Menu
Artikel

Intelligentie van mens en machine werken naadloos samen tegen bedreigingen

Sla complexe cyberaanvallen af met Intelligent Orchestration

In geval van een cyberaanval is het belangrijk die zo snel mogelijk te detecteren, want alleen als je weet wat er gebeurt kun je op de juiste manier reageren en veel schade voorkomen. Maar de schaarse en overwerkte securityexperts zien door de bomen het bos niet meer. Met Intelligent Orchestration neem je de druk weg.

Allereerst is er op de arbeidsmarkt een groot en nog steeds groeiend tekort aan ervaren beveiligingsspecialisten. Tegelijkertijd neemt de hoeveelheid cyberaanvallen alsmaar toe, worden ze steeds geavanceerder en kunnen ze enorm veel schade aanrichten. De toch al schaarse beveiligingsspecialisten krijgen zodoende elke dag veel meer alerts voor hun kiezen dan ze redelijkerwijs kunnen afhandelen.

Geen moment te verliezen

De tijd om een aanval te detecteren en het incident op de juiste manier af te handelen wordt hierdoor onnodig lang. En dat terwijl er bij een cyberaanval geen moment te verliezen valt. Bovendien kost het een organisatie steeds meer tijd en inspanning om na een incident aan de extra verplichtingen te voldoen die de steeds strengere wet- en regelgevingen, zoals de GDPR, opleggen.

Bedrijven hebben verder vaak stevig geïnvesteerd in grote aantallen beveiligingstools. Met als gevolg dat medewerkers continu heen en weer springen door een woud aan tools, wat zowel omslachtig als vertragend werkt. Dat maakt snelle detectie en response bij cyberaanvallen lastig.

Intelligent Orchestration

Aan het arbeidstekort of het aantal cyberaanvallen kun je als organisatie niets doen. Wel kun je ervoor zorgen dat de detectie van en response op cyberaanvallen aanzienlijk sneller en efficiënter worden. Met name door menselijke intelligentie slim te combineren met machine intelligentie en gebruik te maken van automation en orchestration. IBM noemt dit Intelligent Orchestration (IO).

In dit model worden drie essentiële elementen gecombineerd om zowel security operations als het incident response proces sterk te verbeteren. Het zijn incident response, intelligence (van mens en machine), en automatisering en orchestratie.

Intelligent Orchestration heeft sterke overeenkomsten met het Security Operations and Response model (SOAR) van Gartner, omdat het de complexiteit van incident response wegneemt op de gebieden mensen, processen en technologie.

Kijk hier het webinar over het incident respons platform IBM Resillient je kan helpen aan de GDPR te voldoen

Centrale hub

Ter ondersteuning van Intelligent Orchestration wordt een zogeheten Incident Response Platform (IRP) gebruikt. Dit is een centrale hub waar beveiligingsteams alle incidenten kunnen volgen en afhandelen. Het IRP moet hiertoe naadloos integreren met de andere aanwezige beveiligingstechnologieën, zoals een SIEM (Security Information & Event Management) of een EDR (Endpoint Detection and Response). Daarnaast moeten incidenten automatisch verrijkt kunnen worden met informatie uit threat intelligence feeds.

Dankzij deze centrale hub kan detectie en response bij bedreigingen aanzienlijk versneld en verbeterd worden. Door integratie met beveiligingstools, beschikken beveiligings-analisten bijvoorbeeld op één centrale plek over alle relevante informatie die ze nodig hebben om in elke specifieke situatie de juiste beslissingen te nemen.

Incident response workflow

Het doel van Intelligent Orchestration is vooral het op een slimme en snelle manier door een incident response workflow begeleiden van beveiligingsanalisten. Belangrijk hierbij is dat menselijke intelligentie en machine intelligentie elkaar aanvullen. Door ze op precies die vlakken in te zetten waar ze het beste tot hun recht komen.

IO ontsluit onder andere de kennis en ervaring van ervaren medewerkers en legt die vast in eenvoudig herhaalbare incident response processen. Niet alleen van beveiligingsspecialisten, maar ook van de juridische afdeling of het marketingteam. Hierdoor kunnen ook minder ervaren en zelfs junior medewerkers dezelfde stappen zetten als de meest ervaren specialisten. Zo neem je de druk weg van de toch al schaarse experts.

Taken automatiseren

Op precies de plekken waar het nut heeft, kunnen vervolgens een aantal specifieke taken in het response proces worden geautomatiseerd. Begin bijvoorbeeld met eenvoudige en tijdrovende handelingen die herhaaldelijk uitgevoerd moeten worden. Hierdoor komt enorm veel tijd vrij, zodat beveiligingsanalisten zich volledig kunnen concentreren op het identificeren en prioriteren van kritieke incidenten en het nemen van de juiste beslissingen.

Is de te nemen oplosrichting eenmaal bepaald, dan worden dankzij orchestration direct de bijbehorende vervolgstappen bij de juiste functionarissen uitgezet. Bij een aanval met ransomware worden bijvoorbeeld niet alleen acties uitgezet bij het incident response team, maar ook bij andere teams en afdelingen in de organisatie.

Orchestratie strategie

Automation werkt dus het beste binnen de context van een slimme orchestratie strategie. Niet alles kan immers geautomatiseerd worden. Zodra de incident response processen zijn ingericht, kun je beginnen het strategisch inzetten van automation om stappen te stroomlijnen en bijvoorbeeld de juiste incidentinformatie zo snel mogelijk bij analisten te krijgen. Door het IRP te integreren met zowel beveiligingstools als administratieve systemen, hoeven medewerkers dan niet meer continu van systeem naar systeem te springen.

Zo kunnen dankzij Intelligent Orchestration signalen van een mogelijke bedreiging die door een SIEM of EDR gedetecteerd zijn, direct naar het IRP worden doorgezet. Waarna het incident automatisch wordt verrijkt met vitale informatie dankzij integratie met relevante threat intelligence feeds. Medewerkers hoeven dit niet langer allemaal handmatig bij elkaar te zoeken, wat opnieuw enorm veel tijd bespaart en ook de kans op menselijke fouten wegneemt.

Snel de juiste beslissingen

Bepaalde taken leunen zwaar op menselijke inbreng en het nemen van de juiste beslissingen. Die taken kun je niet automatiseren, maar technologie kan medewerkers daar steeds beter bij ondersteunen. Daarnaast kunnen, zodra eenmaal een beslissing genomen is, veel van de daarbij behorende taken juist weer wel prima worden geautomatiseerd.

Het is de taak van het IRP dat voor Intelligent Orchestration wordt gebruikt om menselijke analisten vlotjes door het incident response proces te begeleiden, alle taken op zich te nemen waar geen menselijke handelingen bij nodig zijn en precies de juiste informatie beschikbaar te stellen, zodat de juiste mensen op strategische punten snel de juiste beslissingen kunnen nemen.

Klik hier voor meer informatie over Intelligent Orchestration voor het tegengaan van complexe cyberaanvallen

6 / 12