Hoe UiPath cyberbeveiligingsoperaties automatiseert voor een slimmere verdediging tegen bedreigingen

Bij hun plannen voor het komende jaar geven Chief Information Officers (CIO's) prioriteit aan cyberbeveiliging om hun organisaties te beschermen tegen steeds geavanceerdere bedreigingen.

Foundry's State of the CIO Study 2022 meldt dat "CIO's het komende jaar hun tijd en expertise zullen richten op beveiligingsbeheer. 76% verwacht dat hun betrokkenheid bij cyberbeveiliging het komende jaar zal toenemen, en 51% zegt dat ze zich momenteel in hun rol richten op beveiligingsbeheer." De toename van de mogelijkheden voor werken op afstand en de penetratie van digitale oplossingen tijdens de pandemie hebben ertoe geleid dat beveiligingsteams steeds meer cyberbeveiligingsproblemen op hun bord hebben gekregen.

Beveiligingsprofessionals kunnen momenteel verschillende toepassingen van kunstmatige intelligentie (AI) gebruiken voor tools voor IT-operaties (AIOps) en beveiligingsoperaties (SecOps) om de beveiligingspositie van hun organisaties voortdurend te verbeteren. Maar deze tools maken de end-to-end automatisering van beveiligingsactiviteiten niet mogelijk. Op een bepaalde dag kan een cybersecurity-ingenieur veel tijd besteden aan:

• Het definiëren en handhaven van beveiligingsregels en -beleid voor alle gebieden van de infrastructuur/omgeving

• Scannen op bedreigingen, kwetsbaarheden monitoren en aanvallen beperken

• Het uitvoeren van voortdurende beveiligingsaudits en het volgen van de toegangscontrole tot kritieke bronnen

Alertmoeheid blijft een probleem

Een team kan slechts een beperkt aantal waarschuwingen afhandelen voordat ze gemist worden.

Uit een onderzoek bleek dat “meer dan een derde van de IT-beveiligingsmanagers en beveiligingsanalisten bedreigingswaarschuwingen negeert wanneer de wachtrij vol is.”

Via IT-automatiseringsactiviteiten biedt UiPath eenvoudig te gebruiken, leveranciersonafhankelijke, robuuste mogelijkheden voor beveiligingsoperaties. In dit artikel worden deze mogelijkheden uitgelegd en hoe ze volledige beveiligingsorkestratie, automatisering en respons (SOAR) mogelijk maken.

Identiteitslevenscyclus

Bij de meeste bedrijven beheren IT-analisten gebruikersprofielen, rollen en toegangscontroles voor werknemers. Sommige van hun activiteiten omvatten onder meer het inrichten van gebruikers, het toevoegen/verwijderen van applicatietoegang, het opnieuw instellen van gebruikerswachtwoorden en het ontgrendelen van gebruikersaccounts.

UiPath beschikt over automatisering van de gebruikersinterface (UI) en API-integratie met grote tools voor identiteitstoegangsbeheer (IAM), zoals Microsoft Azure AD, om identiteitsbeheeractiviteiten zoals hierboven beschreven te automatiseren.

Gecombineerd met UI- en API-mogelijkheden die zich uitbreiden naar het servicebeheergebied, kan een UiPath Robot ook IT-servicemanagement (ITSM)-tickets monitoren. De robot kan taken starten op basis van de gedefinieerde trigger, de nodige gebruikersbeheeracties uitvoeren, het ITSM-ticket bijwerken en de gebruiker informeren over de oplossing.

Deze robots kunnen worden geïntegreerd met chatbots en communicatieplatforms zoals Slack om werknemers een realtime gesprekservaring te bieden. Het volgende diagram legt de processtroom van gebruikersbeheer uit:

Maakt UiPath gebruik van UiPath?

Absoluut! We automatiseren de processen die in de bovenstaande paragraaf worden beschreven intern.

Door het automatiseren van gebruikersbeheeractiviteiten kon ons ITOps-team hun werklast met meer dan 15% verminderen. Bovendien daalde de gemiddelde verwerkingstijd van ITSM-tickets van twee uur per ticket naar slechts twee minuten per ticket. Dat vertaalt zich in een afname van 98% in de tijd die wordt besteed aan het oplossen van tickets, waardoor het team tijd vrijmaakt voor complexere taken.

We hebben ook een IT Service Desk-chatbot geïntegreerd met Slack. De chatbot geeft werknemers een gesprekservaring zonder menselijke aanraking en lost gebruikers- en licentiebeheeractiviteiten binnen enkele minuten op zonder dat er helpdeskpersoneel nodig is.

Detectie en preventie van bedreigingen

Een ander belangrijk aandachtspunt voor beveiligingsprofessionals zijn detectie- en preventieactiviteiten. Uit een recent IBM-onderzoek blijkt dat “organisaties met een ‘volledig geïmplementeerde’ beveiligingsautomatiseringsstrategie gemiddeld $2,90 miljoen aan inbreukkosten hadden – terwijl organisaties zonder automatisering meer dan het dubbele van die kosten hadden, namelijk $6,71 miljoen.”

UiPath breidt de mogelijkheden voor beveiligingsautomatisering van bestaande tools voor beveiligingsoperaties uit. Met behulp van gebeurtenisgestuurde automatiseringsmogelijkheden kan een UiPath-robot worden geactiveerd vanuit de eindpuntdetectie en respons (EDR), uitgebreide detectie en respons (XDR), beveiligingsinformatie en gebeurtenisbeheer (SIEM) of andere tools voor beveiligingsmonitoring om herstelacties uit te voeren.

Omdat tools voor beveiligingsmonitoring een indicator van compromis (IoC) identificeren, zijn de tools mogelijk niet in staat acties uit te voeren op netwerksystemen zoals firewalls vanwege ontbrekende API-integratie of routeringsproblemen. In deze gevallen moet de beveiligingsanalist handmatig acties uitvoeren, zoals het blokkeren van IP-adressen in firewallsystemen.

Op dezelfde manier kunnen beveiligingsanalysatoren firewallregels beoordelen, maar kunnen ze de firewall- of NAT-regels (Network Address Translation) en NAT-objecten niet uitschakelen of verwijderen. Een UiPath-robot kan deze handmatige acties uitvoeren met behulp van UI- en API-mogelijkheden voor elk product dankzij onze leveranciersonafhankelijke automatiseringsmogelijkheden. 

Hoe zit het met e-mailphishing?

Onze robots kunnen e-mailthreads automatisch in quarantaine plaatsen en herstelacties activeren. Enkele van de gebieden voor detectie en preventie van bedreigingen die kunnen worden geautomatiseerd met behulp van UiPath zijn:

• Detectiecontroles

• Triage van potentiële dreigingen

• Geautomatiseerd herstel

• Beheer van kwetsbaarheden

• Eindpuntbescherming

We gebruiken dergelijke automatiseringen intern om waarschuwingen voor brute force-aanvallen te beheren die zijn gegenereerd vanuit bronnen als Azure Security Orchestration. We blokkeren ook elk jaar meer dan 20.000 brute force-aanvallen met behulp van onze eigen automatiseringen.

UiPath kan helpen bij het automatiseren van processen die meerdere systemen raken. In de onderstaande demovideo opent UiPath bijvoorbeeld tickets voor de belangrijkste systeemkwetsbaarheden. De robot gebruikt vier bedrijfssystemen (Tableau, Tenable, ServiceNow en SharePoint) om het proces te voltooien.

Incidentreactie

Zelfs de beste organisatorische hulpmiddelen die beveiligingsbedreigingen detecteren en voorkomen, zijn niet onfeilbaar. Beveiligingsincidenten komen regelmatig voor, en incidentresponsmanagement is de echte test voor de robuustheid van een beveiligingsteam.

Timing is van essentieel belang in geval van een inbreuk. Het eerder genoemde IBM-onderzoek valideert dat investeringen in incidentresponsactiviteiten de kosten van inbreuken verlagen, door te stellen dat “bedrijven met een incidentresponsteam dat ook hun incidentresponsplan testte, gemiddelde inbreukkosten van $3,25 miljoen hadden, terwijl bedrijven die geen van beide hadden geïnstalleerd, gemiddelde kosten van $5,71 miljoen ervoeren (wat neerkomt op een verschil van 54,9%.)”

Hier volgen enkele activiteiten die uw beveiligingsteam kan automatiseren als onderdeel van de incidentrespons: 

• Verwijder verdachte, met malware geïnfecteerde bestanden of plaats deze in quarantaine

• Voer een geolocatiezoekopdracht uit op een bepaald IP-adres

• Zoeken naar bestanden op een bepaald eindpunt

• Blokkeer een URL op perimeterapparaten

• Plaats een apparaat op het netwerk in quarantaine

• Informatie ophalen over eventuele gecompromitteerde gebruikers

Deze activiteiten helpen het herstel te versnellen en de reactieprocessen op incidenten te standaardiseren.

Controle en naleving

Alle organisaties moeten verschillende audits uitvoeren en ervoor zorgen dat ze voldoen aan industriestandaarden zoals SOX, HIPAA en GDPR. Als onderdeel van een audit moeten teams bewijsmateriaal verzamelen, informatie in kaart brengen en controles testen en beoordelen. U kunt veel van deze activiteiten automatiseren, vooral met betrekking tot de algemene IT-controle, door:

• Er wordt een lijst opgehaald van alle AD-gebruikers op basis van groepen, rollidmaatschappen en resource-eigendom 

• Het valideren van de scheiding van taken tussen de ontwikkelings- en implementatieprocessen van applicaties

We helpen niet alleen met audits; onze robots kunnen ook de nalevingsbehoeften monitoren. In plaats van te wachten tot de jaarlijkse auditactiviteiten, kunnen robots proactief controlefouten stoppen en de respectievelijke managers waarschuwen.

UiPath Robot kan u automatisch op de hoogte stellen in geval van overtredingen van de naleving. Het gebruik van gezondheidsinformatie die een persoon zou kunnen identificeren (bekend als beschermde gezondheidszorginformatie), is bijvoorbeeld niet toegestaan ​​of geautoriseerd op grond van de privacyregel van HIPAA-naleving. Dit verkleint het risico dat eenvoudige fouten of vergissingen de nalevingsinspanningen doen ontsporen. 

Het UiPath-automatiseringsplatform helpt ook bij interne rapportagemechanismen. Belanghebbenden kunnen de benodigde informatie verzamelen, uitgebreide rapporten genereren en deze documenten sneller en gemakkelijker dan voorheen verspreiden onder de juiste partijen.

We gebruiken intern robots voor het testen van SOX-compliance en het verzamelen van bewijsmateriaal via meerdere automatiseringen, waaronder meer dan 2.000 licentieafstemmingen. We leveren ook auditbewijs om de volledigheid, juistheid en het bestaan van de meer dan 1.000 facturen die zijn vastgelegd in ons NetSuite-systeem te beoordelen.

Beveiligingsactiveringspakketten en productpartnerschappen

Naast de native UiPath UI- en API-integratiemogelijkheden, hebben we verschillende vooraf gebouwde activiteitenpakketten en workflowpakketten beschikbaar om de automatisering van uw beveiligingsoperaties een vliegende start te geven. Deze kant-en-klare pakketten met slepen en neerzetten zijn gemakkelijk te begrijpen en te gebruiken.

UiPath heeft ook strategische partnerschappen met grote beveiligingsplatforms zoals CyberArk, CrowdStrike en eSentire. UiPath-robots kunnen native integreren met CrowdStrike om eindpuntdetectie en -respons met Falcon Insight mogelijk te maken. Integratie met eSentire maakt end-to-end automatisering van beveiligingsbeleid mogelijk voor meerdere Microsoft Security-services.

Bekijk onze recente blogpost en whitepaper om te zien hoe UiPath andere IT-gebieden automatiseert, inclusief operaties en ontwikkeling.