| Summary: | As cyber threats increase in volume and complexity, organizations must strengthen their ability to leverage threat intelligence (TI) effectively. TI aims to deliver timely, actionable information that supports the prevention and mitigation of cyberattacks. However, its real-world implementation is often limited by fragmented data, high data volume, and a lack of human resources. This study investigates how the integration of Security Orchestration, Automation and Response (SOAR) solutions into TI workflows can enhance automation, efficiency, and consistency in threat intelligence management.
Following the Design Science Research (DSR) approach, the study presents a three-part artifact: a manual TI enrichment process, an automated SOAR-based approach, and a combined SOAR + Threat Intelligence Platform (TIP) configuration. Through controlled tests using mock alerts and various TI sources, the performance of each approach is measured in terms of response time, data consistency, and operational complexity. The results demonstrate that automated enrichment via SOAR and SOAR + TIP variations reduce processing time without compromising data accuracy. The study also explores scalability, implementation challenges, and the role of human oversight. The findings highlight how automation can transform TI from a resource-heavy task into a streamlined process, enabling organizations to respond more effectively to evolving cyber threats.
Kyberturvallisuusuhkien määrän ja monimutkaisuuden kasvaessa organisaatioiden on entistä tärkeämpää hyödyntää uhkatiedustelua (Threat Intelligence, TI) tehokkaasti. TI:n tarkoituksena on tarjota ajankohtaista ja toimintakelpoista tietoa, jonka avulla voidaan torjua ja ennaltaehkäistä kyberhyökkäyksiä. TI:n käytännön hyödyntämistä rajoittavat kuitenkin usein tiedon hajanaisuus, suurten tietomäärien hallinta ja rajalliset inhimilliset resurssit. Tämän tutkimuksen tavoitteena on selvittää, kuinka Security Orchestration, Automation and Response (SOAR) -ratkaisujen integrointi uhkatiedusteluprosesseihin voi parantaa tiedon hallintaa ja mahdollistaa prosessien automatisoinnin.
Tutkimuksessa toteutetaan Design Science Research -menetelmän mukainen kolmivaiheinen artefakti, jossa verrataan manuaalista TI-prosessia, SOAR-pohjaista automaatiota ja yhdistettyä SOAR + TIP (Threat Intelligence Platform) -ratkaisua. Tulokset osoittavat, että automaatio voi parantaa vasteaikaa ja tiedon käsittelyn yhdenmukaisuutta ilman laadun heikentymistä. Lisäksi arvioi-daan operatiivista monimutkaisuutta ja skaalautuvuutta eri lähestymistapojen välillä. Tutkimus tuo esiin myös tilanteet, joissa manuaalinen käsittely voi edelleen olla perusteltua. Tulokset osoittavat, että SOAR-teknologian avulla TI-prosessit voidaan muuttaa nopeammiksi, toistettavammiksi ja tehokkaammiksi, mikä tukee organisaatioiden kykyä reagoida kyberuhkiin entistä paremmin.
|
|---|