Security Orchestration, Automation And Response

Orkiestracja bezpieczeństwa przyspiesza i upraszcza proces reagowania na zagrożenia. Łączy technologie i obsługę incydentów w skoordynowany zestaw działań. Dzięki rozwiązaniom SOAR zadania powtarzalne, proste i pojawiające się w procesie obsługi incydentu z dużą częstotliwością wykonywane są automatycznie przez system.

Właściwie wdrożone rozwiązanie orkiestracyjne oszczędza czas specjalistów ds. bezpieczeństwa, którzy poza weryfikacją wyników akcji wykonanych automatycznie, skupiają się na zadaniach o wyższym priorytecie.

Funkcje systemów SOAR:

  • automatyzacja procesów response w oparciu o playbooki,
  • automatyczne wzbogacanie zdarzeń o dodatkowe informacje w oparciu o różnorodne integracje,
  • strukturyzacja procesów w oparciu o role i tickety.

Miejsce SOAR w architekturze IT/OT organizacji:

Kto skorzysta z automatyzacji:

Automatyzacja = orkiestracja

Okiestracja pozwala skorzystać z charakterystycznych wspólnych elementów, które budują dane zagrożenie lub atak, aby móc na podstawie wiedzy specjalistów ds. bezpieczeństwa zebranej w playbookach automatycznie dopasować jak najlepszą formę reakcji. Playbooki są zaprojektowane tak, aby generować decyzje i rozwiązania na podstawie ciągle gromadzonych, korelowanych i zintegrowanych danych z różnych źródeł.

Do automatyzacji należy wybrać zadania istotne dla biznesu, które często się powtarzają oraz wszystkie zdarzenia false-positive (fałszywe alarmy), których obsługa jest prosta, jednak czasochłonna od strony technicznej.

Przykłady użycia

Triage alertów bezpieczeństwa

Zespoły bezpieczeństwa otrzymują dużą ilość alertów z działających w organizacji systemów zabezpieczających, dlatego muszą stosować ich priorytetyzację. Najczęściej stosowanym podejściem jest prowadzenie szybkiej analizy alertów w celu określenia, czy dotyczy on adresu e-mail, domeny, adresu IP, czy adresu URL. Następnie, w większości przypadków, specjaliści polegają na spójnej, powtarzalnej sekwencji zapytań i działań. Te kroki można łatwo zautomatyzować dzięki SOAR.

SOAR - Triage alertów bezpieczeństwa
0
Zapytania tygodniowo
0 minut
Czas wysłania jednego zapytania
0 godzin
Zaoszczędzony czas tygodniowo
0 dni
Czas zaoszczędzony rocznie

Działania w punktach końcowych

Analityk po otrzymaniu alertu sprawdza wszelkie wskaźniki podatności danego urządzenia na zagrożenia. Następnie decyduje, czy należy poddać kwarantannie lub odizolować hosta od sieci, aby nie stanowił zagrożenia dla innych. Zapytania używane przez analityka w celu sprawdzenia wagi alertu są powtarzalne, a możliwe odpowiedzi są ograniczone. „Odpytywanie” systemu ręcznie wydłuża czas, co powoduje wzrost ryzyka. Te kroki można łatwo zautomatyzować dzięki SOAR.

Soar - Działania na punktach końcowych
0 endpointy
Zarażone endpointy tygodniowo
0 minut
Typowy czas reakcji na incydent
0 sekund
Nowy czas reakcji na incydent