Gisteren, zondag 28 januari was het weer de jaarlijkse Data Protection Day, een initiatief dat is bedoeld om het belang van goede databescherming te onderstrepen. Het initiatief blijft jaar na jaar relevant, omdat cybercriminelen continu nieuwe manieren ontwikkelen om toegang te krijgen tot het netwerk, hetgeen betekent dat ook het bedrijfsnetwerk nog altijd groot risico loopt.
Securityteams kunnen alle hulp gebruiken om het grote aantal alerts en waarschuwingen dat iedere dag binnenkomt, onder de loep te nemen. Met name omdat er een aanhoudend tekort bestaat aan kennis en vaardigheden op het gebied van cybersecurity. Dit tekort zorgt ervoor dat security operations centres (soc’s) bedolven raken onder het grote aantal dreigingen, waardoor de efficiëntie van deze instanties sterk afneemt.
Security automation en orchestration (soa)
Een oplossing voor dit tekort die steeds meer terrein wint, is security automation en orchestration (soa). Deze technologie vereenvoudigt de bescherming tegen verschillende cyberdreigingen en helpt securitypersoneel zich te focussen op werkzaamheden die daadwerkelijk waarde opleveren. Zo zorgt het automatiseren van securitywerkzaamheden er bijvoorbeeld voor dat belangrijke standaardtaken als networkmonitoring worden overgenomen door software. Dit vermindert zowel inconsistentie in de aanpak van bepaalde dreigingen als de druk op securitymedewerkers.
Robottools als deze kunnen duizenden mogelijke dreigingen tegelijkertijd tegenhouden. Vervolgens kunnen analisten de details van een incident nader onderzoeken, uitzoeken hoe ze de dreiging kunnen bestrijden en hoe ze vergelijkbare incidenten kunnen voorkomen. Daarnaast genereren security automation-tools overzichtelijke rapportages die in de toekomst zijn te gebruiken om de aanpak van dreigingen te verbeteren.
De tijd die securityprofessionals dankzij dit soort robottools overhouden, kunnen ze gebruiken om dreigingen nauwkeuriger te onderzoeken. Daarnaast zijn ze beter in staat nieuwe aanpakken te ontwikkelen om te testen of hun securitymaatregelen wel goed werken, bijvoorbeeld aan de hand van stresstests. Ook houden analisten meer tijd over om zich beter in te lezen in de nieuwste dreigingen en hun skills uit te breiden. Dit vergroot de algemene securityexpertise binnen organisaties en helpt ze sneller af te rekenen met serieuze dreigingen en het risico terug te dringen dat problemen uit de hand lopen.
Hulpmiddel
Volledig foolproof is deze technologie helaas niet. Een van de dingen waar security automation tegen aanloopt, zijn false negatives. Hoewel dit probleem grotendeels is te voorkomen door automationsoftware en -workflows zo veel mogelijk te finetunen, laat dit ook zien dat het niet slim is om enkel op algoritmen te vertrouwen. Security automation moet worden gezien als een hulpmiddel dat soc’s helpt de efficiëntie te vergroten en het meest uit de beschikbare resources te halen, niet als vervanging voor de expertise en ervaring van medewerkers. Er moet dus een balans worden gevonden tussen robots en mensen om het bedrijfsnetwerk optimaal te beschermen.
Te veel automation kan betekenen dat nieuwe dreigingen door machine learning-software niet worden herkend of niet goed worden onderzocht. Daarnaast kan het gebeuren dat ongebruikelijke maar legitieme gebruikersactiviteiten die geen dreiging vormen, worden geblokkeerd, wat uiteindelijk tot meer werk leidt voor het securityteam. Te weinig automation zorgt er echter voor dat securityteams onder grote druk blijven staan en hun werk niet goed kunnen uitvoeren. Zo kan het wederom gebeuren dat dreigingen over het hoofd worden gezien of dat een securityteam niet voldoende weet over het dreigingenlandschap.
Menselijke securityvaardigheden zijn dus een belangrijke basis. En het tekort hieraan kan niet volledig worden aangevuld door automation. Onderzoek van the Enterprise Strategy Group laat zien dat het tekort aan securityskills het grootst is op het gebied van onderzoek/analyse (31 procent), applicatiesecurity (31 procent) en cloudsecurity (29 procent). Met name in deze vakgebieden is menselijke input van groot belang.
Niet op het niveau van analisten
Hoewel security automation kan bijdragen aan het opsporen, tegenhouden en onderzoeken van dreigingen, onderzoekt deze technologie dreigingen niet op hetzelfde hoge niveau als analisten. Daarnaast kan de technologie ook niet de benodigde actie ondernemen om dreigingen te elimineren of gedane schade te herstellen. Met name als het gaat om de bescherming van bepaalde applicaties zijn er speciale vaardigheden nodig om systemen correct in te richten en de activiteiten binnen deze systemen op de juiste manier te beheren.
In de toekomst zal de rol van automation binnen securitywerkzaamheden zeker groter worden, maar alleen als organisaties ervoor zorgen dat de juiste workflows worden geautomatiseerd en dat medewerkers ook een belangrijke rol blijven spelen in de bescherming van de organisatie. De hoeveelheid automation zal per organisatie verschillen, maar voor alle bedrijven geldt dat ze de juiste balans moeten vinden om hun organisatie – en hun data – zo goed mogelijk te beschermen.
