% in 2020 naar 28,3% in 2021.

• Beveiligingsactiviteiten en verwerking van gebeurtenissen of waarschuwingen blijven het belangrijkste gebied voor automatisering, met 35,5% rapportage van uitgebreide automatisering.

• De toekomst ziet er rooskleurig uit voor beveiligingsautomatisering, waarbij 85% alleen al in de komende 12 maanden van plan is de belangrijkste beveiligings- en IR-processen te automatiseren.

Als u naar de toekomst kijkt en deze onderzoeksresultaten gebruikt om beter te begrijpen hoe u uw gebruik van automatisering binnen uw beveiligingsactiviteiten kunt uitbreiden, is het belangrijk om te overwegen wanneer u automatisering binnen de beveiligingslevenscyclus moet toepassen om de bedrijfswaarde te maximaliseren.

Bij ThreatQuotient zijn we er lang van overtuigd geweest dat data de levensader zijn van detectie en responsautomatisering, dus de sleutel tot effectieve automatisering begint bij data. Laten we de twee primaire use-cases in het rapport, Alert Triage en Incident Response, als voorbeelden nemen.

Waarschuwingstriage:

Analisten worden overspoeld door het aantal waarschuwingen dat menselijke aandacht vereist, gegenereerd door luidruchtige SIEM-regels en standaard verdedigingsinfrastructuur. In een poging om het volume en de snelheid van beveiligingswaarschuwingen die ze dagelijks moeten aanpakken te verminderen, passen analisten externe bedreigingsgegevens en bedreigingsinformatie rechtstreeks toe op de SIEM, maar de uitdagingen blijven bestaan ​​om twee belangrijke redenen.

Ten eerste is de hoeveelheid externe dreigingsgegevens onthutsend. Het rechtstreeks verzenden van al deze gegevens naar de SIEM voor correlatie resulteert in tonnen niet-contextuele waarschuwingen, die elk veel onderzoek van een analist vereisen. Ten tweede is er een gebrek aan beslissingsondersteunende capaciteiten in de huidige tools om extra context en begrip te bieden om de relevantie te bepalen, voordat feeds voor bedreigingsinformatie rechtstreeks op de SIEM worden toegepast. Prioritering is noodzakelijk om te focussen en te bepalen welke volgende acties moeten worden ondernomen tijdens het triageproces voor waarschuwingen.

Met het ThreatQ Platform kunt u de uitdaging van waarschuwingstriage aangaan en de nutteloze waarschuwingen stoppen voordat ze plaatsvinden door ALLEEN dreigingsinformatie te verstrekken die relevant is voor de organisatie. Door automatisch context, relevantie en prioritering toe te passen op dreigingsgegevens voordat deze worden toegepast op de SIEM, wordt de SIEM efficiënter en effectiever.

Aangepaste scores voor dreigingsinformatie op basis van parameters die u instelt, in combinatie met context, maakt prioritering mogelijk op basis van wat relevant is voor uw specifieke omgeving. Nu, met behulp van een subset van bedreigingsgegevens die zijn samengesteld in bedreigingsinformatie, stelt de extra overlay de SIEM in staat om minder valse positieven te genereren en minder schaalbaarheidsproblemen op te lossen.

Reactie op incident:

De huidige benadering van Security Orchestration, Automation and Response (SOAR) is gericht op het automatiseren van processen. De uitdaging is dat procesgerichte playbooks, wanneer ze worden toegepast op detectie en respons, inherent inefficiënt en complex zijn, omdat de besluitvormingscriteria en logica in de playbooks zijn ingebouwd en in elk playbook updates moeten worden aangebracht. Deze complexiteit groeit exponentieel naarmate je het aantal playbooks vergroot. Het automatiseren en orkestreren van gegevens met ruis versterkt alleen maar de ruis.

Met ThreatQ TDR Orchestrator kunt u een vereenvoudigde, gegevensgestuurde benadering van SOAR hanteren, waarbij de gegevens, of informatie, de initiatie van het draaiboek stimuleren en gegevens die zijn geleerd door ondernomen acties, worden gebruikt voor analyses en om toekomstige reacties te verbeteren. Door de "smarts in het platform" en niet individuele playbooks te plaatsen, wordt de configuratie en het onderhoud eenvoudiger en wordt de automatisering efficiënter en effectiever. Gebruikers kunnen vooraf gegevens beheren en prioriteren, automatiseren wat relevant is en de ondernomen acties vereenvoudigen.

De auteur is  Noor Boulos van ThreatQuotient