Fejléc

Kedvcsináló: üzleti reggelin tárgyaljuk ki a SOAR rendszer előnyeit

Szerző ikon Sajó Péter

Dátum ikon 2021.09.16

Ezúttal rendhagyó blogbejegyzéssel jelentkezünk, mert hamarosan egy üzleti reggeli keretein belül tárgyaljuk ki a SOAR rendszer előnyeit, alkalmazási területeit, s persze a kiépítéshez és felhasználáshoz is adunk majd gyakorlati tanácsokat. Nyilván mindenki más és más indíttatásból gondolkozik el a SOAR rendszerek bevezetéséről, de mi most segítünk részleteiben megismerni és átlátni ezt a technológiát, a gyártó (Palo Alto) által vázolt példákkal és egy olyan ügyfelünk (MVMI) élménybeszámolójával, aki már a gyakorlatban is felépített ilyet. Utóbbi már csak azért is tanulságos eset, mert megtudhatjuk belőle, miként segített egy évek óta kialakult Security Operation Centerben is ez a technológia, s milyen előnyökkel járt a bevezetése.

Az összhangot teremtő SOAR

Manapság egy nagyvállalat számára biztonsági szempontból az egyik legfontosabb eszköz a biztonságfelügyeleti rendszer, illetve az ahhoz tartozó, azt működtető biztonsági csapat. E csapat elemzőkből, mérnökökből, esetleg – nagyobb szervezetnél – incidens koordinátorokból áll. Ráadásul a csapatot alkotók nem egyedül dolgoznak, hanem szoros kapcsolatban vannak az üzemeltetéssel, illetve az üzemeltetésen belül még számos különböző csoporttal.
Egy ilyen biztonsági csapat felépítésével a vezetőknek napi szinten kell foglalkozniuk, hála a folyamatos – sőt, növekvő mértékű – szakemberhiánynak. Ráadásul képzett munkaerőből, akik ezen a területen azonnal bevethetők, úgyszintén nincs elegendő.

S miközben a vezetőknek a csapat felépítése és foltozgatása miatt fáj a feje, a támadások száma töretlen ütemben, folyamatosan növekszik. S ha ez még nem lenne elég, mostanában e támadások egyre nagyobb része épül gépi tanulásra (ML) és mesterséges intelligenciára (AI). Úgy tűnik, a kiberbűnözők az elsők között adaptálták ezen technológiákat, s használják immár napi szinten az összetett, automatizált támadásokhoz.
Ezekkel a kihívásokkal szemben persze rengeteg technológia megoldással élhetünk, s általában nem is a rendelkezésre álló technológiai háttér a gond, hanem az, hogy a fentebb említett csoportok rendkívül nehézkesen tudnak kommunikálni egymással. Nincs meg az összhang, pedig az a hatékony védekezés alapvető feltétele. Ebben tudnak segíteni a SOAR (Security Operation and Response) megoldások.

Kiknél és hogyan alkalmazható a SOAR?

Ha nagyon velősen szeretnénk megfogalmazni, hogy mi az a SOAR lényege, akkor azt mondhatnánk: ezek a biztonsági csapatok munkáját automatizáló eszközök. Ezen a piacon van jelen a Palo Alto is az XSOAR elnevezésű – a piac élvonalába tartozó – termékével. S hogy pontosan kiknek lehet jó választás mondjuk az XSOAR? Nos, mint minden céges eszköznél, nyilván itt is fontos szempont az úgynevezett érettségi szint, amelyből kiderül, milyen fokon áll a cég a Security Operation – a biztonságfelügyeleti rendszerek, a technológia, a folyamatok és az emberállomány – terén.

Ha valaki még semmi mást nem csinált, csak a jelenlegi technológiájának üzemeltetésére dedikált néhány embert, vagy legalább tervszerűen elkezdett ezzel foglalkozni, akkor azt tapasztaljuk, hogy számukra máshol ad előnyt a SOAR technológia, mint azoknál, akik már felépítettek egy SOC-ot, ahol a szabályrendszert már több éve fejlesztik, ahol az incidenseknek elemzése nagyrészt kialakult folyamatok mentén történik, és ahol már azon gondolkodnak, hogy miként lehetne ezeket a napi rutinokat folyamatosan csökkenteni. A SOAR technológia a fejlettség bármilyen szintjén komoly előnyt jelenthet, csak pontosan kell tudnunk, hogy kinél, milyen problémákkal kell számolni. Testreszabottan, de biztos, hogy használható és előnyös lesz.
Ha olyan példát keresünk, amellyel a cég méretétől függetlenül szinte biztosan küzd minden biztonsági rendszer, akkor vehetjük alapul a phishing e-maileket. A támadások 80-90 százaléka phishing próbálkozásokkal indul, a legtöbb kiberbűnözőnél ennek az eszköznek komoly szerepe van. Így aztán ez a legtöbb biztonsági csapatot is folyamatos feladattal látja el.

Mit jelent ez a napi gyakorlatban? Tulajdonképpen akár az is lehet, hogy több tíz vagy akár száz e-mail folyamatos megnyitása, a bennük lévő tartalom ellenőrzése, a rendszerből további információk begyűjtése, a tartalom malware vizsgálata, a csatolt fájlok, a szövegben elhelyezett linkek ellenőrzése, hogy van-e bármiféle káros tartalom. Ennek a vizsgálata, tehát az elemzési fázis – egyáltalán annak az eldöntése, hogy mondjuk egy SIEM rendszerből érkező, vagy egy e-mail védelmi rendszerből jövő riasztással foglalkozni kell-e -, rendkívül erőforrás igényes. Egy ilyen levél vizsgálata akár 3-5 percig eltart. Ha valaki napi szinten 10-100 ilyen e-mailt vizsgál át, akkor ki tudjuk számolni, hogy ez fixen mennyi energiát vesz el a biztonsági csapatból. Ráadásul amennyiben beigazolódik, hogy valóban ártó szándékú e-mailről van szó, akkor be kell vonni egyéb csapatokat is, például üzemeltetési oldalról. Emiatt létfontosságú, hogy át tudjuk adni az információkat más csapatoknak is, így hatékony ellenlépések történhessenek.

Ez az eset szinte minden cégnél előfordul, napi szinten. Márpedig egy-egy ilyen feladatot a SOAR rendszer, még az elemzési oldalon, látványosan képes felgyorsítani: gyakorlatilag 100 százalékban tehermentesíthetők az elemzők, vagyis rábízhatjuk magunkat egy ilyen SOAR rendszerre. Mindent automatikusan elvégez a beépített rule-ok és kialakított folyamatok alapján. Sőt, még az ellenintézkedéseket is elénk tárja, ennek köszönhetően pedig akár arról is dönthetünk, hogy valamilyen szinten ezt is automatizáljuk, vagy inkább manuálisan beavatkozunk. Ezek alapján a SOAR bevezetése egy kevésbé fejlett biztonságfelügyeleti rendszerrel, vagy kisebb biztonságfelügyeleti gyakorlattal rendelkező cégnek is komoly előrelépést jelenthet.
Amikor valaki már magasabb fejlettségi szinten van, a csoportok egymás mellett dolgoznak. Van már egy kialakult folyamat, ha nem is teljesen rögzített, de létező gyakorlattal arra nézve, hogy a különböző biztonsági incidenseket miként kezelik. Ilyen esetekben előbb-utóbb el szoktak érkezni ahhoz a ponthoz, amikor a gyakorlatot jó lenne – amennyire csak lehet – sztenderdizálni, hiszen a biztonsági csapatban az emberek folyamatosan változnak. Felvesznek újakat, pozíciót váltanak a csapaton belül, vagy épp kikerülnek a csapatból. Miközben jó lenne, ha ez a tudás végtelenül egyszerű módon, folyamatosan a csapat rendelkezésére állna. Ha egy csapat és a technológia fejlettebb, akkor egyre komolyabb problémákat is képesek menedzselni, ám ilyen esetekben, mivel több csoportnak a működéséről beszélünk, fontos szempont, hogy egy incidensnél viszonylag komoly információkat kell tudni gyorsan és hatékonyan megosztani egymás között.

Ha valakinek már fejlettebb csapata van, ott bizony sok idő eltelt, így adott esetben több éves gyakorlatuk van, sok pénzt emésztett fel a csapat felépítése, folyamatos képzése, az egyre komolyabb technológiák implementálása, így a felsővezetés nyilván jogosan vár el mérőszámokat is, hogy ez a team mennyire működik hatékonyan. Mennyire foglalkozik azokkal a feladatokkal, amelyek a legnagyobb kockázatot jelentik a szervezet számára. Ezeknél a csapatoknál egy SOAR rendszer másképp, de szintén óriási előnnyel kecsegtet, hiszen a technológiai információkat, az üzleti biznisz kontextust, mind egyetlen helyre csoportosítja. Így a folyamatokat előre kialakítva, jól mérhetően tálalja. Tulajdonképpen fogja az elemző kezét, tehát az elemzők mindig ugyanazt csinálják. Legyen az egy éve dolgozó vagy pár hónappal ezelőtt belépő munkatárs, a tudás átadása megtörténik a folyamatos embercserék ellenére is. Mivel a SOAR-ban ott a korábban feltárt és lekezelt incidenseknek lenyomata, az ezekkel kapcsolatos tudástár felépíthető, ami nagy mértékben felgyorsítja a már ismert típusú támadások elhárítását, gyorsítva, hatékonyabbá téve ezzel a csoport munkáját. Az egy helyen elemzett információk könnyen kontextusba helyezhetők, gyorsabban megtalálhatók, a csapatok közötti információátadás hibátlanul, információvesztés nélkül megoldható. Minden lépés naplózva van, az incidensekkel eltöltött, különböző fázisokban igénybe vett idő mérhető. Végtelenül egyszerűen lehet felépíteni egy ilyen rendszerre például egy mérőszámrendszert, amelyből egyértelműen kiderül, mely fázisban, mennyi időt töltött el a csapat a munkával, mennyi idő alatt voltak képesek detektálni egy riasztást, mennyi idő alatt voltak képesek lezárni az adott incidenst. És ha az üzleti kontextussal is összekötjük ezeket a technikai információkat, akkor arról is képet alkothatunk, hogy ezzel mekkora üzleti kockázatot tudtunk megszüntetni.

Kapcsolódó bejegyzések

További cikkek →

SOAR: az automatizálás biztonsága

Szerző ikon Szalai Tamás

Dátum ikon 2023.01.17

A SOAR automatizálja a biztonsági folyamatokat, csökkentve a reakcióidőt és tehermentesítve a csapatokat. Ismerje meg a hatékony incidenskezelés előnyeit!

Az incidenskezelés fő eszközei: a SIEM és a SOAR rendszerek

Szerző ikon Lesku Gergely

Dátum ikon 2024.07.18

SIEM és SOAR rendszerek segítik az incidensek gyors kezelését, automatizációval támogatva a NIS2 megfelelést és a kiberbiztonsági események elhárítását.

Miért és hogyan érdemes az incidenskezelésre koncentrálni?

Szerző ikon Szabó Gábor

Dátum ikon 2024.07.25

SIEM és SOAR rendszerek a NIS2 megfelelés érdekében automatizált incidenskezelést és gyors reagálást biztosítanak a kiberbiztonsági fenyegetések kezelésére.

A security architect meglátásai

Szerző ikon Karóczi Ádám

Dátum ikon 2024.07.04

NIS2 irányelv és kiberbiztonsági funkciók: az értékek azonosítása, védelem, incidenskezelés és helyreállítás a biztonsági osztályok követelményei szerint.