SOARCA-tool: geautomatiseerde security tegen cyberaanvallen

Alleen met optimale cybersecurity kunnen wij ons verzekeren van zo goed mogelijke bescherming voor kritieke infrastructuur zoals energie- en waterlevering, het betaalverkeer en zorginstellingen. Infrastructuur die we als samenleving niet kunnen missen. TNO draagt hieraan bij met de ontwikkeling van de open-source tool voor geautomatiseerde cybersecurity: SOARCA.

Playbooks automatisch uitvoeren met SOAR

Om cyberaanvallen te mitigeren, kunnen security operation centers van organisaties playbooks gebruiken. Komt er bijvoorbeeld via een phishing mail, malware in het systeem, dan omschrijft een playbook stap voor stap wat er moet gebeuren om de malware te bestrijden.

Denk aan het verwijderen van de malware. Het isoleren van beïnvloede hardware van het netwerk om verdere verspreiding te voorkomen. En het vervolgens terug rapporteren van deze mitigatiestappen naar interne ‘security incident’-systemen, denk aan tools als Slack, Teams en mail.

Met zogeheten ‘Security Orchestration, Automation and Response’ (SOAR)-tools hoeven zulke beveiligingsstappen niet meer handmatig te worden uitgevoerd, maar kunnen ze worden geautomatiseerd.

SOARCA: open-source, open-standaard

Bestaande SOAR-tools zijn vaak niet open-source: de broncode is door de gebruikers niet in te zien of aan te passen. Óf de SOAR-tools maken maar beperkt gebruik van open-standaarden: hierdoor zijn huidige security playbooks maar beperkt met elkaar uit te wisselen.

Daarom ontwikkelde TNO de SOAR-tool: Security Orchestrator for Advanced Response to Cyber ​​Attacks (SOARCA). De eerste open-source SOAR-tool die volledig gebruik maakt van de open-playbookstandaard Collaborative Automated Course of Acition Operations (CACAO). Deze SOAR-tool is vrij toegankelijk voor iedereen, en het doel is dat SOARCA voor bijna ieder (cybersecurity)systeem kan worden toegepast. Dat stelt organisaties in staat om eenvoudig te experimenteren met een SOAR-tool, zonder te hoge initiële investeringskosten.

Daarnaast bevat SOARCA een python-library-softwarecomponent, waarin gebruikers zelf softwareuitbreidingen en -integraties kunnen realiseren. Zo kunnen ze de tool op maat maken voor de eigen organisatie en systemen.

Gestandaardiseerd playbookformat CACAO

CACAO, de open-standaard die SOARCA gebruikt, is een door OASIS Open ontwikkelde standaard voor cybersecurity-playbooks. TNO werkte mee aan de ontwikkeling van CACAO als onderdeel van het standaardisatie-committee. CACAO omschrijft de playbooks duidelijk en eenduidig. Waardoor machines ze eenvoudig kunnen uitlezen.

Tot voor kort konden bedrijven de CACAO-playbooks vervolgens alleen handmatig gebruiken. Maar met SOARCA kunnen security operation centers deze playbooks nu ook automatisch laten uitvoeren. Dat maakt het beveiligen van systemen efficiënter en eenvoudiger.

Meer tijd over voor betere cyberveiligheid

Het efficiënter maken van cyberbeveiliging is essentieel voor goede cyberveiligheid. Het aantal mensen met de nodige cybersecurity-kennis is namelijk beperkt. En alleen door efficiëntie te verhogen kunnen we hun kennis optimaal inzetten.

Door laagdrempelige alerts automatisch op te lossen, houden SOC-operators meer tijd over voor bijvoorbeeld het oplossen van complexere aanvallen. En voor het doen van onderzoek. Bijvoorbeeld naar informatie die duidt op een actuele of toekomstige dreiging, ook wel: threat intelligence. Dat maakt het werk voor hen interessanter en zorgt voor verhoogde cyberveiligheid.

Samenwerken aan doorontwikkeling vanuit GitHub

SOARCA is nog in ontwikkeling. Dat wil zeggen: het is al te downloaden en te gebruiken, maar wordt ook nog steeds verbeterd. En dat doen de grondleggers van SOARCA niet alleen, vertellen TNO-onderzoekers en mede-grondleggers Jan-Paul Konijn en Maarten de Kruijf.

De code achter SOARCA is beschikbaar via GitHub, een platform waar iedereen het kan inzien en kan meewerken aan de verbetering van SOARCA. Het SOARCA team van TNO roept geïnteresseerden op om via het platform suggesties te doen voor aanpassingen, mee te denken over nieuwe functionaliteiten en vragen te stellen.

“Zo hopen we unieke cybersecurity-kennis bij elkaar te brengen voor de doorontwikkeling van de tool,” vertelt Jan-Paul. Welke suggesties wel en niet worden doorgevoerd, blijft voorlopig de beslissing van het TNO-team. Op die manier kunnen ze de betrouwbaarheid en kwaliteit van de tool blijven garanderen.

Streven naar optimale cybersecurity, voor iedere organisatie

Jan Paul, Maarten en hun collega’s streven ernaar van SOARCA een tool te maken die op ieder systeem is toe te passen. Maarten licht toe: “In het ultieme scenario is het in de toekomst zelfs toe te passen op gedateerde Operationele Technology systemen, die vooral in kritieke infrastructuur voorkomen. En kan iedere organisatie - overheid, fabriek of start-up - ongeacht de staat van hun systemen, optimale cybersecurity toepassen.”

Hulp nodig of samenwerken?

Hulp nodig bij het automatiseren van de cybersecurity van jouw organisatie? Ga zelf eenvoudig aan de slag met SOARCA. Of neem contact met ons op.

Bijdragen aan de doorontwikkeling van SOARCA? Werk mee via GitHub. We zijn benieuwd naar jouw ideeën.