Het monitoren van security operations kent een aantal specifieke gebieden, zoals real-time inzicht in de hoeveelheid en het type cyberincidenten, snel relaties kunnen leggen tussen verschillende cyberincidenten en geautomatiseerd kunnen ingrijpen bij een reeks van verwante cyberincidenten. SIEM-oplossingen zoals FortiSIEM van Fortinet voorzien in deze aanpak. “Maar er komt nog meer bij kijken”, zegt Nick Onken, major accountmanager service providers bij Fortinet Nederland. “De implementatie van allerlei beveiligingsoplossingen levert logs en rapportages op die in de regel naar een verzameloplossing zoals een SIEM gaan. Hierdoor krijgen MSSP’s te maken met verschillende bronnen en gigantische hoeveelheden informatie. Vermenigvuldig dat nog eens met een factor 10 voor MSSP’s die meerdere SIEM-oplossingen tegelijk beheren voor hun klanten. Daarom zoeken zij een gestroomlijnde manier om meerdere SIEMs te beheren. Dat is precies wat FortiSOAR biedt.”
98% kortere responstijden
FortiSOAR (security orchestration, automation & response) helpt managed security service providers bij het efficiënter maken van security operations. “Maar ook bij het vergroten van de effectiviteit door het automatiseren van processen”, zegt Onken. “MSSP’s kunnen het proces helemaal zelf samenstellen door naar eigen wens te bepalen of er voor incidenten of processtappen menselijke interactie nodig is, of dat technologische acties vereist zijn, of allebei. Dit kan resulteren in maar liefst 98% kortere responstijden. De geautomatiseerde processen van FortiSOAR zijn namelijk in staat om een complete reeks van handmatige taken in gemiddeld 20 minuten te voltooien.”
Meldingsmoe
Security operations gaan vaak gepaard met veel handmatig werk, weet Onken. “Dit kan het analyseren van meldingen in de weg zitten en vergroot de kans op blinde vlekken. Deze situatie is bovendien foutgevoelig, want het levert meer false positives op. De analisten krijgen uit al die systemen zoveel gegevens aangereikt, zowel rijp als groen, dat zij meldingsmoe worden. FortiSOAR maakt gebruik van automatisering om meldingen uit alle delen van het netwerk op een centrale locatie onder te brengen. Daarmee stroomlijnt het bron- en tijdsintensieve taken zoals het prioriteren van meldingen, het verrijken van data en het verhelpen van bedreigingen. Daardoor blijft alleen de werkelijk waardevolle informatie over en daar kunnen de analisten dan alle aandacht aan geven.”
Multi-tenancy
FortiSOAR is volgens Onken een schaalbare multi-tenancy-oplossing waarmee MSSP’s meerdere klantenomgevingen kunnen koppelen. “Je kunt dan één proces maken en dat toepassen op meerdere SIEM-omgevingen, of welke oplossing voor securitymonitoring dan ook. FortiSOAR biedt daarnaast gepersonaliseerde meldingen, incidentweergaven en dashboards. Dit biedt MSSP’s volledig inzicht in wat er nodig is om aan de eisen van elke klant te voldoen.”
Visuele draaiboeken
Met de Visual Playbook Designer van FortiSOAR kunnen MSSP’s draaiboeken maken voor cyberbedreigingen en de incidentrespons. “Daarvoor zijn geen gevorderde programmeervaardigheden vereist”, weet Onken. “De eenvoudige user interface biedt de mogelijkheid om draaiboeken samen te stellen volgens het simpele principe van verslepen en neerzetten.” FortiSOAR voorziet in maar liefst 160 kant-en-klare draaiboeken die ook kunnen worden gebruikt voor andere onderzoeksactiviteiten.
Leveranciersonafhankelijk
FortiSOAR is een leveranciersonafhankelijke oplossing die deel uitmaakt van de geïntegreerde Security Fabric van Fortinet. Dit betekent echter niet dat alleen de oplossingen van leveranciers die deel uitmaken van dit security-framework geïntegreerd kunnen worden in FortiSOAR, benadrukt Onken. “Het is efficiënter om dat met de Security Fabric te omlijsten. We hebben al een groot aantal Security Fabric-partners, maar we kunnen ook oplossingen van andere leveranciers integreren. Daarvoor kennen we REST API’s waarmee deze integratie altijd mogelijk is.”
Evolutie van dienstverlening
FortiSOAR is volgens Nick Onken een evolutionaire techniek die voortkomt uit de trend van outsourcing. “We zien veel MSSP’s die daarop inspelen”, legt hij uit. “Dan is er op een gegeven moment zoveel te beveiligen en te beheren dat de tijdsspanne tussen detectie en remediation in het geding komt. MSSP’s kunnen met FortiSOAR hun dienstenaanbod uitbreiden en hun klanten maatoplossingen aanbieden die hun SOC-team helpen om de incidentrespons te verbeteren. Op die manier kunnen zij onderscheidende diensten aan bieden en meeprofiteren van de snelgroeiende SOAR-markt.”
SOAR biedt kansen voor MSSP’s
De trend van uitbesteding van IT-oplossingen aan gespecialiseerde partners blijft maar voortduren. Dit heeft al geleid tot managed security service providers (MSSP’s) die beveiligingsoplossingen bij klanten implementeren en beheren. Een evolutie daarvan is dat zij ook managed security operations aanbieden, waarbij ze de monitoring doen van security operations in het netwerk. Daar liggen grote kansen voor MSSP’s om hun omzetten en winsten te laten stijgen, maar alleen als zij de monitoringdiensten voor verschillende klanten kunnen stroomlijnen. Dat kan met FortiSOAR van Fortinet. SOAR staat voor security orchestration, automation & response en maakt security operations efficiënter. Door het automatiseren van processen kunnen MSSP’s zelf bepalen of er voor incidenten of processtappen menselijke interactie nodig is, of dat technologische acties vereist zijn, of beiden. Dit kan resulteren in maar liefst 98% kortere responstijden.
[Dit artikel is eerder gepubliceerd in ChannelConnect 2 – 2020]