Det korte svaret er at det gir den beste risikoreduksjonen, men hvor mye betyr det i økonomiske termer? Sikkerhetsautomatisering har, sammen med AI, vist seg å være den disiplinen innen cybersikkerhet som gir den største risikoreduksjonen. Dette sees i IBMs ‘Cost of Data Breach’-rapport fra 2021, hvor det rapporteres om en reduksjon av cyberrisiko på inntil 57 %. Det er med andre ord mange gode grunner til at du bør være mer interessert i sikkerhetsautomatisering og AI, men…
Hva er det med automasjon som gir så store besparelser?
Mange faktorer spiller inn når vi snakker om cyberrisiko og dermed kostnadene ved datainnbrudd. Ofte består en cybersikkerhets-infrastruktur av ulike siloer bestående av sikkerhetsløsninger som ikke snakker sammen. Det kreves manuelt arbeid for å effektivt binde sammen løsningene, og det igjen er en av grunnene til at oppgavene ofte ender med å ikke bli gjort. I tillegg er det en generell mangel på personell med kompetansen som trengs til å håndtere oppgavene.
Dette etterlater synlige sikkerhetshull i den totale infrastrukturen, sikkerhetshull som er synlige for angripere som vet hvor de skal lete. Angriperne har lenge brukt automatisering som verktøy, mens dette så langt har blitt besvart ved å kaste flere armer og ben inn i forsvaret. De fleste er nok likevel klar over at det å bekjempe automatisering med flere armer og ben ikke er den rette tilnærmingen. Dette sees spesielt på deteksjons- og responssiden, hvor datamengden og behovet for rask handling er en viktig komponent for å redusere risikoen.
Jo raskere angrep blir oppdaget og håndtert, desto mindre risiko. Rask håndtering krever automatisering.
Hva dekker sikkerhetsautomatisering i litt bredere termer?
Security Automation dekker i utgangspunktet en rekke viktige disipliner rundt arbeidet med å holde en enkelt sikkerhetsoperasjon i gang og omtales ofte som produktkategorien SOAR (Security Automation, Orchestration and Response). SOAR er en plattform som styrker selskapets sikkerhetsoperasjon – SOC eller SecOps.
Hva er grunnen til at det er relevant i SOC-sammenheng?
For å forstå spørsmålet om hvorfor automatisering er en nødvendighet, må du forstå oppgaven SOC sitter med. Nedenfor er noen av de typiske oppgavene for SOC:
- Holde oversikt over selskapets ulike IT-enheter
- Administrere sårbarheter, inkludert sårbarhetsvurdering og whitelisting av selskapets enheter
- Opprettholde forebyggende beskyttelse – sikkerhetsoppdateringer, retningslinjer, jakte etter innsidetrusler
- Gjennomføre sikkerhetssjekker
- Utføre innsamling av sikkerhetslogger fra infrastrukturen
- Administrere SIEM, deteksjonsregler og vedlikehold av samme
- Utføre logganalyse og sikkerhetsanalyse
- Håndtere sikkerhetshendelser og kritikalitet
- Gjennomføre en årsaksanalyse av hvorfor sikkerhetshendelser oppstår, og gjøre policyforbedringer for å tette hullene
- Analysere, utrede og dokumentere sikkerhetstrender
- Gjennomføre pen-tester og bruke resultatene til å definere forbedringspotensiale. Sikre implementering i sikkerhetsinfrastrukturen
- Administrere compliance audit
- Inneha og vedlikeholde ekspertkunnskap om sikkerhetsverktøyene organisasjonen bruker og sikre at organisasjonen enkelt kan håndtere sikkerhetsproblemene
- Håndheve sikkerhetspolicyer og prosedyrer
Alle disse oppgavene totalt sett går langt utover det en vanlig driftsorganisasjon kan håndtere og har ressurser til.
Den største av oppgavene er hele arbeidet fra innsamling av sikkerhetslogger til gyldige sikkerhetshendelser og håndtering av dem. En SOAR skaper automatisering av de ulike oppgavene og gir energi til prosessene – spesielt håndteringen av de mange sikkerhetshendelsene eller indikatorene på sikkerhetshendelser, som krever høy grad av automatisering i behandlingen for å lykkes.
Dette endrer imidlertid ikke på at det krever at ansatte med riktig kunnskap om styring av plattformen forstår kontrollene, arbeidet med Threat Intelligence, trender, analyser og effekten av hendelsene på infrastrukturen, samt mitigering av disse. Men en SOAR kan du redusere mengden arbeid og sikre bedre standardprosesser, automatisk konfigurasjon og oppdatering av den overordnede sikkerhetsinfrastrukturen, datadeling mellom ulike kontroller og automatisering rundt sikkerhetshendelsesbehandling.
Alt dette sparer kostnader, sikrer sammenheng og integrasjon i den samlede sikkerhetsinfrastrukturen – og sikrer rask respons.
Det er altså mye som taler for Security Orchestration, Automation and Response – fra et økonomisk synspunkt og en risikobetraktning.
Har du spørsmål om gode SOAR-løsninger eller IT-sikkerhet generelt?
Send en e-post til [email protected]