Security-workflows optimaliseren en automatiseren met SecureX van Cisco

Sinds 30 juni is SecureX, het nieuwe securityplatform van Cisco, beschikbaar. Als u al gebruikmaakt van één van de cloud-securitydiensten van Cisco, bijvoorbeeld Umbrella, Threatgrid, AMP of Firepower, kunt u vanaf nu gratis gebruikmaken van SecureX. Uiteraard gaan wij het zelf ook inzetten voor de Managed Security-klanten van aaZoo. SecureX is een zogeheten SOAR-oplossing: Security Orchestration, Automation & Response. Hiermee is het mogelijk security-workflows te optimaliseren en automatiseren, waardoor het eenvoudiger wordt om de impact van securitydreigingen te beperken. In deze blog lichten wij dit verder toe.

Repetitieve taken automatiseren

Met de introductie van SOAR-oplossingen is er een nieuwe techniek op de markt gebracht die écht nut heeft. Het grootste probleem dat organisaties hebben wanneer ze een security-oplossing hebben uitgerold, is dat er iedere dag naar gekeken moet worden. Met een tekort aan securityspecialisten of een beperkte IT-afdeling is dat op zich al een hele uitdaging, maar vervolgens moet er ook iets met de meldingen gedaan worden. Daar wordt het vaak echt lastig. Een melding moet worden beoordeeld op validiteit en vervolgens is het zaak de impact te bepalen. Is het belangrijk om direct iets met de melding te doen, denk aan het blokkeren van een IP-adres, of kan het nog even wachten? SOAR maakt het mogelijk om security-workflows te automatiseren, waardoor er een betere balans komt tussen geautomatiseerde security en menselijk handelen. Stappen die men moet ondernemen om een melding van begin tot eind op te pakken, noemen we in securitytermen een playbook. Een SOAR-oplossing vertaalt deze procedures uit het playbook naar gedeeltelijke of volledige automatisering.

Platformen koppelen om de impact nog beter in te schatten

SecureX haalt informatie op uit verschillende bronnen (niet alleen van Cisco maar ook uit andere bronnen) en koppelt deze om de impact inzichtelijk te maken. Stel dat er een phishing mail binnenkomt die gedetecteerd wordt door een Email Security Appliance. Deze stuurt de melding door naar SecureX en die kijkt direct naar het IP-adres van de bron. Vervolgens bekijkt het platform of dit IP-adres al eerder gedetecteerd is door andere oplossingen en of er pc’s zijn die de URL uit de mail eerder al benaderd hebben. Afhankelijk van de security-oplossingen die u gebruikt, is bijvoorbeeld ook te zien of er vanaf die endpoints gecommuniceerd is met de hosts. Zo houdt u uiteindelijk niet alleen een e-mail tegen, maar weet u ook of er meerder pogingen zijn geweest, of deze gelukt zijn en of men nog op andere manieren probeert binnen te komen. Door verbanden te leggen, wordt de mogelijke impact van een dreiging veel duidelijker.

Tickets verrijken en handmatig handelen beperken

Wanneer u op basis van verschillende meldingen al een aantal keer dezelfde processen heeft doorlopen, weet u vrijwel zeker dat bij een bepaald probleem de actie zeker is. De volgende stap is om dit te automatiseren. U krijgt dan geen blanco ticket meer, maar een ticket met daarin alle relevante informatie waar u direct mee aan de slag kunt. Uiteindelijk kunt u het zover automatiseren dat er in het ticket alleen vermeld wordt dat ‘het geregeld is’. Bedrijven krijgen dagelijks vaak zoveel meldingen, dat het er teveel zijn om bij te houden. Door processen te automatiseren, behoudt u de controle en weet u zeker dat u geen dingen mist. Bovendien worden de tickets door de koppelingen tussen verschillende security-oplossingen met steeds meer informatie verrijkt, waardoor het sneller inzichtelijk is welke actie nodig is.

Bent u benieuwd wat SecureX voor uw organisatie kan betekenen of bent u op zoek naar een betrouwbare kennispartij voor het uitbesteden van uw security-omgeving? Neem dan contact met ons op.