SOAR – dyrygent w orkiestrze SOC-u
Jak wspominaliśmy w poprzednim artykule, wartość SOAR polega na jego zdolności do łączenia i koordynowania różnych rozwiązań w zakresie cyberbezpieczeństwa i źródeł danych “pod jednym dachem” – w ramach istniejącej infrastruktury przedsiębiorstwa. W naszej serii artykułów opieramy się o wnioski z raportu Palo Alto Networks – State of SOAR.
Badacze PAN, na podstawie zebranych danych wyróżniają cztery procesy odpowiedzi na incydenty:
- Przyjęcie i “wzbogacenie” incydentu – czyli proces, za pomocą którego SOC gromadzi szczegółowe informacje o zdarzeniu naruszającym bezpieczeństwo i wzbogaca je o dane kontektstowe pozwalające lepiej zrozumieć, co się dzieje. Na przykład: jeśli atak można prześledzić do określonego CVE, proces wzbogacania może dodać szczegółowe informacje na temat CVE, systemy, na które ma wpływ, sposoby remediacji itp.
- Zarządzanie case’ami – każdy incydent staje się (lub powinien się stać) sprawą, którą powinien zająć się SOC wraz z pozostałymi zespołami w organizacji, np: jako operacje IT, operacje sieciowe, prawne i zasoby ludzkie (HR).
- Badanie incydentów – analitycy bezpieczeństwa muszą zbadać incydent, aby określić najlepszy sposób reakcji i zapobiegania podobnym zdarzeniom w przyszłości. Na tym etapie przeprowadza się root cause analysis (coraz częściej przy pomocy systemów automatyzujących zbieranie danych).
- Reagowanie i egzekwowanie – polega na wdrożeniu działań łagodzących określonych w procesie dochodzenia. Elementy te nakładają się na siebie i wzmacniają jeden drugi. Narzędzia wspomagające proces zarządzania incydentami utrzymują porządek pracy i aktualizują wszystko według odpowiednich interesariuszy
SOAR poprawia kryteria sukcesu w każdym z tych obszarów – poprzez automatyzację – która notabene jest wiodącym trendem jeżeli chodzi o inicjatywy poprawiające postawę cyberbezpieczeństwa w przedsiębiorstwach. Według agencji analitycznej Gartner – „Pojawiające się technologie SOAR pozwalają wprowadzić automatyzację, spójność i wydajność dla zespołów SOC, wykraczając poza to, co jest obecnie możliwe w systemach typu SIEM.”
Wśród pracowników SOC-ów, na codzień używających technologii Security Orchestration Automation & Response, badanych przez Palo Alto Networks:
- 54% przyznało, że SOAR zaoszczędził im czas podejmowanie działań w przypadku incydentów.
- 51% wskazało na skrócenie czasu na remediacji incydentu.
- 47% potwierdziło redukcję średniego czas do zamknięcia incydentu.
- 44% skróciło czas segregacji zdarzeń bezpieczeństwa. Kolejne 37%.
…i aż 79% mówi o całościowej poprawie procesów bezpieczeństwa po wdrożeniu SOAR. Wyniki te sugerują, że SOAR oferuje realne rozwiązanie dla wielu z wyzwań stojących obecnie przed zespołami SOC. Skracając czas potrzebny do zarządzania i rozwiązywania problemów i incydentów. SOAR przyczynia się do zmniejszenia stresu przy wysokim poziomie alertów i śledzeniu zbyt wielu źródeł zagrożeń.
Szybsza segregacja i bardziej produktywne zespoły SOC oznaczają możliwość skupienia się na incydentach krytycznych – i efektywne wykorzystanie wiedzy analityków – zasobu, o który w dzisiejszych czasach jest bardzo trudno!