Hoewel bepaalde oplossingen, zoals diverse detectie- en responstools, de beveiliging van elk bedrijf enorm kunnen verbeteren (door voort te bouwen op endpoint security), is er iets voor te zeggen om de lat van respons en herstel nog hoger te leggen.
Voor een Security Operations Center (SOC) zijn Security Information and Event Management (SIEM) en Security Orchestration, Automation, and Response (SOAR) twee uitgebreide opties die bestaan om precies dat te doen - de lat van cybersecurity hoger leggen. Ze bieden echter elk een andere set tools en benaderingen, die moeten worden overwogen voordat voor één van beide wordt gekozen.
Wat is SIEM (Security Information and Event Management)?
Eén van de taken die het werk van elke IT-beveiligingsbeheerder sterk verbetert, is het verzamelen van logboeken en het analyseren van gegevens - en dat is bijna precies waar SIEM het beste in is. Het verzamelt gegevens uit alle delen van het bedrijfsnetwerk en waarschuwt voor potentiële beveiligingsincidenten en -problemen, waardoor het voor beveiligingsbeheerders eenvoudiger wordt om hun beveiligingsinfrastructuur te beheren.
Hoewel het strikt genomen geen hulpmiddel is om te reageren op incidenten en deze op te lossen, geeft het aanvullende informatie over incidenten en gebeurtenissen en vervult het de rol van een soort waarnemer of gegevensmonitor. Dit is echter ook een nadeel van SIEM - het ontbreekt aan automatisering; afgezien van het verzamelen van gegevens kan het niet veel meer, waardoor het IT-team die gegevens naar eigen inzicht moet gebruiken. Dit kan een probleem zijn, omdat meldingen zich gemakkelijk kunnen opstapelen en beveiligingsteams kunnen overweldigen, waardoor de beveiliging van een bedrijf onder druk komt te staan en verzwakt. Dit is echter waar SOAR helpt.
Wat is SOAR (Security Orchestration, Automation and Response)?
SOAR is een modernere oplossing die de mogelijkheden van securityteams om hun klanten en partners te beschermen enorm kan vergroten - het is namelijk een evolutie van de mogelijkheden van SIEM, hoewel het deze technisch gezien niet vervangt.
SOAR-technologie haalt veel meer gegevens op dan SIEM - niet alleen uit het bedrijfsnetwerk, maar ook uit andere toegevoegde beveiliging feeds zoals threat intelligence, en het prioriteert waarschuwingen en logs ook beter. De grootste kracht ligt echter in de AI-automatisering, omdat het ook geautomatiseerde reacties op incidenten kan creëren, zoals ingesteld door het IT-team. Dit is iets wat SIEM mist, waardoor het onderzoeken van dreigingen en incidenten veel eenvoudiger wordt.
Het is echter niet zo dat SOAR SIEM volledig kan vervangen; de realiteit is heel anders.
Welke oplossing is beter?
Zoals eerder gezegd, hoewel SOAR technisch indrukwekkender lijkt dan SIEM, is het geen strikte vervanging. SOAR werkt het beste als het wordt ondersteund door veel gegevens, en SIEM kan dat leveren omdat het meer een hulpmiddel is voor het verzamelen van gegevens, waarna SOAR de gegevens kan prioriteren, de beste respons en herstel kan markeren en bepaalde delen van het proces kan automatiseren, zodat beveiligingsoperators sommige taken niet hoeven uit te voeren. Zie het als een tweeledig proces, waarbij SIEM het grootste deel van de gegevens aanlevert en SOAR daar nog wat aan toevoegt en de respons uitvoert.
De gereedschapskist van een SOC uitbreiden
Security operations centers kunnen over veel verschillende technologieën en tools beschikken om hun werkgevers of klanten goed te beschermen, en zowel SIEM als SOAR bieden iets meer dan gewone endpoint beschermingssoftware, omdat deze daarop voortbouwen.
SOC's kunnen er ook voor kiezen om Extended Detection and Response (XDR) te gebruiken om een vergelijkbare bescherming te bieden als SIEM en SOAR, maar het is geen vervanging voor één van beide, omdat het technisch gezien niet dezelfde mogelijkheden en gebruiksmogelijkheden biedt (SIEM logt beter, terwijl SOAR beter prioriteert en automatiseert). Het kan echter nog steeds uitgebreide dreigingsdetectie en -respons bieden.
Een andere optie is om Managed Detection and Response (MDR) te gebruiken. In dat geval besteedt een SOC-team een deel van zijn werk uit aan een beveiligingsleverancier, wat als voordeel kan hebben dat de detectie- en responsmogelijkheden worden verbeterd door meer beveiligingsexperts toe te voegen die goed bekend zijn met zowel het dreigingslandschap als de beveiligingsoplossing die het beveiligingscentrum gebruikt.
De sleutel is om voorbereid te zijn
Voor een SOC is het de belangrijkste taak om voorbereid te blijven op elke gebeurtenis, omdat de wereld van cyberdreigingen altijd verandert en evolueert. Dankzij SIEM kunnen ze over veel gegevens beschikken, en met SOAR kan een SOC eenvoudiger reageren op dreigingen en incidenten, terwijl ze hun inzicht in dreigingsinformatie op een hoog niveau houden dankzij verschillende integraties van externe gegevens feeds.
Er bestaan nog meer oplossingen, zoals het eerdergenoemde XDR of MDR, en ze hebben allemaal een andere inzetbaarheid. Dit komt grotendeels doordat er geen oplossing bestaat die alles kan dekken. Het combineren van afzonderlijke tools in een meerlaagse verdedigingshouding voor cyberbeveiliging binnen een beveiligingsstrategie is uiteindelijk de beste manier om de gaten te dichten die elke oplossing op zichzelf zou hebben, waardoor het beveiligingsniveau voor iedereen die volledige bescherming wil bereiken, wordt verhoogd.
