Departamentul de securitate al unei organizatii, sau pentru business-urile mai mici, inginerii IT care se ocupa si de securitate, se confrunta zilnic cu un volum enorm de alerte care si duc o munca de Sisif incercand sa identifice printre acestea posibile brese de securitate. Orele petrecute sau mai bine zis irosite cu aceste operatiuni reduce simtitor viteza de reactie la un incident real de securitate si mareste fereastra de timp pe care un atacator o are la dispozitie pentru a-si indeplini obiectivele cu succes.
SOC-ul organizatiei sau echipa de SecOps trebuie sa dispuna de tool-uri care sa le permita triajul rapid al alertelor, eliminand falsele pozitive, si proactivitate in cazul unui incident. Aici ajuta foarte mult o platforma de securitate de tip SOAR – Security Orchestration, Automation and Response. Un astfel de tool imputerniceste echipa SecOps cu trei capabilitati foarte importante cand vine vorba de siguranta cibernetica: managementul vulnerabilitatilor si al amenintarilor, raspunsul automat la un incident de securitate pe baza unor playbook-uri create de SecOps si automatizarea operatiunilor prin flow-uri definite de SecOps.
Termenul de SOAR a fost „inventat de catre Gartner care ofera definita de aici. Pe scurt, o platforma SOAR colecteaza loguri de la anumite surse (SIEM, firewall, antivirus, etc), agrega, triaza si analizeaza aceste loguri folosind tehnici avansate de machine learning si inteligenta artificiala si returneaza analistului informatii relevante si solutii de remediere a incidentelor de securitate. Din punct de vedere tehnic, o platforma SOAR este construita din tool-uri care permit automatizari, solutii software de securitate si aplicatii web. Toate acestea permit unei organizatii sa aiba o viziune mult mai larga fata de ce poate oferi o solutie punctuala de securitate si sa raspunda la un atac cu asistenta minima din partea unui om responsabil de securitatea companiei.
Security Orchestration
Partea de orchestrare dintr-o solutie SOAR se refera la integrarea intr-o singura interfata a unui ecosistem dispersat de unelte folosite de departamentul SOC si a unor workflow-uri gandite de organizatie care sa automatizeze operatiunile executate altfel manual de echipa SecOps.
Security Automation
Partea de automatizare este responsabila cu detectia, investigarea si remedierea unor brese de securitate printr-un proces programabil si customizabil in functie de specificul organizatiei, totul intr-un ritm mai rapid decat cel de care este capabil interventia umana.
Security Response
Raspunsul la un incident de securitate este realizat de SOAR in mod dinamic pe baza informatiilor ingerate din retea, din aplicatii si de la endpoint-uri. Folosind tehologii de inteligenta artificiala, SOAR poate sa creeze task-uri (efectuate in mod traditional de un analist) care sa fie executate automat in cazul unui atac asupra organizatiei.
O platforma SOAR este un tool valoros care nu trebuie sa lipseasca unei organizatii constienta de riscurile de securitate din industria in care activeaza. Alaturi de alte tool-uri specifice unui departament SOC sau unei echipe SecOps, integrarea unui SOAR in ecosistemul de securitate creste viteza de reactie la incidente, ofera o viziune unificata asupra resurselor on-premises, remote sau din cloud si reduce vulnerabilitatea organizatiei in fata amenintarilor cibernetice. Alege sa implementezi un SOAR, iti vei multumi mai tarziu si mai ales iti vor multumi toti membrii din echipa de securitate, de la analisti pana la CISO 😉
Mihai Dumitrascu, Sr Systems Engineer