Tag: SOAR

Co to jest system SOAR
23.04.2024
Integrity Partners

System SOAR – czym jest i jak poprawia bezpieczeństwo?

Infrastruktura IT firm składa się dziś z różnych narzędzi bezpieczeństwa. Dostarczają one wielu danych i generują alerty, gdy wykryją zagrożenie lub podejrzaną aktywność. Sprawne zarządzanie wydarzeniami i alertami oraz szybka reakcja na incydenty są niezbędne do tego, by chronić się przed cyberatakami. W procesach tych kluczową rolę odgrywa system SOAR. Czym jest i jak działa? 

Termin SOAR (Security Orchestration, Automation and Response) został użyty po raz pierwszy przez analityków Gartnera w 2015 roku. Określa on platformy łączące w sobie trzy różne procesy związane z bezpieczeństwem: orkiestrację, automatyzację i reakcję na incydenty. 
System SOAR. Orkiestracja, automatyzacja, reakcja na incydenty 
Przyjrzyjmy się teraz tym trzem procesom. 

1. Orkiestracja: Centra operacji bezpieczeństwa (SOC) korzystają z różnych narzędzi bezpieczeństwa, bardzo często od różnych producentów. Należą do nich między innymi firewalle, systemy chroniące endpointy, systemy informujące o zagrożeniach, system SIEM. Platforma SOAR łączy te narzędzia i pozwala je monitorować z jednego miejsca. Wszystko po to, by analitycy nie musieli ręcznie przełączać się między rozwiązaniami.

Systemy SOAR wykorzystują interfejsy programowania aplikacji (API), wtyczki i niestandardowe integracje do łączenia tych narzędzi. Po ich zintegrowaniu zespoły SOC mogą koordynować ich działania za pomocą playbooków. Są to mapy procesów, zawierające spis kroków, które należy wykonać w standardowych procesach bezpieczeństwa, takich jak wykrywanie zagrożeń, ich badanie i reagowanie na nie.

2. Automatyzacja: Rozwiązania SOAR mogą automatyzować czasochłonne, powtarzalne zadania, takie jak otwieranie i zamykanie zgłoszeń, gromadzenie informacji o zdarzeniach i priorytetyzacja alertów.

Systemy te mogą również wyzwalać zautomatyzowane działania połączonych narzędzi bezpieczeństwa. Zadania można zaprogramować w oparciu o playbooki lub przepływy pracy, które są uruchamiane automatycznie w momencie wystąpienia określonego zdarzenia.

3. Reagowanie na zdarzenia: Orkiestracja i automatyzacja są podstawą dla opartej na sztucznej inteligencji reakcji na incydent bezpieczeństwa. Systemy SOAR agregują dane alerty z zewnętrznych źródeł oraz zintegrowanych narzędzi bezpieczeństwa w centralnym panelu sterowania. Analitycy mogą korelować dane z różnych źródeł, filtrować fałszywe alarmy, priorytetyzować zadania i zidentyfikować konkretne zagrożenia. Następnie – reagować, wyzwalając odpowiednie playbooki.

To jednak nie wszystko. Zespoły IT mogą również wykorzystywać narzędzia SOAR do przeprowadzania audytów po wystąpieniu incydentu. SOAR pozwala zrozumieć, jakie konkretne zagrożenie naruszyło sieć i jak zapobiec podobnym incydentom w przyszłości.  
Jak działa system SOAR? 
System SOAR integruje różne narzędzia i gromadzi płynące z nich dane, które później wykorzystuje do: 
Identyfikacji i priorytetyzacji incydentów bezpieczeństwa 
System analizuje dane z różnych źródeł i wykorzystuje algorytmy uczenia maszynowego do identyfikowania potencjalnych incydentów bezpieczeństwa. Następnie priorytetyzuje te incydenty na podstawie ich potencjalnego wpływu na organizację. 
Automatyzacji reakcji na incydenty 
System SOAR może automatyzować wiele zadań związanych z reakcją na incydenty, takich jak: 

Zbieranie dodatkowych danych o incydencie 
Kwarantanna zainfekowanych urządzeń 
Aktualizacja oprogramowania antywirusowego 
Reset hasła 
Powiadomienie odpowiednich zespołów 

 Zarządzania playbookami 
Systemy SOAR zawierają bibliotekę gotowych playbooków, które opisują kroki, jakie należy podjąć w momencie wystąpenia różnych typów incydentów bezpieczeństwa. Użytkownicy mogą również tworzyć własne playbooki dostosowane do specyficznych potrzeb organizacji. 
Wsparcia współpracy 
Systemy SOAR ułatwiają współpracę między różnymi zespołami bezpieczeństwa dzięki temu, że udostępniają jedno wspólne miejsce do wymiany informacji i zarządzania incydentami. 
System SOAR – korzyści z wdrożenia
Platformy SOAR optymalizują procesy bezpieczeństwa, w tym zarządzanie incydentami oraz podatnościami i reagowanie na nie. Lepsza, szybsza i sprawniejsza organizacja pracy działów bezpieczeństwa IT przynosi firmom znaczące korzyści. 

Przetwarzanie większej liczby alertów w krótszym czasie 

Zespoły SOC muszą radzić sobie każdego dnia z nawet setkami lub tysiącami alertów bezpieczeństwa. SOAR – dzięki gromadzeniu szerszych danych o zdarzeniu i automatyzacji odpowiedzi – pozwala na przetwarzanie większej liczby alertów i szybszą reakcję na nie. 

Bardziej adekwatne plany reagowania na incydenty 

Zespoły IT mają do dyspozycji playbooki SOAR, które pozwalają im zdefiniować standardowe procedury reagowania na różnego rodzaju incydenty. Specjaliści IT nie muszą zatem radzić sobie z zagrożeniami, opierając się jedynie na doświadczeniach i przeczuciach. Zamiast tego mogą skorzystać z pomocy odpowiedniego playbooka, który umożliwia skuteczne usuwanie zagrożeń. 

Podejmowanie lepszych decyzji 

Systemy SOAR udostępniają centralny panel do monitorowania wszystkich incydentów bezpieczeństwa, co może pomóc organizacjom w identyfikowaniu trendów i zapobieganiu przyszłym incydentom. Informacje widoczne w panelu SOAR mogą wspomóc zespoły IT w wykrywaniu fałszywych alarmów, lepszym priorytetyzowaniu alertów i wybieraniu odpowiednich procedur reagowania. 

Większa dokładność działania 

Systemy SOAR pomagają wyeliminować błędy ludzkie, które mogą prowadzić do pogorszenia sytuacji w przypadku incydentu bezpieczeństwa. 

Zgodność z przepisami 

Systemy SOAR mogą pomóc organizacjom w spełnieniu wymagań regulacyjnych dotyczących bezpieczeństwa danych. 

Lepsza organizacja pracy i większa wydajność zespołów IT 

Automatyzacja uwalnia czas analityków bezpieczeństwa. Dzięki temu mogą się oni skupić na bardziej złożonych zadaniach. 

 Podsumowując, SOAR to platforma bezpieczeństwa, która integruje i automatyzuje wiele procesów związanych z bezpieczeństwem. Jej wdrożenie usprawnia reakcję na incydenty, zmniejsza obciążenia pracą zespołów IT i poprawia ogólny poziom bezpieczeństwa w organizacji.  

 

Czytaj więcej
Model dojrzałości monitorowania i reagowania na incydenty bezpieczeństwa
29.10.2021
Dominik Czyż

SIEM i SOAR: Model dojrzałości monitorowania i reagowania na incydenty bezpieczeństwa

Reagowanie na incydenty bezpieczeństwa, czyli jak wdrożyć systemy klasy SIEM i SOAR?
W dzisiejszych czasach każda organizacja mierzy się z wyzwaniem zapewnienia bezpieczeństwa informacji, przede wszystkim w zakresie poufności, dostępności oraz integralności danych i systemów, które zapewniają możliwość świadczenia usług biznesowych, czy też kluczowych. Co więcej część organizacji jest zobligowana do przestrzegania regulacji i zaleceń wynikających z rodzaju świadczonych usług np. wytyczne Komisji Nadzoru Finansowego dla spółek finansowych oraz ustawy o krajowym systemie cyberbezpieczeństwa dla operatorów usług kluczowych.
Każda z wymieniowych wcześniej regulacji, zakłada konieczność monitorowania i raportowania incydentów bezpieczeństwa. Dla organizacji, których regulacje nie dotyczą, monitorowanie incydentów jest równie ważne m.in. z uwagi na możliwość świadczenia usług biznesowych czy też utrzymania wysokiego poziomu zadowolenia i zaufania klientów.
Zbudowanie procesu monitorowania i reagowania na incydenty bezpieczeństwa jest zagadnieniem złożonym, do którego należy się odpowiednio przygotować i realizować krok po kroku. Niestety nie ma złotego środka w postaci rozwiązania technologicznego, które pozwoli na kompleksowe uruchomienie procesu.
Należy również pamiętać, że cały proces to nie tylko technologia, ale również kwestie organizacyjne np. polityka i procedury bezpieczeństwa, jak również ludzie, czyli odpowiednio zwymiarowany zespół, składających się ze specjalistów i ekspertów o odpowiednich kompetencjach. W opracowaniu skupię się przede wszystkim na rozwiązaniach technologicznych.
W ramach przygotowania do wdrożenia procesu można posiłkować się modelem dojrzałości monitorowania i reagowania na incydenty bezpieczeństwa.

 
Jak przygotować się do wdrożenia procesu w oparciu o technologię?
Pierwszym krokiem przygotowania się do wdrożenia procesu monitorowania i reagowania na incydenty bezpieczeństwa w kontekście technologicznym jest analiza środowiska IT w zakresie:

Wykorzystywanych rozwiązań bezpieczeństwa
Usług podstawowych np. serwer poczty
Systemów świadczących najważniejsze usługi biznesowe
Systemów wspierających

Idealna sytuacja, która jednak wymaga znaczącego nakładu pracy, to inwentaryzacja wszystkich zasobów IT w organizacji, co pozwala na przygotowanie się do pierwszego etapu, czyli wdrożenia rozwiązania zapewniającego widoczność zdarzeń bezpieczeństwa.
Na podstawie przeprowadzonych analiz możemy wyspecyfikować nie tylko obszary, które powinniśmy i możemy objąć monitorowaniem, ale również obszary, w których występują braki technologiczne czy funkcjonalne, które należy uzupełnić.
Analiza stanu obecnego infrastruktury oraz rozwiązań bezpieczeństwa pozwoli na opracowanie docelowych funkcjonalności rozwiązań log management, SIEM i SOAR, które będą możliwe do implementacji. Przykładowo brak rozwiązania klasy EDR uniemożliwi wykrywanie zdarzeń dotyczących uruchamiania podejrzanych plików czy procesów na stacjach roboczych.
Widoczność zdarzeń bezpieczeństwa
Widoczność zdarzeń bezpieczeństwa jest kluczowym elementem całego procesu. Nie można w efektywny sposób wdrożyć procesu, jeśli nie mamy odpowiedniej widoczności tego, co dzieje się w naszej infrastrukturze.
Jako pierwszy element modelu powinien zostać wdrożony system klasy zarządzania zdarzeniami (log management). Technologia będzie pobierać lub odbierać zdarzenia z monitorowanych systemów (źródeł danych) i przechowywać je przez określony czas, dając możliwość analizy zdarzeń, jak również wykonywania szczegółowych analiz czy raportowania na potrzeby zgodności.
Analizując rozwiązania dostępne na rynku warto rozważyć Producentów, którzy dostarczają zarówno rozwiązania log management jak i rozwiązania SIEM. Zapewnienie homogenicznych rozwiązań od jednego Producenta, w przyszłości może zaoszczędzić czas niezbędny do wdrożenia kolejnych rozwiązań technologicznych, w kolejnych krokach modelu dojrzałości. Dotyczy to przede wszystkim sposobu normalizacji zdarzeń, który jest odmienny dla różnych systemów log management i SIEM.
Podczas wyboru rozwiązania należy zwrócić uwagę w szczególności na:

Stopień kompresji zdarzeń przy ich długoterminowym przechowywaniu.
Funkcjonalność konfiguracji różnych okresów przechowywania zdarzeń dla poszczególnych rodzajów systemów/zdarzeń.
Stopnień skomplikowania funkcjonalności podłączania źródeł logów.
Stopień skomplikowania przygotowywania dedykowanych reguł normalizujących zdarzenia.
Sposób przekazywania zdarzeń do zewnętrznych systemów SIEM oraz SOAR.

Na podstawie zdarzeń zebranych w systemach zarządzania logami można wykonać analizę tego, co dzieje się w naszej infrastrukturze, a przede wszystkim potwierdzić możliwość realizacji docelowych funkcjonalności SIEM i SOAR w ramach rozwoju modelu dojrzałości.
Z dobrych praktyk wynika, że z modułu zarządzania logami do modułu SIEM powinno trafiać maksymalnie 50%, a zwykle ok. 30% zebranych zdarzeń, które będą wykorzystane dalej do monitorowania incydentów bezpieczeństwa w czasie zbliżonym do rzeczywistego. Z tego wynika, że wdrożenie odrębnego modułu zarządzania logami oraz odrębnego modułu SIEM pozwoli na znaczne zoptymalizowanie budżetu niezbędnego na licencje oraz zasoby sprzętowe czy też wirtualne. Należy mieć na uwadze, że koszt modułu zarządzania logami jest znacznie niższy niż koszt wdrożenia systemów SIEM.
Monitorowanie reaktywne incydentów bezpieczeństwa
Na potrzeby przejścia do kolejnego punktu modelu dojrzałości niezbędne jest wdrożenie systemu klasy SIEM w podstawowej funkcjonalności. Zakres wdrożenia jak również funkcjonalności analityczne, które będą implementowane w ramach etapu, mamy już określone w poprzednim etapie, dzięki wykonanej analizie zarówno infrastruktury, jak i zdarzeń bezpieczeństwa.
Monitorowanie reaktywne z wykorzystaniem systemu klasy SIEM polega na reagowaniu na incydenty bezpieczeństwa w momencie ich wykrycia przez silnik korelacyjny. Jednak jest to monitorowanie post factum i w obecnym etapie polega na wykonywaniu analiz już zaistniałych incydentów bezpieczeństwa.
Etap dotyczy nie tylko wdrożenia samej technologii, ale również edukacji zespołów w ramach wdrożonego rozwiązania. Poznawanie funkcjonalności i zasady działania pozwala użytkownikom na znalezienie dodatkowych sposobów wykorzystania systemu. Co więcej budowanie kompetencji operatorów, analityków i osób odpowiedzialnych za bezpieczeństwo organizacji pozwala na rozpoczęcie procesu monitorowania incydentów bezpieczeństwa. Osoby odpowiedzialne za proces mają okazję poznać specyfikę incydentów, a co za tym idzie konkretnych zagrożeń i ataków, z którymi boryka się organizacja.
Monitorowanie proaktywne incydentów bezpieczeństwa
Monitorowanie proaktywne z wykorzystaniem systemu SIEM to przesunięcie ciężaru działania z wykrywania zaistniałych incydentów bezpieczeństwa na monitorowanie potencjalnie niestandardowego i groźnego zachowania infrastruktury IT.
Z pomocą przychodzi szereg funkcjonalności udostępnionych przez producentów poszczególnych rozwiązań SIEM np.:

Integracja rozwiązań z feedami IoC, IoA oraz Threat Intelligence.
Badanie zachowania użytkowników wewnętrznych i zewnętrznych z wykorzystaniem modułów klasy user behavior analytics.
Moduły wykorzystujące machine learning i artificial intelligence do badania anomalii w infrastrukturze.

Wspomniane funkcjonalności w znakomity sposób zwiększają widoczność zdarzeń bezpieczeństwa w organizacji w bardzo szerokim zakresie. Monitorowanie proaktywne wykorzystuje przede wszystkim dynamiczne elementy i funkcjonalności, a nie bazuje już tylko na zebranych zdarzeniach i ich statycznej analizie.
Większość systemów SIEM posiada wbudowany moduł do obsługi incydentów bezpieczeństwa. Zazwyczaj działa on świetnie w obrębie danego systemu jednak posiada ograniczenia w możliwości integracji z innymi systemami, zarówno na potrzeby wykonania akcji, jak i procesowania incydentów w systemach zewnętrznych. Incydenty mogą być wzbogacane o dodatkowe informacje pochodzące ze zdarzeń ze źródeł danych, które są podłączone do SIEM. Wykonanie akcji np. blokowanie użytkownika, jest teoretycznie możliwe, ale wymaga prac developerskich. Sytuacja wygląda podobnie jeśli chodzi o możliwość współpracy pracowników zespołów bezpieczeństwa. Każdy członek zespołu musi mieć skonfigurowane odpowiednie uprawnienia w głównej konsoli systemu SIEM.
Automatyzacja
Ostatnim etapem dojrzałości modelu monitorowania i reagowania na incydenty bezpieczeństwa jest wdrożenie systemu klasy Security Orchestration Automation and Response. Systemy SOAR to uniwersalne platformy, które zapewniają jeden punkt wspólny pracy dla zespołów cyberbezpieczeństwa przy obsłudze incydentów bezpieczeństwa.
Najważniejszą zaletą systemów SOAR jest możliwość automatyzacji częściowej lub całościowej procesu obsługi incydentu bezpieczeństwa w ramach tzw. Playbooka czyli przepływów procesu. W znaczący sposób wpływa to na wzrost efektywności procesu, co skutkuje znaczącym spadkiem kosztów obsługi procesu
Docelowo system klasy SOAR powinien być wdrożony na bazie funkcjonalności, które zostały określone w poprzednich etapach modelu i rozwijać je do wysokiego poziomu dojrzałości. Przy procesie specyfikacji wspomnianych funkcjonalności należy wziąć pod uwagę następujące kwestie:

Jakie mogą być źródła informacji o danym incydencie. Jaki system oprócz SIEM może wzbogacić analizowany incydent?
Jakie integracje z zewnętrznymi systemami powinny zostać wykorzystane?
Czy system SOAR ma wykonywać akcje na innych systemach np. automatyczne blokowanie użytkownika?

Dojrzały model monitorowania i reagowania na incydenty bezpieczeństwa nie będzie oczywiście opierał się jedynie na rozwiązaniu SIEM. Tak naprawdę źródłem incydentu może być dowolny system np. EDR, czy też system backupowy. Podobnie akcją SOAR-a nie musi być tylko akcja związana z cyberbezpieczeństwem.
Dla lepszego zobrazowania podejścia do wykorzystania systemu SOAR w organizacji w bogatym zakresie, który wykorzysta wzbogacanie incydentów i wykonywanie akcji, przedstawię przykładowe playbooki: 1. 
1. Wielokrotne nieudane logowania

Zdarzenie ze SIEM uruchamia playbook.
Z Active Directory pobierane są informacje o użytkowniku – wzbogacanie incydentu.
Playbook automatycznie wysyła do użytkownika wiadomość e-mail z pytaniem, czy jest świadom zaistniałego zdarzenia i czy potwierdza ten fakt.
Jeśli użytkownik potwierdzi fakt, playbook zostaje zamknięty.
Jeśli użytkownik nie potwierdzi faktu konto użytkownika jest blokowane w Active Directory i powiadamiany jest przełożony pracownika, za pomocą wiadomości e-mail.
Priorytet incydentu jest ustawiany na wysoki.

2. Zarządzanie kontem pracownika na wypowiedzeniu

System SOAR otrzymuje informację z systemu kadrowego o pracowniku, który kończy współpracę z firmą w konkretnym terminie. Uruchamiany jest playbook, który ustawia harmonogram uruchomienia kolejnego playbooka na podstawie terminu przesłanego przez system kadrowy.
W podanym terminie uruchamiany jest playbook, który wykonuje akcje w postaci blokowania użytkownika w Active Directory, innych usługach, do których pracownik miał dostęp oraz blokuje kartę pracownika, za pomocą której wchodził on do firmy.

Przygotowane w poprzednich etapach funkcjonalności, szczególnie w etapie monitorowania proaktywnego, dobrze jest zaimplementować w SOAR, dodając procedury automatyzujące częściowo lub całościowo ich obsługę.
Efektem dojrzałego procesu monitorowania i reagowania na incydenty bezpieczeństwa jest kompleksowo wdrożony system zarządzania logami, wykrywania podejrzanych zdarzeń i anomalii, jak również system obsługi incydentów. Punktem obsługi incydentów i pracy użytkowników będzie konsola systemu SOAR, jako najwyższa warstwa procesu.
Co dalej?
Trzeba mieć na uwadze, że osiągnięcie dojrzałości procesu monitorowania i reagowania na incydenty bezpieczeństwa nie sprawia, że organizacja jest w 100% zdolna do przeciwdziałania wszystkim zagrożeniom. W sieci praktycznie codziennie pojawiają się nowe zagrożenia i ataki, często zero-day lub APT, co wymusza ciągłe doskonalenie procesu. Dlatego ważne jest, aby w sposób cykliczny przeglądać proces i dostosowywać go do obecnych warunków.
Podsumowanie
Zastosowanie modelu dojrzałości procesu monitorowania i reagowania na incydenty bezpieczeństwa ma wiele zalet. Przede wszystkim umożliwia przygotowanie roadmapy, na podstawie której proces będzie wdrażany od początku lub od momentu, w którym znajduje się obecnie w organizacji. Model daje możliwość zaplanowania nie tylko działań, ale też docelowej funkcjonalności inicjalnej, bazującej na wykonanej w fazie przygotowawczej analizie. Jest to niezwykle ważne, gdyż pozwala na określenie kryteriów sukcesu dla każdego etapu.
Wykorzystanie etapów modelu pozwala na zwiększenie efektywności budowania całego procesu, co w efekcie przekłada się na oszczędność czasu podczas wdrożeń. Podział modelu na poszczególne fazy sprzyja również rozwojowi pracowników, którzy sukcesywnie nabywają wiedzę i kompetencje, wraz z rozwojem procesu.
 
Jesteś zainteresowany naszym wsparciem w obszarze Cyber Security? Napisz do nas, wypełniając formularz kontaktowy poniżej.

Czytaj więcej
Ten serwis używa plików "cookies" zgodnie z POLITYKĄ PRYWATNOŚCI. Brak zmiany ustawień przeglądarki oznacza jej akceptację. View more
Rozumiem