Fejléc

Automatizációtól a Pentestig: A CDA Csapat Kiberbiztonsági Megoldásai

Szerző ikon Kovács Erik

Dátum ikon 2025.01.16

A modern vállalati infrastruktúra védelmének biztosításához egyaránt elengedhetetlenek a védekező és a támadó jellegű biztonsági technikák. Az EURO ONE InfoSec üzletágának CDA (Cyber Defense Advisory) csapata a legújabb technológiák alkalmazásával készíti fel a szervezeteket az esetleges támadásokra és azok elhárítására.

Védekező (defenzív) technikák

SOAR (Security Orchestration, Automation and Response)

  • A SOAR automatizálja az incidenskezelési folyamatokat a biztonsági műveletek során.
  • Az elemzők munkáját támogatja és csökkenti, mivel a SOAR automatikusan kivizsgálja az incidenseket és végrehajtja a szükséges lépéseket.
  • A SOAR rendszer integrálható más rendszerekkel, például SIEM rendszerrel, hogy hatékonyan kezelje az incidenseket.


Palo Alto XSOAR:

Az InfoSec üzletág CDA csapata jelenleg a Palo Alto Networks XSOAR automatizációs megoldását használja. Folyamatosan figyelemmel kísérik a piacon elérhető új SOAR megoldásokat, hogy a legjobb eszközt válasszák az ügyfelek igényeinek megfelelően.

SIEM (Security Information and Event Management)

  • A CDA csapat a SOAR mellett a NetWitness SIEM rendszerét alkalmazza, amelynek segítségével valós időben gyűjtik és elemzik a hálózati és biztonsági eseményeket.
  • Ezek a rendszerek lehetővé teszik a potenciális fenyegetések gyors azonosítását és a megfelelő válaszlépések megtételét.
  • A SIEM megoldások integrálják a különböző forrásokból származó naplóadatokat, és automatizált elemzésekkel segítik a biztonsági incidensek felismerését.


SOC kiépítése és tanácsadás

A CDA csapat tevékenysége szorosan kapcsolódik a Security Operation Center működtetéséhez.
A SOC három alappillére: a technológia, az emberi erőforrás és a folyamatok (People, Process, Technology).

  • A technológiai alappillért a SOAR és SIEM rendszerek, valamint más threat intel platformok jelentik.
  • Az emberi alappillér a képzett elemzők csapata, akik az incidenseket kezelik.
  • A folyamatok alappillére a folyamatautomatizálás és a playbookok létrehozása.


Folyamatos fejlődés és javaslatok

A SOC folyamatosan fejlődik, figyelembe véve a változó technológiát és támadási módszereket. A CDA szakértői ennek megfelelően javaslatokat adnak az elemzőknek a folyamatok hatékonyabb kezelésére. Ezek a javaslatok később automatizmusokká válhatnak a SOAR rendszerben.
Az incidenskezelés automatizálására szolgáló SOAR rendszer rugalmas és sokoldalú. A nagyobb vállalatok esetében a SOAR rendszer valóban hatékony lehet, mivel az ott keletkező incidensek száma már indokolja az automatizációt. Az ügyfelek preferenciái pedig változóak lehetnek, és fontos, hogy a biztonsági csapatok megfelelően reagáljanak ezekre az igényekre.
A biztonsági automatizmusok folyamatosan fejlődnek és alkalmazkodnak az ügyfelek igényeihez és a változó technológiákhoz.

Támadó (offenzív) technikák

Az InfoSec üzletág által leginkább alkalmazott offenzív megoldások:

Pentest (Penetration Testing)

  • A pentest célja az, hogy megtalálja és kihasználja a rendszerek sérülékenységeit.
  • Célja a biztonsági rések validálása és kihasználása.
  • Az etikus hackerek (pentesterek) tesztelik a rendszereket, hogy validálják a biztonsági réseket.
  • A pentest során az összes lehetséges gyengeséget megpróbálják feltárni.
  • A pentest széles spektrumon próbálja megtalálni a rendszerek sérülékenységeit.


Előnyei:

  • Biztonság növelése
  • Felméri a szervezet valós kitettségét a támadásokkal szemben.
  • Compliance követelmények teljesítése: Számos iparági szabvány megköveteli a rendszeres penetrációs tesztelést.


Red Teaming

  • A red teaming egy speciális biztonsági gyakorlat, amely során a szakértők szimulált támadást hajtanak végre egy szervezet ellen annak érdekében, hogy feltárja a védelmi rendszerek gyengeségét.
  • A cél az, hogy javítsák a szervezet biztonsági felkészültségét, és teszteljék, mennyire képes észlelni, reagálni és helyreállni valós fenyegetések esetén.


Előnyei:

  • Segít feltárni a biztonsági rendszerek és folyamatok gyenge pontjait.
  • Megmutatja, hogy a szervezet mennyire lenne képes ellenállni egy valódi támadásnak.
  • Növeli a támadásokkal szembeni ellenállóképességet mind technikai, mind emberi oldalról.


Purple Teaming

  • A purple teaming egy kooperatív megközelítés a red (támadó) és a blue team (védelmi csapat) között.
  • A cél az, hogy a két csapat együttműködjön, megossza az információkat és javítsa a védelmet.


Előnyei:

  • A purple teaming segít a hatékonyabb védelem kialakításában.
  • Gyakorlati scenariókban teszteli a SOC hatékonyságát és a folyamatokat.


Összegzés

Ezek a módszerek hozzájárulnak a biztonsági infrastruktúra megerősítéséhez mind a technológia, mind a folyamatok, mind pedig az emberek szintjén. Fontos értékük, hogy automatizációkkal teszik hatékonyabbá az incidenskezelést, amelyben a jövőben egyre nagyobb szerepet játszik a mesterséges intelligencia alkalmazása is.
A CDA csapat átfogó megközelítéssel, a legújabb technológiák és módszerek alkalmazásával segíti a szervezeteket abban, hogy felkészüljenek a kibertámadásokra, gyorsan és hatékonyan reagáljanak az incidensekre, valamint folyamatosan fejlesszék biztonsági infrastruktúrájukat a változó fenyegetettségek és technológiák tükrében.

Nézze meg csoportvezetőnk bemutatkozását