Obejrzyj wywiad z Paw┼éem Malakiem z Trend Micro

Jak skutecznie i efektywnie zarz─ůdza─ç incydentami? Systemy SIEM nadal stanowi─ů fundamentalne narz─Ödzie, na kt├│rym opiera si─Ö dzia┼éanie SOC, ale coraz cz─Ö┼Ťciej specjali┼Ťci tam zatrudnieni zaczynaj─ů by─ç przyt┼éoczeni ilo┼Ťci─ů incydent├│w, kt├│re trzeba obs┼éu┼╝y─ç. Rozwi─ůzaniem tego problemu s─ů systemy SOAR, kt├│re pozwalaj─ů nie tylko na automatyzowanie cz─Ö┼Ťci zada┼ä wykonywanych w SOC ale tak┼╝e umo┼╝liwiaj─ů wiele wi─Öcej ÔÇô m├│wi Maciej Iwanicki, Business Development Manager ÔÇô SOAR, SIEM, EDR w Fortinet.
Dlaczego zarz─ůdzanie incydentami stanowi istotny element ca┼éej strategii cyberbezpiecze┼ästwa?

Maciej Iwanicki [MI]: Zarzadzanie incydentami stanowi istotny etap w ca┼éym ┼éa┼äcuchu dzia┼éa┼ä zwi─ůzanych z cyberbezpiecze┼ästwem. Wst─Öpem do zarz─ůdzania incydentami musi by─ç monitorowanie i zbieranie informacji we w┼éasnym ┼Ťrodowisku. Z drugiej strony zarz─ůdzanie incydentami umo┼╝liwia reagowanie na ataki. Nie wszystkie ataki w ten spos├│b uda si─Ö powstrzyma─ç, ale mo┼╝na zdecydowanie ograniczy─ç ich wp┼éyw na organizacje.

Jakie narz─Ödzia technologiczne wspieraj─ů zarz─ůdzanie incydentami?

MI: Jednym z element├│w wykorzystywanych natywnie przy monitorowaniu i zbieraniu zdarze┼ä s─ů rozwi─ůzania klasy SIEM, czyli Security Information and Event Management. Maj─ů one dwa fundamentalne zadania. Przede wszystkim zbieraj─ů i zapisuj─ů d┼éugookresowo dziesi─ůtki albo setki tysi─Öcy zdarze┼ä, jakie maj─ů miejsce w firmowej sieci. Po drugie, SIEM koreluje te zdarzenia. Z ca┼éego tego oceanu informacji wy┼éawiane jest to, co najbardziej istotne, tzw. incydenty bezpiecze┼ästwa.

Czasem SIEM jest narz─Ödziem pracy dla os├│b zajmuj─ůcych si─Ö bezpiecze┼ästwem w organizacjach, ale najcz─Ö┼Ťciej jest on obs┼éugiwany przez zesp├│┼é SOC, czyli Security Operations Center. SIEM jest ich g┼é├│wnym narz─Ödziem.

Czy to wszystko? Czy SIEM wystarczy?

MI: W┼éa┼Ťnie ju┼╝ nie. G┼é├│wnym problemem w pracy SOC jest ilo┼Ť─ç incydent├│w bezpiecze┼ästwa, kt├│rymi trzeba si─Ö zaj─ů─ç. Pomimo dzia┼éania SIEM i prezentowania wy┼é─ůcznie najbardziej istotnych skorelowanych incydent├│w, nadal jest ich bardzo du┼╝o. Zbyt du┼╝o nawet dla sk┼éadaj─ůcych si─Ö z wielu specjalist├│w zespo┼é├│w SOC. Znaczna cz─Ö┼Ť─ç z incydent├│w, kt├│rymi musz─ů si─Ö zaj─ů─ç ma niewielkie znaczenie dla organizacji a cz─Ö┼Ť─ç to tzw. false positive, czyli zdarzenia, kt├│re zosta┼éy zakwalifikowane jako incydenty przez pomy┼ék─Ö.

Wi─Ökszo┼Ť─ç specjalist├│w pracuj─ůcych w SOC-ach to pasjonaci, zainteresowani przede wszystkim rozk┼éadaniem powa┼╝nych atak├│w na czynniki pierwsze, w┼é─ůcznie z analiz─ů wsteczn─ů, kt├│ra skupia si─Ö na okre┼Ťlaniu sposobu, w jaki zagro┼╝enie dotar┼éo do organizacji. Tacy ludzie szybko zaczynaj─ů by─ç sfrustrowani przez zalew nieistotnych zdarze┼ä i false positiveÔÇÖ├│w, kt├│rymi musz─ů si─Ö zajmowa─ç. To powa┼╝ny problem. I w┼éa┼Ťnie dlatego pojawi┼éo si─Ö kolejne narz─Ödzie, jako ÔÇô w pewnym sensie ÔÇô rozwini─Öcie dla SIEM. To SOAR, czyli Security Orchestration, Automation and Response, narz─Ödzie, kt├│re ma za zadanie zautomatyzowa─ç cz─Ö┼Ť─ç dzia┼éa┼ä wykonywanych w SOC-ach i uwolni─ç specjalist├│w od rutynowych, manualnych czynno┼Ťci.

Na czym polega działanie SOAR?

MI: Zadaniem SIEM jest zebranie maksymalnie du┼╝ej ilo┼Ťci informacji i z nich wy┼éowi─ç, skorelowa─ç to co istotne. SOAR natomiast nie pracuje na milionach zdarze┼ä, tylko na wyselekcjonowanych incydentach, kt├│rych lista to efekt filtra, jaki stanowi SIEM.

We┼║my za przyk┼éad przypadek phishingu zg┼éaszany do SOC przez szeregowego pracownika. To typowy przypadek. Jednym z istotnych element├│w strategii obrony przed atakami tego typu, jest informowanie os├│b odpowiedzialnych za bezpiecze┼ästwo o tego typu pr├│bach. Takich zdarze┼ä jest zwykle du┼╝o. Zwykli ludzie nie s─ů w stanie na 100% oceni─ç czy faktycznie maj─ů do czynienia z phishingiem, czy nie, ale to jest OK, bo nie zawsze jest to proste zadanie.

Z punktu widzenia SOC wi─ů┼╝e si─Ö to jednak z wykonaniem w przypadku ka┼╝dego zg┼éoszenia serii czynno┼Ťci, takich jak sprawdzenie nadawcy, jego reputacji, reputacji link├│w itd. Je┼Ťli trzeba to wykona─ç r─Öcznie, to czasoch┼éonne i nu┼╝─ůce. Je┼Ťli jednak takie zg┼éoszenie ÔÇŁprzejdzieÔÇŁ przez SOAR, to cz─Ö┼Ť─ç z tych prac zostanie wykonana automatycznie. Zg┼éoszenie, kt├│re ostateczne dotrze do specjalisty b─Ödzie wzbogacone o istotne informacje, dzi─Öki czemu b─Ödzie on m├│g┼é b┼éyskawicznie podj─ů─ç decyzj─Ö czy sprawa zas┼éuguje na uwag─Ö czy nie.

Podobnie zreszt─ů dzieje si─Ö ze wszystkimi zdarzeniami uznanymi za incydent przez system SIEM. SOAR b─Ödzie je uzupe┼énia─ç o dodatkowe informacje, kt├│re pozwol─ů specjali┼Ťcie w SOC przej┼Ť─ç od razu do sedna sprawy.

Czyli SOAR automatyzuje proste, rutynowe czynno┼Ťci wykonywane w SOC?

MI: Tak, ale nie tylko. Wracaj─ůc do wcze┼Ťniejszego przyk┼éadu, kiedy zg┼éoszenie phishingu trafi do SOAR, system sprawdzi reputacj─Ö nadawcy, reputacje domeny nadawcy oraz zawartych w wiadomo┼Ťci linkach, a je┼Ťli wszystko b─Ödzie w normie, to zamknie zdarzenie automatycznie bez anga┼╝owania specjalist├│w oraz automatycznie wy┼Ťle wiadomo┼Ť─ç do pracownika z podzi─Ökowaniami za zg┼éoszenie.

SOAR oferuje jednak o wiele wi─Öcej. System automatycznie dokumentuje kroki, kt├│re przy analizie danego incydentu s─ů wykonywane przez analityk├│w. Dzi─Öki temu o wiele ┼éatwiejsze staje si─Ö szkolenie nowych pracownik├│w SOC. Co wi─Öcej, mamy dokumentacj─Ö do obowi─ůzuj─ůcych proces├│w, kt├│re powstaj─ů wewn─ůtrz organizacji, a je┼Ťli mamy to dobrze opisane, to o wiele ┼éatwiej doskonali─ç te procesy.

Zreszt─ů SOAR ca┼éy czas ewoluuje. W ofercie Fortinet rozwi─ůzanie tej klasy jest obecne od kilku lat. W tym czasie stale si─Ö doskonali┼éo i rozwija┼éo r├│wnolegle wraz z rozwojem rozwi─ůza┼ä SIEM. Niemniej dzisiaj ┼║r├│d┼éem zasilaj─ůcym SOAR w zdarzenia wcale nie musi by─ç SIEM. Mo┼╝e to by─ç dowolne inne ┼║r├│d┼éo.

Czy SOAR jest potrzebny w ka┼╝dym SOC-u?

MI: Gartner m├│wi, ┼╝e SOAR jest potrzebny w SOC, kt├│ry sk┼éada si─Ö z wi─Öcej ni┼╝ 5 specjalist├│w. Ponad 5 os├│b, to oznacza, ┼╝e ilo┼Ť─ç incydent├│w jest du┼╝a. St─ůd potrzebne jest narz─Ödzie, kt├│re ma pom├│c w ich obs┼éudze. Ja jestem jednak zdania, ┼╝e nie mo┼╝na u┼╝ywa─ç tego jako sztywnego kryterium. Wsz─Ödzie tam, gdzie brakuje ludzi o odpowiednich kompetencjach z zakresu cyberbezpiecze┼ästwa, a to jest notoryczny problem w skali globalnej, tam SOAR mo┼╝e okaza─ç si─Ö rozwi─ůzaniem dla wielu problem├│w. SOAR mo┼╝e wspiera─ç mniejsze zespo┼éy. Nie zast─ůpi cz┼éowieka, ale da wi─Öcej czasu specjalistom na wykonywanie innych, ciekawszych zada┼ä.

Czy SOAR jest popularny w SOC-ach organizacji w Polsce?

MI: Obserwujemy globalny wzrost zainteresowania rozwi─ůzaniami SOAR. G┼é├│wnym czynnikiem nap─Ödzaj─ůcym to zainteresowanie jest potrzeba automatyzacji, odci─ů┼╝ania ludzi o rutynowych, manualnych czynno┼Ťci. W Polsce sytuacja jest podobna, z t─ů r├│┼╝nic─ů, ┼╝e dedykowane centra SOC powstawa┼éy o wiele p├│┼║niej ni┼╝ w USA czy krajach Europy Zachodniej. Pierwszym elementem technologicznym, kt├│ry jest potrzebny w SOC z pewno┼Ťci─ů jest SIEM. Ka┼╝da organizacja, kt├│ra potrzebuje SOC z pewno┼Ťci─ů ma tyle zdarze┼ä, ┼╝e nie da si─Ö ich przegl─ůda─ç na poszczeg├│lnych urz─ůdzeniach. Dlatego w pierwszej kolejno┼Ťci skupiano si─Ö w┼éa┼Ťnie na tych systemach.

Z czasem ro┼Ťnie dojrza┼éo┼Ť─ç SOC, wzrastaj─ů kompetencje, ale zwi─Öksza si─Ö te┼╝ ilo┼Ť─ç zdarze┼ä i incydent├│w, ro┼Ťnie z┼éo┼╝ono┼Ť─ç system├│w i zmienia si─Ö krajobraz zagro┼╝e┼ä. Nie mo┼╝na w niesko┼äczono┼Ť─ç skalowa─ç mo┼╝liwo┼Ťci SOC poprzez zatrudnianie nowych ludzi. Zw┼éaszcza, ┼╝e nie mo┼╝na zapomina─ç o kwestiach psychologicznych ÔÇô tym ludziom trzeba dostarczy─ç odpowiednich wyzwa┼ä, utrzyma─ç ich zainteresowanie, nie dopu┼Ťci─ç, ┼╝eby si─Ö znudzili.

Cz─Ö┼Ť─ç organizacji ju┼╝ to dostrzeg┼éa i zacz─Ö┼éa interesowa─ç si─Ö SOAR. Cz─Ö┼Ť─ç rozwa┼╝a zakup komercyjnych rozwi─ůza┼ä, cze┼Ť─ç my┼Ťli o budowaniu funkcjonalno┼Ťci SOAR samodzielnie. Automatyzacj─Ö mo┼╝na bowiem osi─ůgn─ů─ç na wiele r├│┼╝nych sposob├│w, w tym opieraj─ůc si─Ö na narz─Ödziach open source.

Co jest lepszy rozwi─ůzaniem? Czy lepiej kupi─ç gotowe rozwi─ůzanie czy zbudowa─ç je samodzielnie?

MI: Nie ma prostej odpowiedzi na to pytanie. Zasadnicza kwestia, kt├│r─ů trzeba przemy┼Ťle─ç w tej sytuacji dotyczy utrzymania i rozwoju zbudowanego samodzielnie rozwi─ůzania. Kto si─Ö tym zajmie? Czy b─Ödziemy dysponowa─ç odpowiedni─ů dokumentacj─ů, kt├│ra b─Ödzie kluczowa, kiedy tw├│rcy systemu odejd─ů z organizacji. Czy rozwojem i utrzymaniem b─Öd─ů w stanie zaj─ů─ç si─Ö nowe osoby?

Plusem samodzielnego budowania funkcjonalno┼Ťci SOAR b─Ödzie ni┼╝szy koszt pocz─ůtkowy, ale d┼éugoterminowo, koszt ten b─Ödzie tylko r├│s┼é. Spojrzenie w d┼éu┼╝szej perspektywie, kwestia rozwoju i utrzymania to przewagi gotowych system├│w. Poza tym niezwykle istotn─ů kwesti─ů s─ů tzw. konektory do innych system├│w. Mo┼╝liwo┼Ť─ç rozmawiania SOAR z zewn─Ötrznymi systemami jest kluczowe. Nasze rozwi─ůzanie oferuje du┼╝─ů ilo┼Ť─ç gotowych konektor├│w pozwalaj─ůcych np. weryfikowa─ç reputacje adres├│w email, link├│w, ┼é─ůczy─ç si─Ö ca┼éej gamy r├│┼╝nych system├│w bezpiecze┼ästwa. Z drugiej strony FortiSOAR umo┼╝liwia ┼éatwe budowanie w┼éasnych konektor├│w ÔÇô to tak┼╝e ma znaczenie, bo ka┼╝da organizacja jest inna i korzysta z r├│┼╝nych narz─Ödzi.

Wa┼╝na jest tak┼╝e wizualizacja. To mo┼╝e wydawa─ç si─Ö trywialne, ale dobra reprezentacja graficzna tego, co wydarzy┼éo si─Ö w ┼Ťrodowisku ma ogromne znaczenie w codziennej pracy.

W tak du┼╝ej firmie jak Grupa Allegro incydenty bezpiecze┼ästwa zdarzaj─ů si─Ö non stop. O tym, ile os├│b czuwa nad bezpiecze┼ästwem u┼╝ytkownik├│w, jak testuje si─Ö czujno┼Ť─ç pracownik├│w, a tak┼╝e o specyfice pracy z incydentami rozmawiamy z Micha┼éem Wieruckim, CSO Grupy Allegro.

┬ę 2024 | Strona korzysta z plik├│w cookies. Przegl─ůdanie strony oznacza akceptacj─Ö.