Tietoturva SOAR-järjestelmässä : Integraatioyhteyksien turvaaminen

Abstract

Tämän työn tarkoituksena oli tutkia tietoturvaloukkauksien käsittelyn automatisoimiseksi ja orkestroimiseksi luodun Security Orchestration, Automation and Response -järjestelmän soveltuvuuden arvioimisprojektin yhteydessä selvittää tietoturvariskejä, joita kyseisen järjestelmän käyttöönotto organisaatiolle aiheuttaa. Työnaikana tutustutaan järjestelmiin, kuten SIEM, EDR, TI ja asiakaspalvelujärjestelmät, joita nykyaikainen SOC käyttää päivittäisessä työssään ja joihin SOAR-järjestelmä tulisi integroitumaan.

Työssä kerrotaan lyhyesti, mitä Security Orchestration, Automation and Response -järjestelmiltä odotetaan ja mihin ongelmiin SOAR-järjestelmän toivotaan tuovan ratkaisu. Näitä ongelmia ovat esimerkiksi jatkuva uhkakuvan monimutkaistuminen ja analyytikon työmäärän lisääntymin sekä monimutkaiset manuaaliset työtavat, jotka aiheuttavat palvelunlaadun heikentymistä.

Työssä perehdytään perinteisen uhkamallinnuksen keinoin tehtyyn arvioon siitä, mitä riskejä SOAR-järjestelmä tuo mukanaan, ja niihin keinoihin, joita organisaatiolla on käytettävissä riskinhallintaan. Työn alkuolettama on, että yritys on kiinnostunut SOAR-järjestelmästä ja suunnittelee sen mahdollista käyttöönottoa. Työn aikana on tarkoitus kehittää tietoturvallinen suunnitelma SOAR-järjestelmän käyttöönotolle sen integraatioyhteyksien turvallisuuden kannalta.

Työssä löydettiin useita potentiaalisia riskejä, jotka liittyvät SOAR-järjestelmän integraatioyhteyksiin ja kehitettiin niille mahdollisia tapoja vähentää ja hallita niitä. Työn lopputulok-sena on alustava suunnitelma ja esimerkinomainen ympäristö, johon SOAR voitaisiin asentaa tietoturvallisesti.

The goal of this thesis was, as a part of a bigger Security Orchestration, Automation and Response system evaluation project to asses and evaluate the information security risks SOAR would bring if deployed. The focus of this thesis is securing the integration connections between SOAR and other security systems. This thesis briefly introduces the core systems like SIEMs, EDRs, threat intel platforms and customer service and ticketing systems that a modern SOC or CDC analysts use in their everyday work. These are the core parts a SOAR would need to be integrated if an organization chooses to move forward with such a system. We look briefly into what a Security Orchestration, Automation and Response is and what are the problem this new technology is hoped to solve. These problems include the ever-increasing complexity of an information threat landscape that causes many problems as the work gets more and more complicated but at the same time the amount of manual and boring steps increase. There is also a real service quality problem because of outdated work technics and policies. We map the information security risks associated with SOARs integration connections using some traditional threat modeling technics and developed ways to solve or mitigate these risks. The end goal was to map the risks and develop an information security policy along with some control methods to decrease the overall risk SOAR would bring to the company. The result of this thesis was a plan how an organization could deploy a SOAR product securely. This includes a brief description and some hints of the needed technologies and services.