Lukiessa tietoturvasanastoa, saatat löytää maininnan SOAR, joka tulee sanoista Security Orchestration, Automation and Response. SOAR – teknologia kehitettiin alunperin ratkaisemaan haasteita, joita tietoturvatehtävien hallinnassa tulee vastaan ja samalla lisäämään analyytikoiden taitoja ja työnkulkuja tehokkaampaan tapausten havaitsemiseen ja reagoimiseen.
SOAR:n avulla organisaatiot voivat virtaviivaistaa tietoturvaprosessien käsittelyä kolmella tärkeällä avainalueella: Uhkien ja haavoittuvuuksien hallinta, tapauksiin reagointi ja turvallisuustoimintojen automatisointi. Tässä blogissa tutustumme siihen, mistä SOARissa on kyse ja mihin käyttöön se soveltuu parhaiten.
Mikä SOAR on?
Gartnerin vuonna 2015 keksimä termi tarkoitti alun perin turvallisuustoimintoja, analytiikkaa ja raportointia. Se päivitettiin myöhemmin nykyiseen muotoonsa vuonna 2017, ja Gartner määritteli SOAR:n kolme pääominaisuutta:
- Uhkien ja haavoittuvuuksien hallintateknologiat, jotka tukevat haavoittuvuuksien korjaamista ja tarjoavat virallisia työnkulku-, raportointi- ja yhteistyövalmiuksia;
- Tietoturvahäiriöiden reagointiteknologiat, jotka tukevat sitä, miten organisaatio suunnittelee, hallitsee, seuraa ja koordinoi reagointia tietoturvahäiriöön;
- Ja turvallisuustoimintojen automaatioteknologiat, jotka tukevat työnkulkujen, prosessien, käytäntöjen toteuttamisen ja raportoinnin automatisointia ja organisointia.
Gartner laajensi määritelmää, ja edelleen jalosti SOAR:n teknologian konvergenssia seuraavasti: - Tietoturvahäiriöiden reagointialustat, jotka sisältävät ominaisuuksia, kuten haavoittuvuuksien hallinnan, tapausten hallinnan, työnkulkuja, tapausten tietokannan, auditointi- ja lokiominaisuudet, raportoinnin ja paljon muuta;
- Tietoturvaorganisaatio ja automaatio, joihin kuuluvat integraatiot, työnkulun automatisointi, pelikirjat, pelikirjojen hallinta, tiedonkeruu, lokianalyysi ja tilin elinkaarihallinta;
- Ja uhkatiedon alustat, jotka sisältävät uhkatiedon yhdistämisen, analysoinnin ja jakelun, hälytyskontekstin rikastamisen ja uhkatiedon visualisoinnin.
Tutustu SOARin määritelmään Gartnerin sivuilla
Varsinainen SOAR-määritelmä on itsessään hieman löysä, mutta viittaa yleensä mihin tahansa tekniikkaan, ratkaisuun tai olemassa olevien työkalujen kokoelmiin, joiden avulla organisaatiot voivat parantaa toimintatapoja sekä lisätä reagointinopeutta, automaatiota sekä hallintaa.
SOAR täydentää muita tietoturvavälineitä
Käytännössä SOAR-teknologia on kehitetty täydentämään muita tietoturvatyökaluja ja vastaamaan hallinnan tuomiin haasteisiin. Usein organisaatioilla on liian suuret odotukset tietoturvatehtävien hoitamiseen käytettävissä olevista resursseista samalla, kun toimia on vaikea mitata ja hallita tehokkaasti.
SOAR ei korvaa muita tietoturvatyökaluja, vaan se on täydentävä tekniikka. SOAR-alustat eivät myöskään korvaa ihmisanalyytikoita, vaan lisäävät heidän taitojaan ja työnkulkujaan tehokkaampaan tapausten havaitsemiseen ja reagoimiseen. Lisäksi useimmissa SOAR-ratkaisuissa on pelikirjat, jotka sisältävät todistettuihin käytäntöihin ja menettelyihin perustuvia ohjeita. Pelikirjojen käyttö varmistaa johdonmukaisuuden, vaatimustenmukaisuuden, nopeamman ja luotettavan tunnistamisen ja tapausten korjaamisen.
Haasteena on datan määrä, joka kasvaa jatkuvasti. Asiantuntijat kuluttavat paljon aikaa tapahtumien ja hälytysten tarkistamiseen, ja lisäksi on paljon erilaisia järjestelmiä, jotka tuottavat hälytyksiä ja tietoa monissa ei-yhteensopivissa formaateissa. Samoin henkilöstön vaihtuminen aiheuttaa haasteita varsinkin tärkeän tietoturvatiedon jakamisessa.
Häiriöiden hinta on tullut organisaatioille yhä kalliimmaksi mikä itsessään laittaa yritykset miettimään ja kehittämään tapoja minimoida havaitsemis- ja reagointiaikaa sekä maksimoida niihin liittyvä vastatoimintakyky.
Dataa kootaan laajasti monesta eri lähteestä
SOAR:n toiminta perustuu kykyyn hakea dataa laajasti erilaisista ympäristöistä ja palveluista. Lähteitä voi olla monia erilaisia, esim. järjestelmäsovellukset, erilaiset alustaratkaisut tai verkkolaitteet. Yhtenä esimerkkinä näistä järjestelmäratkaisuista on SIEM (Security Information and Event Management) -tuote Microsoft Sentinel joka kerää dataa monista eri järjestelmätasoista ja luo näkymän tapahtumiin sekä hälytyksiin. SOAR pystyy hyödyntämään tätä dataa ja käyttämään sitä hyödyksi automatisoimalla vasteita ja niiden avulla ratkaisemaan mahdollisia haasteita.
Microsoft Sentinel on Microsoftin lippulaivatietoturvatuote: pilvipohjainen Security Information & Event Management (SIEM) -työkalu, joka on saanut suuren suosion markkinoilla viime vuonna. Microsoft Sentinel sisältää Security Orchestration, Automation ja Response (SOAR) -ominaisuudet, jotka lisäävät SOC:n (Security Operations Center) tehokkuutta ja säästävät aikaa ja resursseja. Microsoft Sentineliin voit tutustua lisää blogissamme.
SOAR vie SIEM:si uudelle tasolle järjestämällä ennakoivasti automatisoituja vastaustyönkulkuja, jotka suorittavat reaaliaikaisia esto-, eristys- ja sammutustoimia, ja jotka voivat mahdollisesti pysäyttää vihamielisen välikohtauksen. Varsinkin kyky ryhtyä automaattisesti toimiin saadun älykkyyden perusteella Sentinel voi automatisoida yleisiä toimintoja ja yksinkertaistaa orkestrointia Microsoftin integroitujen pelikirjojen, joita oli viimekatsomalta yli 150 kpl ja olemassa olevien työkalujen avulla.
Näihin liittyvät automaatiotoimenpiteet, ulkoiset integraatiot ympäristön hallinnassa sekä datan rikastaminen ovat Sentinelin vahvuuksia. Saatavilla on suuri määrä sisäänrakennettuja pelikirjoja, ja yli 200 liitintä kaikkeen ServiceNow:sta Teamsiin, Defender for cloud apps:iin ja muihin. Tämän sitominen esimerkiksi toiminnanohjausjärjestelmään kuten ServiceNow voi virtaviivaistaa toimintaprosessia kun jonkun on suoritettava määrätty toiminto, jota ei voida automatisoida. Loppujen lopuksi olemme kaikki hyvin kiireisiä, joten pelkästään Microsoft Sentinelin SOAR-puoli on hyvinkin kannattava sijoitus.
Seuraavassa blogissa paneudun SIEMin ja SOARin välisiin eroihin ja mitä nämä työkalut yrittävät ratkaista.
Tutustu palveluihimme
Tarvitsetko apua? Microsoft 365 -asiakkailla on parhaat mahdollisuudet varmistaa mm. Azuren turvallinen hallinta, päätelaitteiden suojaus, loppukäyttäjien identiteetti ja M365-palveluiden sekä muiden liiketoimintasovellusten turvallinen käyttö.
Me Sulavalla olemme toteuttaneet runsaasti esimerkiksi Sentinel-käyttöönottoja ja autamme mielellämme sinua mahdollisten kysymystesi kanssa ja ympäristön pystytyksessä. Lue esimerkiksi Helsingin kaupungin Kaskon kokemuksista. Tarjoamme myös päivän kestävää kurssia Sentinelistä, jossa pääset rakentamaan oman SIEM-ympäristön ja tutustumaan tuotteeseen käytännössä.
Tutustu tietoturvapalveluihimme, ota rohkeasti yhteyttä, kutsu meidät käymään ja ala hyödyntämään pilven tuomaa turvaa omassa ympäristössäsi!
Lue lisää:
Miten pilvipohjainen Microsoft Sentinel SIEM -ratkaisu toimii?
Microsoft Defender for Cloud + Sentinel –Kuinka rakennat tulevaisuudenkestävän tietoturvan
SIEM vs. SOAR, mitä eroa näillä on?