SOAR (Security Orchestration And Response) to nowa, zyskująca coraz bardziej na znaczeniu technologia w bezpieczeństwie IT, szczególnie interesująca dla organizacji dysponujących własnym SOC (Security Operations Centre) lub aktywnie użytkujących system klasy SIEM. W tym drugim przypadku SOAR to kolejny krok w kierunku SOC. Poniższy artykuł przedstawia podejście Mediarecovery do tego zagadnienia w oparciu o praktyczne doświadczenia projektowania i budowy systemów kompleksowej reakcji na incydenty IT.

SOAR jest nową klasą systemów IT Sec, których zadaniem jest skuteczniejsze zarządzanie zdarzeniami bezpieczeństwa występującymi w systemach IT/OT organizacji.  Ich funkcjonalność sprowadza się zasadniczo do trzech obszarów: automatyzacja procesów response w oparciu o playbooki, automatyczne wzbogacanie zdarzeń o dodatkowe informacje w oparciu o różnorodne integracje oraz strukturyzacja procesów w oparciu o role i tickety.

Idea SOAR opiera się o konieczność zwiększenia efektywności pracy zespołów reagowania. Jeśli interesujesz się SOAR to prawdopodobnie znaczy, że uznajesz swoje systemy za wystarczająco zaawansowane żeby rozwinąć je do wyższego poziomu bezpieczeństwa. Wybrany kierunek to właściwa droga. Nowoczesne SOAR powinno składać się z:

Elementy SOAR

 

Organizacja SOAR nie musi opierać się tylko o jedno narzędzie. Orkiestracja może być realizowana na przykład w oparciu o narzędzie klasy SOM i integracje. Często SIR i TIP pokrywa SOC, pozostaje dodać do nich orkiestrację żeby finalnie uzyskać w praktyce coś co określamy SOAR.

Dlaczego firmy decydują się na SOAR?

Odróżnienie zdarzeń od incydentów bezpieczeństwa wymaga coraz więcej czasu z uwagi na ogromne ilości informacji, jakie rejestrują systemy IT. Oczywiście SIEM zapewnia mechanizmy korelacji i odrzucania false-positive ale często weryfikacja (triage) tych zdarzeń wymaga sięgania do wielu systemów. To powoduje, że analitycy muszą poświęcić na to zadanie wiele czasu. SOAR rozwiązuje te problemy wzrasta skuteczność i wydajność wszystkich aktywności IT Sec. Znacząco poprawia się efektywność zespołu bezpieczeństwa, zwiększa się szybkość działania i reakcji co przekłada się na obniżenie kosztów „rutynowych” operacji.

Według danych podawanych przez Gartnera wdrożenie SOAR pozwala na zwiększenie od 5% do 10% dziennych możliwości analiz każdej próbki złośliwego oprogramowania czy selekcji alertów. Niejako „efektem ubocznym” wdrożenia SOAR, oprócz ekonomicznego wzrostu efektywności, jest pozyskanie nowych możliwości analitycznych, co przekłada się na skuteczność wykrywania ataków.

SOAR to także spójne zarządzanie pracą, personelem i rozliczalność..

Wdrożenie SOAR – na co się przygotować?

Przede wszystkim należy zabezpieczyć odpowiednią ilość czasu. Można spotkać vendorów, którzy będą twierdzić, że instalacja SOAR to po prostu „point-and-click” ale nie jest to prawda. Oczywiście, teoretycznie będziemy w stanie wyobrazić sobie tego typu wdrożenie w idealnych warunkach laboratoryjnych. Jednak w rzeczywistości pilotażowe wdrożenie SOAR to między 30, a 180 dni. Obejmuje ono przede wszystkim integrację już działających rozwiązań (SIEM, EDR, TI, itp.) oraz testy i jeszcze raz testy. Dzięki temu już na tym etapie można stwierdzić, jak i o ile SOAR poprawia działanie zespołu bezpieczeństwa w realiach danej organizacji.

Proces wdrożenia SOAR

Wdrożenie i optymalizację SOAR warto prowadzić np. „per kategoria incydentu”. Dla przykładu  może to być phising. Większości organizacji, z którymi współpracujemy posiada już procesy związane z wyłudzaniem informacji i zgłaszaniem potencjalnie niebezpiecznych wiadomości e-mail.

Do realizacji takiego wdrożenia będzie potrzebny serwer pocztowy, narzędzie Threat Intelligence, być może również EDR, zdarzenia ze SIEM. Całość trzeba oczywiście ze sobą zintegrować. Jeśli w organizacji nie ma odpowiednich playbooków dot. phisingu to jest to dobry moment aby je utworzyć. Całość oczywiście można opomiarować wskaźnikami skuteczności i rozpocząć optymalizację.

Jakie da to efekty praktyczne? W krótkim czasie efektywność analityków wzrośnie co szybko przełoży się na ograniczenie kosztów lub pozwoli w ramach tego samego budżetu „otrzymać” kolejny etat. Aby optymalnie wykorzystać SOAR można w zamian za to pomyśleć o włączeniu do zespołu developera i to nie koniecznie tworząc pełny etat.

Schemat pokazujący efekty wdrożenia SOAR

Schemat pokazujący efekty wdrożenia SOAR

 

Software developer przyda się z pewnością w zakresie konfigurowania i rozwiązywania problemów z integracją narzędzi np. SIEM czy EDR. W praktyce najczęściej zdarza się, że nie komunikują się one z SOAR zgodnie z oczekiwaniami. Developer będzie w stanie je po prostu poprawić lub naprawić.

Jeśli to my, Mediarecovery, będziemy wspierać proces wdrożenia możesz oczywiście na nas liczyć. Zarówno w czasie początkowej instalacji, jak i integracji, a także na etapie udoskonalania działania całości.

Chcesz wiedzieć więcej?

Trudno w krótkim artykule opisać szczegółowo tak złożone zagadnienie jakim jest SOAR i uwzględnić wszystkie istotne obszary. Długich tekstów nikt nie chce czytać 😉 Zatem znacznie lepiej i efektywniej można zrobić to podczas spotkania. Dlatego potraktuj ten artykuł, jako zaproszenie do rozmowy na ten temat. A jeśli je przyjmiesz to daj nam znać. Wspólnie ustalimy dogodny dla obu stron termin spotkania i jego szczegółowy zakres tematyczny. Do usłyszenia!

SOAR, czyli wyższy poziom SOC
4.4 (88%) 10 oceny