Az incidenskezelés fő eszközei: a SIEM és a SOAR rendszerek

EURO ONE NIS2 care

---

Az informatikai biztonság területén a kibertámadások elkerülhetetlenek. Az incidenskezelés célja az, hogy hatékonyan reagáljunk ezekre a fenyegetésekre, minimalizáljuk a károkat, és gyorsan helyreállítsuk a normál működést. A SIEM (Security Information and Event Management) és a SOAR (Security Orchestration, Automation, and Response) rendszerek kulcsfontosságú szerepet játszanak ebben a folyamatban.

Bevezetés az incidenskezelésbe

Az incidenskezelés a kibertámadások észlelésében, elhárításában és leállításában segít. Egy biztonsági incidens lehet például egy sikertelen bejelentkezési kísérlet, egy malware fertőzés vagy egy adatlopás. Az informatikában három olyan kifejezés létezik, amelyek néha felcserélhetően használatosak, de különböző dolgokat jelentenek:

• Események: Ártalmatlan műveletek, például fájl létrehozása vagy e-mail megnyitása. Egy esemény önmagában nem jelent biztonsági incidenst, de más eseményekkel párosítva már valamilyen fenyegetést jelezhet. 
• Riasztások: Események által kiváltott értesítések, amelyek vagy fenyegetések, vagy nem. Önmagukban egyik riasztás sem tűnhet jelentős fenyegetésnek, de együttes jelenlétük lehetséges biztonsági incidensre utalhat. 
• Incidensek: Egymással összefüggő riasztások csoportja. Az incidenskezelés célja, hogy a lehető leggyorsabban körülhatárolja a kibertámadást, majd elvégezze a szükséges helyreállítást, értesítse a menedzsmentet vagy a felügyeleti szerveket a regionális jogszabályoknak megfelelően, és folyamatos működtetés közben a szervezet megtanulja, hogyan csökkentheti a hasonló incidensek jövőbeli előfordulásának kockázatát. 

SIEM és SOAR rendszerek szerepe

A SIEM (Security Information and Event Management) segít az alkalmazásokból, eszközökről, hálózatokból és kiszolgálókról gyűjtött naplóinformációk tárolásában, feldolgozásában, az incidensek és események azonosításával, kategorizálásával és elemzésével. A SIEM rendszer képes többféle logot begyűjteni és dinamikus szabályok vagy gépi tanulás alapján riasztásokat generálni. A korreláció és a kontextus alapján képes az összetett támadások azonosítására is. Mindemellett az elemzők fő eszköze is, mivel egyedül itt érhető az összes releváns információ egy rendszerben. 

A SOAR (Security Orchestration, Automation, and Response) rendszer lehetővé teszi a manuális folyamatok automatizálását, a riasztások és incidensek kezelését. A SOAR rendszer összekapcsolja a különböző biztonsági eszközöket és alkalmazásokat, így egységesen kezelhetővé válnak. Az automatizált válaszok gyorsítják az incidenselhárítást, és minimalizálják az emberi hibák lehetőségét. 

SOAR Rendszerek: Az Incidenskezelés Hatékony Eszközei 

Az incidenskezelés célja az, hogy hatékonyan reagáljunk ezekre a fenyegetésekre, minimalizáljuk a károkat, és gyorsan helyreállítsuk a normál működést.  

SOAR Rendszerek

A SOAR rendszerek automatizálják az incidensek azonosítását, elemzését és az incidenskezelési folyamat végig vitelét. Nem csak az elemzők feladatát automatizálják, hanem például a ticket kezelést is ellátják. Rugalmasságuk és alkalmazkodóképességük kulcsfontosságú a sikeres bevezetéshez. 

• Kiberbiztonsági Ticket Kezelés: A SOAR rendszer segíti a ticketek kezelését. Automatizált értesítéseken és előre meghatározott folyamatok mentén támogatja a felhasználókat, hogy adott szerepkörükben miként reagáljanak az incidensekre. 
• Workflow Testreszabása: Rugalmasságuk lehetővé teszi a workflowk testre szabását. Az ügyfél specifikus igényeinek megfelelően alakíthatók ki a folyamatok. 
• Integrációk: A SOAR rendszer összekapcsolja a különböző biztonsági eszközöket és alkalmazásokat. Ez egységesen kezelhetővé teszi a rendszereket, minimalizálva az emberi hibák lehetőségét – ezt hívják orchestration-nek. 
• Kihívások: Bár a SOAR rendszerek hatékonyak, nem minden automatizálható. Például az adott hálózatot, rendszereket ismerő szakemberek bevonása nélkül sok esetben nem lehet teljes mértékben megvalósítani az incidenskezelést. Az emberi interakció és a szakértői tudás továbbra is nélkülözhetetlen.

SIEM Rendszerek

A SIEM rendszerek segítenek az események és riasztások azonosításában, kategorizálásában és elemzésében. Képesek többféle logot begyűjteni és gépi tanulás alapján riasztásokat generálni. A korreláció és a kontextus alapján összetett támadásokat is azonosíthatnak. Nem elhanyagolható elvárás, hogy a logok tárolása hosszú távon is feladatuk. 

Partnerünk Netwitness platformja, nem csak log elemzési képességgel bír, hanem végponti (EDR) és hálózati (NDR, Full packet capture) adatokat is kezel, valamint Machine Learning alapú korrelációs képességeket is biztosít (UEBA). A SOAR rendszerekkel ellentétben a Netwitness önállóan is képes alapszintű incidens kezelésre.  

Rólunk

A mi szakértői csapatunk 20 éve működik, jelenleg 52 szakemberből áll, az 5 információbiztonsági kompetenciaközpontunk tudása számos céget támogat Európa szerte és itthon, többek között a NIS2 megfelelési szükségleteik kielégítésében. Mérnökeink a korszerű (SIEM, SOAR, XDR, MGFW, SASE, MFA, stb.) technológiák bevezetésében és üzemeltetéséveb segítenek. Cyber Defence tanácsadóink végeznek penetrációs teszteket és Red Teaminget is de fő feladatuk, hogy az IT szervezetekkel együttműködve a védelmi architektúrát és a működési folyamatokat kidolgozzák és az eszközöket integrálják. A saját SOC csapatuk pedig a kiberbiztonsági események felügyeletét végzi.

Összefoglalás

A SIEM rendszerek segítenek az események és riasztások azonosításában, míg a SOAR rendszerek automatizálják az incidensek kezelését. A rugalmasság és az alkalmazkodóképesség kulcsfontosságú elvárás a rendszerek felé a hatékony bevezetéshez. A Netwitness platform pedig egy olyan eszköz, amely a log elemzés mellett végponti és hálózati adatokat is kezel, és a AI alapú korrelációs képességeket is biztosít. A megfelelési szükségletek kielégítésétől a védelmi architektúra kidolgozásáig és az eszközök integrálásáig a szakértői csapatok minden lépésben képesek segíteni a biztonság érdekében akár a legmagasabb szinten.

---