Det korta svaret är att det ger bäst riskminimering. Tillsammans med AI är säkerhetsautomation (SOAR – Security Orchestration, Automation and Response) det område inom cybersäkerhet som ger störst riskreduktion. Det framgår i IBM:s ’Cost of Data Breach’-rapport från 2021, som slår fast att automation reducerar risken för cyberbrottslighet med 57 %.
Det finns många goda skäl till varför kunder borde vara mer intresserade av säkerhetsautomation och AI, men…
Används säkerhetsautomation i praktiken?
I praktiken påverkar många olika faktorer cyberrisker. Ofta består den totala cybersäkerhetsinfrastrukturen av olika säkerhetssilos som inte kommunicerar sinsemellan. Integration är både tidskrävande och dyrt, vilket i realiteten innebär att det inte sker. Det här öppnar synliga säkerhetshål i den övergripande infrastrukturen, som är synliga för angripare som vet var de ska leta.
Dessutom är det generell brist på medarbetare med cyberkompetens som kan hantera uppgifterna. Angriparna har länge använt automation, medan försvaret har skett ad hoc. Men de flesta är nog medvetna om att att det inte är en långsiktig lösning.
Det här är särskilt tydligt på detektions- och responssidan, där mängden data och snabba åtgärder är avgörande för att reducera risker. Ju snabbare attacker upptäcks och mildras, desto lägre risk – och då krävs automatisering.
Vad är säkerhetsautomation?
Säkerhetsautomation inkluderar flera olika områden inom säkerhetsarbetet som tillsammans brukar kallas SOAR (Security Automation, Orchestration And Response). Det här hänger samman med den plattform som ”aktiverar” organisationens säkerhetsverksamhet: SOC eller SecOps.
Varför är automation viktigt i SOC-sammanhang?
För att förstå varför automatisering är relevant i SOC-sammanhang måste vi först känna till vilka uppgifter som ingår i ett SOC – Security Operations Center. Hit hör:
- Inventering av organisationens tillgångar
- Sårbarhetshantering, inklusive bedömning och frilista
- Underhålla förebyggande skydd och – säkerhetskorrigeringar, policyer samt spaning efter insiderhot
- Säkerhetskontroller
- Samla in säkerhetsloggar från infrastruktur
- Hantera SIEM, detektionsregler och underhåll av densamma
- Logganalys och säkerhetsanalys
- Hantera säkerhetsincidenter
- Analys av varför säkerhetsincidenter inträffar och policyförbättringar som täpper till luckor
- Säkerhetstrender
- Utföra penntester, definiera kontrollförbättringar och säkerställa att de implementeras
- Compliance
- Expertkunskap om organisationens säkerhetsverktyg inklusive tredjepartsleverantörers verktyg samt trygga att organisationen enkelt kan lösa säkerhetsproblemen
- Upprätthålla säkerhetspolicyer och -procedurer
De här uppgifterna är mer än vad en normal driftorganisation klarar och har resurser till. Den mest krävande uppgiften är kedjan från insamling av säkerhetsloggar till identifiering och hantering av giltiga säkerhetsincidenter.
SOAR – Security Orchestration, Automation and Response
En SOAR garanterar automatisering i kedjan och ökar takten. Det gäller i synnerhet hanteringen av alla säkerhetsincidenter och indikatorer på säkerhetsincidenter där framgång kräver en hög grav av automatisering.
Det här förändrar dock inte det faktum att det krävs anställda med rätt kunskap som förstår kontrollerna, Threat Intelligence, trender, analyser och händelsernas effekt på infrastrukturen samt kan mildra dessa. Men en SOAR kan minska arbetet och säkra bättre standardprocesser, ge automatisk konfiguration och uppdatering av den övergripande säkerhetsinfrastrukturen. Den kan också ge datadelning mellan olika kontroller och automatisering när säkerhetsincidenter bearbetas.
Automation innebär därmed lägre kostnader, koherens och integration i den övergripande säkerhetsinfrastrukturen – och garanterat snabb respons.
Med hänsyn till risk och ekonomi är det mycket som talar för Security Orchestration, Automation and Response.
Missa inte vårt whitepaper om SOC:
Vill du veta mer om vad SOAR kan göra för er?