Securitatea in IT nu a fost nicicand mai in centrul atentiei ca acum. In fiecare zi apar mii de noi tulpini de malware, in fiecare zi sunt transmise miliarde de email-uri de phishing, in fiecare zi auzim de brese de securitate in urma carora credentialele utilizatorilor sunt “leak-uite” pe Internet. Razboiul cibernetic pare sa fie si el destul de prezent in vietile noastre, si chiar daca tinta nu suntem noi, putem foarte usor sa cadem victime colaterale. Sistemele de securitate ale unei organizatii trebuie sa fie pregatite sa raspunda in fata unui numar de atacuri exponential mai mare ca in anii trecuti. Volumul de alarme care semnaleaza un potential atac inregistrat intr-o zi de lucru obisnuita este colosal. Departamentul SOC sau echipa de SecOps (security operations) isi petrece mare parte din timp cu triajul si prioritizarea alertelor analizand loguri din surse dispersate cu tool-uri manuale, fara posibilitatea de a face o corelare intre evenimentele din retea si fara a obtine informatii relevante intr-un interval de timp rezonabil. Din fericire, exista doua platforme care pot usura munca inginerilor SecOps si care pot intari postura de securitate a organizatiei: SIEM si SOAR.
SIEM – Security Information and Event Manager este o platforma software care ofera urmatoarele functii:
- Colectarea logurilor dintr-o multitudine de surse (aplicatii, servicii, endoint-uri, servere aflate on-premises sau hostate intr-un cloud si folosirea acestor date pentru a identifica, a categorisi si a analiza evenimente si incidente
- Perspectiva de ansamblu asupra activitatilor si proceselor din organizatie, inclusiv asupra activitatilor malitioase
- Agregarea, deduplicarea si corelarea logurilor intr-o singura interfata de management si control
- Folosirea logurilor pentru a produce alerte si rapoarte care sa ofere informatii relevante personalului IT
O platforma SIEM poate ajuta organizatia sa identifice mai rapid o potentiala amenintare dintr-un ocean de evenimente 99,9999% benigne inainte ca aceasta sa isi produca efectele si sa perturbe business-ul organizatiei.
SOAR – Security Orchestration, Automation and Response este o colectie de unelte aduse impreuna cu scopul de ingera loguri de la solutiile de securitate deja folosite de organizatie, inclusiv de la un SIEM, precum si de la o platforma care ofera threat intelligence (fluxuri de informatii cu privire la noi semnaturi de malware, domenii si IP-uri cunoscute ca surse de malware, servere de command and control, etc.) O platforma SOAR:
- Foloseste algoritmi de machine learning si de inteligenta artificiala pentru a procesa logurile colectate de la solutiile de securitate si pentru a prioritiza raspunsul la incidente
- Combina trei solutii de securitate intr-o singura interfata centralizata: gestionarea amenintarilor cibernetice si a vulnerabilitatilor, raspunsul automat la incidentele de securitate si automatizarea operatiunilor de rutina executate de echipa SecOps. Toate acestea au ca obiectiv eficientizarea si intarirea posturii de securitate a organizatiei.
- Colectarea si corelarea logurilor oferite de sursele integrate in platforma, triajul si eliminarea alertelor de tip fals pozitiv, minimizand nevoia unei interventii umane.
Obiectul principal pe care organizatie urmareste sa il indeplineasca prin integrarea unui SOAR in ecosistemul de securitate este colectarea cator mai multe informatii despre atacurile care vizeaza organizatia si infrastructura sa, ca si automatizarea actiunilor de raspuns la incidentele de securitate. Adoptia unei solutii SOAR va reduce costurile de tip TCO si costurile OPEX asociate cu operatiunile de rutina executate de analistii de securitate, si va mai ridica din presiunea creata de carenta unui numar suficient de specialisti in echipa de securitate.
SIEM sau SOAR?
Alegerea nu ar trebui sa fie una disjunctiva. Desi cele doua platforme prezinta suficiente functii cat sa fie considerate eronat similare, insa ele sunt de fapt complementare. Un SIEM este in mod fundamental o unealta care colecteaza loguri cu scopul de a le interpreta pentru a obtine informatii utile si de a face organizatia complianta cu anumite reglementari specifice industriei in care isi desfasoara activitatea. Din punct de vedere al securitatii, SIEM-ul trimite alerte personalului IT pentru a investiga un eveniment, posibil un incident de securitate. Un SOAR ofera echipei SecOps capabilitatea de a folosi o singura interfata pentru a permite mai multor sisteme de securitate individuale sa se coordoneze unul cu celalalt in vederea automatizarii raspunsului la un incident de securitate pentru proactivitate si eliminarea rapida a amenintarii. Cele doua platforma ofera cel mai ridicat grad de protectie atunci cand sunt folosite impreuna, iar organizatiile care au intentii serioase in ceea ce priveste securitatea vor integra ambele solutii in planul lor de combatere al amenintarilor cibernetice.
Mihai Dumitrascu, Sr Systems Engineer