Fundamentem cyberbezpieczeństwa staje się automatyzacja

Jak skutecznie i efektywnie zarządzać incydentami? Systemy SIEM nadal stanowią fundamentalne narzędzie, na którym opiera się działanie SOC, ale coraz częściej specjaliści tam zatrudnieni zaczynają być przytłoczeni ilością incydentów, które trzeba obsłużyć. Rozwiązaniem tego problemu są systemy SOAR, które pozwalają nie tylko na automatyzowanie części zadań wykonywanych w SOC ale także umożliwiają wiele więcej – mówi Maciej Iwanicki, Business Development Manager – SOAR, SIEM, EDR w Fortinet.
Dlaczego zarządzanie incydentami stanowi istotny element całej strategii cyberbezpieczeństwa?

Maciej Iwanicki [MI]: Zarzadzanie incydentami stanowi istotny etap w całym łańcuchu działań związanych z cyberbezpieczeństwem. Wstępem do zarządzania incydentami musi być monitorowanie i zbieranie informacji we własnym środowisku. Z drugiej strony zarządzanie incydentami umożliwia reagowanie na ataki. Nie wszystkie ataki w ten sposób uda się powstrzymać, ale można zdecydowanie ograniczyć ich wpływ na organizacje.

Jakie narzędzia technologiczne wspierają zarządzanie incydentami?

MI: Jednym z elementów wykorzystywanych natywnie przy monitorowaniu i zbieraniu zdarzeń są rozwiązania klasy SIEM, czyli Security Information and Event Management. Mają one dwa fundamentalne zadania. Przede wszystkim zbierają i zapisują długookresowo dziesiątki albo setki tysięcy zdarzeń, jakie mają miejsce w firmowej sieci. Po drugie, SIEM koreluje te zdarzenia. Z całego tego oceanu informacji wyławiane jest to, co najbardziej istotne, tzw. incydenty bezpieczeństwa.

Czasem SIEM jest narzędziem pracy dla osób zajmujących się bezpieczeństwem w organizacjach, ale najczęściej jest on obsługiwany przez zespół SOC, czyli Security Operations Center. SIEM jest ich głównym narzędziem.

Czy to wszystko? Czy SIEM wystarczy?

MI: Właśnie już nie. Głównym problemem w pracy SOC jest ilość incydentów bezpieczeństwa, którymi trzeba się zająć. Pomimo działania SIEM i prezentowania wyłącznie najbardziej istotnych skorelowanych incydentów, nadal jest ich bardzo dużo. Zbyt dużo nawet dla składających się z wielu specjalistów zespołów SOC. Znaczna część z incydentów, którymi muszą się zająć ma niewielkie znaczenie dla organizacji a część to tzw. false positive, czyli zdarzenia, które zostały zakwalifikowane jako incydenty przez pomyłkę.

Większość specjalistów pracujących w SOC-ach to pasjonaci, zainteresowani przede wszystkim rozkładaniem poważnych ataków na czynniki pierwsze, włącznie z analizą wsteczną, która skupia się na określaniu sposobu, w jaki zagrożenie dotarło do organizacji. Tacy ludzie szybko zaczynają być sfrustrowani przez zalew nieistotnych zdarzeń i false positive’ów, którymi muszą się zajmować. To poważny problem. I właśnie dlatego pojawiło się kolejne narzędzie, jako – w pewnym sensie – rozwinięcie dla SIEM. To SOAR, czyli Security Orchestration, Automation and Response, narzędzie, które ma za zadanie zautomatyzować część działań wykonywanych w SOC-ach i uwolnić specjalistów od rutynowych, manualnych czynności.

Na czym polega działanie SOAR?

MI: Zadaniem SIEM jest zebranie maksymalnie dużej ilości informacji i z nich wyłowić, skorelować to co istotne. SOAR natomiast nie pracuje na milionach zdarzeń, tylko na wyselekcjonowanych incydentach, których lista to efekt filtra, jaki stanowi SIEM.

Weźmy za przykład przypadek phishingu zgłaszany do SOC przez szeregowego pracownika. To typowy przypadek. Jednym z istotnych elementów strategii obrony przed atakami tego typu, jest informowanie osób odpowiedzialnych za bezpieczeństwo o tego typu próbach. Takich zdarzeń jest zwykle dużo. Zwykli ludzie nie są w stanie na 100% ocenić czy faktycznie mają do czynienia z phishingiem, czy nie, ale to jest OK, bo nie zawsze jest to proste zadanie.

Z punktu widzenia SOC wiąże się to jednak z wykonaniem w przypadku każdego zgłoszenia serii czynności, takich jak sprawdzenie nadawcy, jego reputacji, reputacji linków itd. Jeśli trzeba to wykonać ręcznie, to czasochłonne i nużące. Jeśli jednak takie zgłoszenie ”przejdzie” przez SOAR, to część z tych prac zostanie wykonana automatycznie. Zgłoszenie, które ostateczne dotrze do specjalisty będzie wzbogacone o istotne informacje, dzięki czemu będzie on mógł błyskawicznie podjąć decyzję czy sprawa zasługuje na uwagę czy nie.

Podobnie zresztą dzieje się ze wszystkimi zdarzeniami uznanymi za incydent przez system SIEM. SOAR będzie je uzupełniać o dodatkowe informacje, które pozwolą specjaliście w SOC przejść od razu do sedna sprawy.

Czyli SOAR automatyzuje proste, rutynowe czynności wykonywane w SOC?

MI: Tak, ale nie tylko. Wracając do wcześniejszego przykładu, kiedy zgłoszenie phishingu trafi do SOAR, system sprawdzi reputację nadawcy, reputacje domeny nadawcy oraz zawartych w wiadomości linkach, a jeśli wszystko będzie w normie, to zamknie zdarzenie automatycznie bez angażowania specjalistów oraz automatycznie wyśle wiadomość do pracownika z podziękowaniami za zgłoszenie.

SOAR oferuje jednak o wiele więcej. System automatycznie dokumentuje kroki, które przy analizie danego incydentu są wykonywane przez analityków. Dzięki temu o wiele łatwiejsze staje się szkolenie nowych pracowników SOC. Co więcej, mamy dokumentację do obowiązujących procesów, które powstają wewnątrz organizacji, a jeśli mamy to dobrze opisane, to o wiele łatwiej doskonalić te procesy.

Zresztą SOAR cały czas ewoluuje. W ofercie Fortinet rozwiązanie tej klasy jest obecne od kilku lat. W tym czasie stale się doskonaliło i rozwijało równolegle wraz z rozwojem rozwiązań SIEM. Niemniej dzisiaj źródłem zasilającym SOAR w zdarzenia wcale nie musi być SIEM. Może to być dowolne inne źródło.

Czy SOAR jest potrzebny w każdym SOC-u?

MI: Gartner mówi, że SOAR jest potrzebny w SOC, który składa się z więcej niż 5 specjalistów. Ponad 5 osób, to oznacza, że ilość incydentów jest duża. Stąd potrzebne jest narzędzie, które ma pomóc w ich obsłudze. Ja jestem jednak zdania, że nie można używać tego jako sztywnego kryterium. Wszędzie tam, gdzie brakuje ludzi o odpowiednich kompetencjach z zakresu cyberbezpieczeństwa, a to jest notoryczny problem w skali globalnej, tam SOAR może okazać się rozwiązaniem dla wielu problemów. SOAR może wspierać mniejsze zespoły. Nie zastąpi człowieka, ale da więcej czasu specjalistom na wykonywanie innych, ciekawszych zadań.

Czy SOAR jest popularny w SOC-ach organizacji w Polsce?

MI: Obserwujemy globalny wzrost zainteresowania rozwiązaniami SOAR. Głównym czynnikiem napędzającym to zainteresowanie jest potrzeba automatyzacji, odciążania ludzi o rutynowych, manualnych czynności. W Polsce sytuacja jest podobna, z tą różnicą, że dedykowane centra SOC powstawały o wiele później niż w USA czy krajach Europy Zachodniej. Pierwszym elementem technologicznym, który jest potrzebny w SOC z pewnością jest SIEM. Każda organizacja, która potrzebuje SOC z pewnością ma tyle zdarzeń, że nie da się ich przeglądać na poszczególnych urządzeniach. Dlatego w pierwszej kolejności skupiano się właśnie na tych systemach.

Z czasem rośnie dojrzałość SOC, wzrastają kompetencje, ale zwiększa się też ilość zdarzeń i incydentów, rośnie złożoność systemów i zmienia się krajobraz zagrożeń. Nie można w nieskończoność skalować możliwości SOC poprzez zatrudnianie nowych ludzi. Zwłaszcza, że nie można zapominać o kwestiach psychologicznych – tym ludziom trzeba dostarczyć odpowiednich wyzwań, utrzymać ich zainteresowanie, nie dopuścić, żeby się znudzili.

Część organizacji już to dostrzegła i zaczęła interesować się SOAR. Część rozważa zakup komercyjnych rozwiązań, cześć myśli o budowaniu funkcjonalności SOAR samodzielnie. Automatyzację można bowiem osiągnąć na wiele różnych sposobów, w tym opierając się na narzędziach open source.

Co jest lepszy rozwiązaniem? Czy lepiej kupić gotowe rozwiązanie czy zbudować je samodzielnie?

MI: Nie ma prostej odpowiedzi na to pytanie. Zasadnicza kwestia, którą trzeba przemyśleć w tej sytuacji dotyczy utrzymania i rozwoju zbudowanego samodzielnie rozwiązania. Kto się tym zajmie? Czy będziemy dysponować odpowiednią dokumentacją, która będzie kluczowa, kiedy twórcy systemu odejdą z organizacji. Czy rozwojem i utrzymaniem będą w stanie zająć się nowe osoby?

Plusem samodzielnego budowania funkcjonalności SOAR będzie niższy koszt początkowy, ale długoterminowo, koszt ten będzie tylko rósł. Spojrzenie w dłuższej perspektywie, kwestia rozwoju i utrzymania to przewagi gotowych systemów. Poza tym niezwykle istotną kwestią są tzw. konektory do innych systemów. Możliwość rozmawiania SOAR z zewnętrznymi systemami jest kluczowe. Nasze rozwiązanie oferuje dużą ilość gotowych konektorów pozwalających np. weryfikować reputacje adresów email, linków, łączyć się całej gamy różnych systemów bezpieczeństwa. Z drugiej strony FortiSOAR umożliwia łatwe budowanie własnych konektorów – to także ma znaczenie, bo każda organizacja jest inna i korzysta z różnych narzędzi.

Ważna jest także wizualizacja. To może wydawać się trywialne, ale dobra reprezentacja graficzna tego, co wydarzyło się w środowisku ma ogromne znaczenie w codziennej pracy.

Uczestnictwo w CSO Council to nie tylko przynależność do elitarnej społeczności najlepszych specjalistów od Bezpieczeństwa Informacji, ale przede możliwość budowania zawodowych relacji oraz dostęp do unikalnej wiedzy i doświadczeń w w dziedzinie cyberbezpieczeństwa.

Kontakt | Polityka prywatności

© 2024 | Strona korzysta z plików cookies. Przeglądanie strony oznacza akceptację.