Как повысить производительность центров безопасности на порядок и еще +2 раза?
Reportage | 24.11.2021
Что такое SOAR?
Технологии SOAR позволяют организациям собирать, агрегировать и анализировать огромные объемы данных о нарушениях безопасности и предупреждений от различных программных и аппаратных комплексов безопасности. Агрегация и анализ данных помогают создавать автоматизированные процессы реагирования на события с низким уровнем безопасности и стандартизировать процедуры обнаружения и устранения угроз.
SOAR (Security Orchestration, Automation and Response) - это класс программных продуктов, предназначенных для оркестровки систем безопасности, то есть для их координации и управления.
Этот термин был первоначально введен исследовательской фирмой Gartner, которая с тех пор определила четыре ключевые особенности технологий SOAR:
- Упрощение рабочего процесса реагирования на инциденты
- Обогащение данных
- Автоматизация систем безопасности
- Обнаружение и сегментация угроз
Какова цель SOAR?
Работа в службах кибербезопасности выглядит как постоянная борьба. Скорость отклика и эффективность жизненно важны, но может быть трудно поддерживать согласованную работу всех ваших систем. Аналитики часто бывают ошеломлены объемом предупреждений от разрозненных систем. Получение и сопоставление необходимых данных для отделения реальных угроз от ложных срабатываний может быть сложной задачей. Еще одна проблема - это координация соответствующих ответных мер для устранения этих угроз.
Цель SOAR - решить все эти проблемы за счет повышения эффективности и безопасности. Обеспечьте стандартизированный процесс агрегации данных, чтобы помочь людям использовать машинный анализ, и автоматизировать процессы обнаружения и реагирования, чтобы помочь снизить усталость от предупреждений, позволяя аналитикам сосредоточиться на задачах, требующих более глубокого анализа, или, проще говоря, сосредоточиться на тех областях, где люди наиболее эффективны.
Все больше и больше организаций обращаются к SOAR для повышения своей кибербезопасности.
Нам часто задают вопрос: «Существует ли магический квадрант Gartner для SOAR?» Короткий ответ - «еще нет».
Вам следует использовать SOAR, если у вас есть:
- Отсутствие достаточного количества квалифицированного персонала (встречается в 99% компаний)
- Большой объем ручных процессов обеспечения безопасности требующих автоматизации.
- Аналитики SOC оценивают фишинговые письма и отвечают на них
- Используется множество инструментов и решений для кибербезопасности.
Преимущества SOAR
Перед лицом постоянно меняющихся угроз, нехватки квалифицированного персонала по безопасности и необходимости управлять и контролировать растущие ИТ-организации, SOAR помогает компаниям любого размера улучшить свои возможности по быстрому обнаружению атак и реагированию на них. Он поддерживает потребности кибербезопасности за счет:
1.Обеспечение лучшего анализа существующих и потенциальных угроз.
Противодействие все более изощренным угрозам кибербезопасности требует глубокого понимания тактики, методов и процедур злоумышленника (TTP) и способности определять индикаторы взлома (IOC). Собирая и проверяя данные из самых разных источников, включая платформы анализа угроз, системы обнаружения вторжений и многие другие, SOAR помогает сотрудникам SOC стать более продуктивными. Это означает, что сотрудники службы безопасности могут контекстуализировать инциденты, принимать более обоснованные решения и ускорять обнаружение инцидентов и реагирование на них.
2. Повышение эффективности и результативности операций.
Управление множеством разрозненных технологий безопасности может создать (и уже создает) огромную нагрузку на персонал службы безопасности. Не только системы нуждаются в постоянном мониторинге для обеспечения их непрерывной целостности и производительности, но и тысячи ежедневных сигналов тревоги, которые они генерируют, также могут привести к усталости от предупреждений. Это усугубляется постоянным переключением между несколькими системами, что требует времени и усилий команды и увеличивает риск ошибок. Решения SOAR помогают CSOC автоматизировать и полуавтоматизировать некоторые повседневные и рутинные задачи операций по обеспечению безопасности. Предоставляя интеллектуальные возможности и средства управления через единую панель управления, а также используя искусственный интеллект и машинное обучение, инструменты SOAR могут значительно снизить потребность групп SOC в решении рутинных задач. Использование SOAR поможет улучшить управление процессами, а также повысить продуктивность и способность аналитиков безопасности обрабатывать большое количество инцидентов без набора персонала (и более быстрого привлечения новых членов команды). Это означает, что ключевым преимуществом SOAR является то, что он помогает сотрудникам службы безопасности работать умнее, а не усерднее.
3. Повышение эффективности реагирования на инциденты.
Быстрое реагирование жизненно важно для минимизации риска ущерба от кибератак. SOAR помогает организациям сократить среднее время обнаружения (MTTD) и среднее время ответа (MTTR) за счет квалификации и исправления предупреждений системы безопасности в считанные минуты, а не дни, недели или месяцы (статистика показывает, что время обнаружения и ответа в 12 раз быстрее!). SOAR также позволяет группам безопасности автоматизировать процедуры реагирования на инциденты (известные как playbooks). Автоматические ответы могут включать в себя блокировку IP-адреса в брандмауэре или системе IDS, приостановку учетных записей пользователей или карантин зараженных конечных точек из сети.
4. Оптимизируйте отчетность и создавайте хранилища знаний.
Во многих операционных центрах кибербезопасности сотрудники могут тратить непропорционально много времени на создание отчетов и документирование процедур реагирования на инциденты. Собирая аналитические данные из широкого круга источников и представляя эту информацию через настраиваемые информационные панели, SOAR может помочь сотрудникам службы безопасности сократить объем бумажной работы, улучшив при этом связь между CISO и непосредственными охранниками.
За счет автоматизации задач и процедур SOAR также позволяет организациям сохранять ключевые знания и внедрять оптимальные механизмы реагирования на угрозы.
Это жизненно важно, потому что чем дольше угрозы остаются без внимания, тем выше вероятность получения ущерба.
SOAR - Проблемы внедрения.
Gartner отмечает, что основным препятствием на пути внедрения безопасности SOAR остается отсутствие или низкая зрелость процессов и процедур в командах SOC. Вот почему крайне важно обратиться за советом к специалисту при планировании внедрения SOAR.
Дополнительные подводные камни, связанные с внедрением SOAR:
- Нереалистичные ожидания: SOAR - не панацея от всех проблем безопасности. Организации подвергаются риску при внедрении SOAR, если им не удается установить четко определенные сценарии использования и реалистичные цели.
- Чрезмерная зависимость от автоматизации: жизненно важно не полагаться просто на инструкции и процессы, изначально настроенные в SOAR. Компаниям необходимо убедиться, что они применяют новейшие знания в области безопасности, чтобы их SOAR всегда был готов эффективно реагировать на новые типы угроз.
- Неясные метрики: организации рискуют не получить желаемых результатов от SOAR из-за своей неспособности четко определить свои параметры успеха. Важно понимать, что они пытаются автоматизировать.
Максимизация преимуществ SOAR с SOFTPROM.
Передовые решения самого высокого качества и профессиональные инженеры, способные вместе с партнерами решить любую проблему - это основная деятельность СОФТПРОМ.
Опираясь на наш опыт в области безопасности, а также на наши коллективные знания о новейших сетевых и конечных инструментах, мы оптимизируем системы для уменьшения количества ложных срабатываний, устанавливаем правила корреляции и списки наблюдения для обнаружения новых паттернов ненормального поведения, а также создаем и разрабатываем инструкции по реагированию на инциденты.
Передовые решения самого высокого качества и профессиональные инженеры, способные вместе с партнерами решить любую проблему - это ключевое направление деятельности СОФТПРОМ.
Платформа Siemplify SOAR был разработан с нуля специально для SOC и выходит далеко за рамки традиционных SOAR или playbook. Все в платформе, от управления делами до кризисного управления, было разработано для обеспечения эффективной и действенной работы служб безопасности.
Siemplify использует запатентованный подход, ориентированный на угрозы, который группирует предупреждения всех средств обнаружения в отдельные случаи. Это мощный сдвиг парадигмы, который гарантирует, что ваши аналитики будут тратить свое время на угрозы, а не на поиски уведомлений, что, в свою очередь, дает огромный выигрыш в эффективности.
Наконец, большинство решений SOAR были разработаны для опытных пользователей и для их эффективности требуются дорогие, загруженные и труднодоступные специалисты по безопасности. Платформа Siemplify «Очень простая» - ее интуитивно понятный интерфейс позволяет менее опытным аналитикам работать продуктивно и быстро двигаться в нужном направлении.