SOAR – nieocenione wsparcie zespołu Incident Reponse
Od 2018 roku firma Palo Alto, mająca swój udział w rynku SOAR-ów za sprawą platformy xCortex, publikuje raport State of SOAR, zawierający fakty dotyczące użycia tej technologii przez specjalistów bezpieczeństwa IT z różnych branż. Autorzy pytają ich o stosowane praktyki reagowania na incydenty, a także spostrzeżenia na temat obecnego i przyszłego wykorzystania orkiestracji, automatyzacji i reagowania (SOAR) w zakresie ich działań. W tym artykule prezentujemy co ciekawsze spostrzeżenia z raportu.
Zacznijmy od przypomnienia – SOAR – Security Orchestration Automation & Response. Termin ten jest używany do opisania trzech możliwości systemu:
- zarządzania zagrożeniami i podatnościami
- reagowania na incydenty bezpieczeństwa
- automatyzacji operacji bezpieczeństwa.
SOAR umożliwia firmom zbieranie danych związanych z zagrożeniami z różnych żródeł (wewnętrznych i zewnętrznych) oraz zautomatyzowanie reakcji na zagrożenia niskiego poziomu. Według Gartnera SOAR pozwala na poprawę dziennych możliwości analizy każdej próbki złośliwego oprogramowania czy selekcji alertów o 5%-10%.
Według raportu prezentującego dane z 2020 roku, analitycy bezpieczeństwa mają do czynienia z rosnącym skomplikowaniem ataków, nie jest to rewolucyjne odkrycie… Co przytłacza to fakt, że obecnie analitycy muszą śledzić średnio 6,8 źródeł informacji o zagrożeniach i ręcznie obsługiwać większość alertów.
„Procesy IR powstają w szerokiej gamie systemów, a wynikający z nich przepływ pracy przekracza wiele barier organizacyjnych.”
Jeżeli rozważasz wdrożenie rozwiązania klasy SOAR – Ci, którzy już posiadają na swoim pokładzie narzędzie klasy SOAR – najczęściej wykorzystują je do*:
- Wykrywania i reagowania – 45%
- priorytetyzację luk w zabezpieczeniach – 37%
- kontrolę zgodności – 30%
- audyty bezpieczeństwa – 30%
*procent w powyższych przykładach oznacza, jaki procent ankietowanych wskazał dany przypadek użycia jako wykorzystywany w SOAR.
Niestety, COVID-19 pogorszył sytuację. Czterdzieści procent ankietowanych uważa, że pandemia powoduje większe ograniczenie zasobów. Dzieje się tak z trzech głównych powodów (powiązanych z pracą zdalną):
- Stopień skomplikowania kampanii hakerskich wzrósł
- Liczba ataków zwiększyła się (łatwiej zaatakować rozproszone sieci)
- Analitycy bezpieczeństwa generalnie nie reagują najlepiej na zarówno pracę w domu jak i ich użytkowników pracujących z domu
Na szczęście ankietowani analitycy jasno określają czego potrzebują, by sprawniej wykonywać swoje obowiązki. Głównym trendem jest wspomniane wyżej zautomatyzowanie reakcji na zagrożenia niskiego poziomu – przeciążenie alertami jest zbyt wysokie.
Kluczowe inicjatywy, powiązane z możliwościami Security Orchestration, Automation & Response to:
- Zwiększenie liczby zautomatyzowanych procesów – celem lepszej alokacji uwagi analityków oraz redukcji liczby błędów manualnych. 65% respondentów postawiło automatyzację reakcji na incydenty jako priorytet na 2021 rok.
- Integracja narzędzi SOC z systemami innych firm – dzięki temu mogą one łatwo łączyć się z innymi działami i procesami Incident Reponse. 30% respondentów twierdzi, że chce wspólnej platformy dla wielofunkcyjnych odpowiedzi zespołowych.
- Więcej playbooków – również od innych firm i tworzonych przez communities. Dzięki czemu mogą wykorzystać sprawdzoną wiedzę innych zespołów. 78% respondentów chciałoby, aby istniały wspólne ramy i społeczność do udostępniania playbooków i integracji.
Priorytety techniczne mają swoje odzwierciedlenie w strategii informatycznej firmy. Palo Alto Networks pokazuje, że wzrost zapotrzebowania na automatyzację bezpieczeństwa IT koreluje z wykorzystaniem chmury, IoT i co ciekawe – ofensywnych strategii cyberbezpieczeństwa – Red Teaming. Poniżej pokazujemy use-cases, które badani najczęściej wskazywali jako te, w których SOAR znalazłby zastosowanie ze względu na automatyczne reakcje oparte o wiedzę z wielu źródeł.
Krótkie wnioski odnośnie stanu technologii w ankietowanych przedsiębiorstwach – 43% ankietowanych twierdzi, że planuje zwiększyć wydatki na narzędzia SOAR w 2021 r. Pandemia COVID-19 skłoniła 47% respondentów do zwiększenia stosowania SOAR. Jak widać automatyzacja to nie tylko domena Przemysłu 4.0.
Podsumowując – zespoły SOC muszą zmniejszyć „zmęczenie alarmami”. A nagły wzrost rozproszenia związany z adaptacją usług chmurowych oraz lawiną zdarzeń generowanych przez IoT na pewno nie pomaga. Potrzebne jest narzędzie, które może zmniejszyć liczbę alertów lub przyspieszyć proces zarządzania nimi. SOAR oferuje rozwiązanie wielu z tych wyzwań. Technologia pomaga zespołom SOC zaoszczędzić czas, przyspieszyć segregację i zmniejszyć liczbę kroków w procesach reakcji na incydenty.