Vælg dit lokale marked
Gå til
Kontakt

Hvorfor security automation?

 

Home » Blog » Hvorfor security automation?
Peter Koch Peter Koch Security Evangelist
25. maj 2022

Det korte svar er, det giver den bedste risikoreduktion.

Hvor meget betyder det i økonomiske termer?

Security automation har sammen med AI vist sig at være den disciplin omkring cyber security, der giver den største risikoreduktion. Dette ses af IBM’s ’Cost of Data Breach’ rapport fra 2021, hvor netop denne komponent i studiet giver op til 57% cyber-risikoreduktion.

Så der er mange gode grunde til, at kunder bør interessere sig mere for security automation og AI, men…

Hvordan kan det være?

Mange faktorer spiller ind, når man taler om cyber-risiko og dermed cost of data breach

Ofte består en samlet cyber security infrastruktur af mange forskellige sikkerhedsproduktsiloer, der ikke taler sammen = høje menneskelige omkostninger til at binde det effektivt sammen, og af samme årsag ender det med ikke at blive gjort, hvilket efterlader synlige sikkerhedshuller i den samlede infrastruktur. Sikkerhedshuller, der er synlige for angriberne, der ved, hvor de skal lede.

Derudover er der en hel generel mangel på medarbejdere med cyber skills til at varetage opgaverne.

Angriberne har for længst tænkt automation ind i deres motorrum, men indtil videre har vi forsøgt at løse opgaven med at kaste flere arme og ben ind i at forsvare os. Men de fleste er nok klar over at bekæmpe automation med flere arme og ben, ikke er den rette tilgang at drage i kamp med.

Dette ses specielt på detection- og response-siden, hvor netop mængden af data og behovet for en hurtig indsats er en vigtig komponent i at reducere risikoen. Jo hurtigere angreb opdages og mitigeres des mindre risiko – og hurtig mitigering kræver automation.

Hvad dækker security automation over i lidt bredere termer?

Security Automation dækker grundlæggende over en række væsentlige discipliner omkring arbejdet med at holde en samlet security operation kørende og benævnes ofte ved produktkategorien SOAR (Security Automation, Orchestration and Response). En platform til at ’sætte strøm’ til virksomhedens sikkerhedsoperation – SOC eller SecOps.

Hvad er grunden til, at det er relevant i forbindelse med SOC?

For at forstå problemstillingen, hvorfor automation er en nødvendighed, er man nødt til at forstå opgaven en SOC sidder med.

Nedenfor er angivet nogle af de typisk opgaver for en SOC:

  • Overblik over virksomhedens aktiver
  • Håndtere sårbarheder og herunder sårbarhedsvurdering og whitelisting af virksomhedens aktiver
  • Vedligeholde den præventive beskyttelse – sikkerhedsrettelser, politikker, kigger efter insider trusler
  • Håndtere sikkerhedskontroller
  • Håndtere indsamling af sikkerhedslog fra infrastrukturen
  • Håndtere SIEM, detekteringsregler og vedligeholdelse af samme
  • Udføre log-analyse og sikkerhedsanalyser
  • Håndtere sikkerhedshændelser og kritikalitet
  • Foretage årsagsanalyse til, hvorfor sikkerhedshændelser sker og foretage politikforbedringer for at lukke hullerne
  • Analyse, undersøgelse og dokumentation af sikkerhedstrends
  • Håndtere pen test og bruge resultaterne til at definere kontrolforbedringer og sikre implementering i sikkerhedsinfrastrukturen
  • Håndtere compliance audit
  • Ekspertviden omkring sikkerhedsværktøjerne organisationen bruger fra en sikkerhedsvinkel inkl. 3.parts leverandører og sikre organisationen nemt kan løse sikkerhedsproblemerne
  • Håndhævelse af sikkerhedspolitikker og procedurer

Alle opgaver, der ligger langt udover, hvad en normal driftsorganisation kan håndtere og har ressourcer til. Den største af opgaverne er hele arbejdet fra indsamling af sikkerhedslogs til valide sikkerhedshændelser og håndteringen af disse.

En SOAR skaber automation mellem de forskellige opgaver og sætter strøm til processerne – i særdeleshed håndteringen af de mange sikkerhedshændelser eller indikatorer for sikkerhedshændelser, der fordrer en høj grad af automation i behandlingen for at lykkes.

Det ændrer dog ikke ved, at det kræver medarbejdere med de rette viden af håndtere platformen at forstå kontrollerne, arbejdet med Threat Intelligence, trends, analyser og hændelsernes effekt på infrastrukturen samt mitigeringen af disse. Men en SOAR kan reducere arbejdet og sikre bedre standardprocesser, automatisk konfiguration og opdatering af den samlede sikkerhedsinfrastruktur, deling af data mellem forskellige kontroller og automation omkring bearbejdning af sikkerhedshændelser.

Alt sammen for at spare omkostninger, sikre sammenhæng og integration i den samlede sikkerhedsinfrastruktur – og sikre hurtig response.

Så meget taler for Security Orchestration, Automation og Response – ud fra et økonomisk synspunkt og en risikobetragtning.