SOAR – nieocenione wsparcie zespołu Incident Reponse

Home / Aktualności / SOAR – nieocenione wsparcie zespołu Incident Reponse

Od 2018 roku firma Palo Alto, mająca swój udział w rynku SOAR-ów za sprawą platformy xCortex, publikuje raport State of SOAR, zawierający fakty dotyczące użycia tej technologii przez specjalistów bezpieczeństwa IT z różnych branż. Autorzy pytają ich o stosowane praktyki reagowania na incydenty, a także spostrzeżenia na temat obecnego i przyszłego wykorzystania orkiestracji, automatyzacji i reagowania (SOAR) w zakresie ich działań. W tym artykule prezentujemy co ciekawsze spostrzeżenia z raportu.


Zacznijmy od przypomnienia – SOAR – Security Orchestration Automation & Response. Termin ten jest używany do opisania trzech możliwości systemu:

  1. zarządzania zagrożeniami i podatnościami
  2. reagowania na incydenty bezpieczeństwa
  3. automatyzacji operacji bezpieczeństwa.

SOAR umożliwia firmom zbieranie danych związanych z zagrożeniami z różnych żródeł (wewnętrznych i zewnętrznych) oraz zautomatyzowanie reakcji na zagrożenia niskiego poziomu. Według Gartnera SOAR pozwala na poprawę dziennych możliwości analizy każdej próbki złośliwego oprogramowania czy selekcji alertów o 5%-10%.


Według raportu prezentującego dane z 2020 roku, analitycy bezpieczeństwa mają do czynienia z rosnącym skomplikowaniem ataków, nie jest to rewolucyjne odkrycie…  Co przytłacza to fakt, że obecnie analitycy muszą śledzić średnio 6,8 źródeł informacji o zagrożeniach i ręcznie obsługiwać większość alertów.


„Procesy IR powstają w szerokiej gamie systemów, a wynikający z nich przepływ pracy przekracza wiele barier organizacyjnych.”

Jeżeli rozważasz wdrożenie rozwiązania klasy SOAR – Ci, którzy już posiadają na swoim pokładzie narzędzie klasy SOAR – najczęściej wykorzystują je do*:

  • Wykrywania i reagowania – 45%
  • priorytetyzację luk w zabezpieczeniach – 37%
  • kontrolę zgodności – 30%
  • audyty bezpieczeństwa – 30%

*procent w powyższych przykładach oznacza, jaki procent ankietowanych wskazał dany przypadek użycia jako wykorzystywany w SOAR.

 
Niestety, COVID-19 pogorszył sytuację. Czterdzieści procent ankietowanych uważa, że ​​pandemia powoduje większe ograniczenie zasobów. Dzieje się tak z trzech głównych powodów (powiązanych z pracą zdalną):

  1. Stopień skomplikowania kampanii hakerskich wzrósł
  2. Liczba ataków zwiększyła się (łatwiej zaatakować rozproszone sieci)
  3. Analitycy bezpieczeństwa generalnie nie reagują najlepiej na zarówno pracę w domu jak i ich użytkowników pracujących z domu

Na szczęście ankietowani analitycy jasno określają czego potrzebują, by sprawniej wykonywać swoje obowiązki. Głównym trendem jest wspomniane wyżej zautomatyzowanie reakcji na zagrożenia niskiego poziomu – przeciążenie alertami jest zbyt wysokie.

Kluczowe inicjatywy, powiązane z możliwościami Security Orchestration, Automation & Response to:

  • Zwiększenie liczby zautomatyzowanych procesów – celem lepszej alokacji uwagi analityków oraz redukcji liczby błędów manualnych.  65% respondentów postawiło automatyzację reakcji na incydenty jako priorytet na 2021 rok.
  • Integracja narzędzi SOC z systemami innych firm – dzięki temu mogą one łatwo łączyć się z innymi działami i procesami Incident Reponse. 30% respondentów twierdzi, że chce wspólnej platformy dla wielofunkcyjnych odpowiedzi zespołowych.
  • Więcej playbooków – również od innych firm i tworzonych przez communities. Dzięki czemu mogą wykorzystać sprawdzoną wiedzę innych zespołów. 78%  respondentów chciałoby, aby istniały wspólne ramy i społeczność do udostępniania playbooków i integracji.


Priorytety techniczne mają swoje odzwierciedlenie w strategii informatycznej firmy. Palo Alto Networks pokazuje, że wzrost zapotrzebowania na automatyzację bezpieczeństwa IT koreluje z wykorzystaniem chmury, IoT i co ciekawe – ofensywnych strategii cyberbezpieczeństwa – Red Teaming. Poniżej pokazujemy use-cases, które badani najczęściej wskazywali jako te, w których SOAR znalazłby zastosowanie ze względu na automatyczne reakcje oparte o wiedzę z wielu źródeł.

Krótkie wnioski odnośnie stanu technologii w ankietowanych przedsiębiorstwach – 43% ankietowanych twierdzi, że planuje zwiększyć wydatki na narzędzia SOAR w 2021 r.  Pandemia COVID-19 skłoniła 47% respondentów do zwiększenia stosowania SOAR. Jak widać automatyzacja to nie tylko domena Przemysłu 4.0.

Podsumowując – zespoły SOC muszą zmniejszyć “zmęczenie alarmami”. A nagły wzrost rozproszenia związany z adaptacją usług chmurowych oraz lawiną zdarzeń generowanych przez IoT na pewno nie pomaga. Potrzebne jest narzędzie, które może zmniejszyć liczbę alertów lub przyspieszyć proces zarządzania nimi.  SOAR oferuje rozwiązanie wielu z tych wyzwań. Technologia pomaga zespołom SOC zaoszczędzić czas, przyspieszyć segregację i zmniejszyć liczbę kroków w procesach reakcji na incydenty.



Zachęcamy również do lektury pełnego raportu Palo Alto
Oraz do zapoznania się z rozwiązaniem XSOAR

Powiązane artykuły

SOAR – narzędzie będące doskonałym uzupełnieniem SIEM
Analiza behawioralna – blokada ataku na wczesnym etapie
Czym jest kontekst w cyberbezpieczeństwie i dlaczego jest istotny
Nasz serwis używa plików cookies w celach statystycznych, reklamowych oraz funkcjonalnych. Dzięki nim możemy indywidualnie dostosować ofertę do Twoich potrzeb. Każdy może zaakceptować pliki cookies albo ma możliwość wyłączenia ich w przeglądarce, dzięki czemu nie będą zbierane żadne informacje.
Akceptuję Więcej informacji