Fejléc

SOAR: az automatizálás biztonsága

Szerző ikon Szalai Tamás

Dátum ikon 2023.01.17

Az elmúlt években megnőtt a vállalatok biztonsági csapatainak vállára nehezedő teher, mivel az egyre szervezettebben fellépő támadók aprólékosan kihasználják az informatikai infrastruktúrák növekvő szintű összetettségét. Azonban a SOAR (Security Orchestration, Automation and Response) segítségével hatékonyan automatizálhatók a kiberbiztonsági folyamatok, s ez hatalmas előnyt jelenthet a biztonsági vezetők számára.

SOAR: amikor az automatizálás biztonságot teremt

Aki hatékonyan szeretné kialakítani a biztonsági folyamatokat és a legtöbbet kívánja kihozni azokból, az nem kerülheti meg többé az automatizálást, s így van ez az IT-biztonsági iparág esetében is. A szakképzett munkaerő hiányának kialakulása és ezzel egyidejűleg az IT-infrastruktúrák növekvő összetettsége óriási kihívások elé állítja a biztonsági csapatokat, ezért kézenfekvő megoldásnak tűnik, ha átadunk néhány feladatot a gépnek, amelyeket az a lehető legrövidebb idő alatt – és beavatkozásunk nélkül – elvégez. Ez nemcsak a dolgozókat tehermentesíti, hanem döntően felgyorsítja a biztonság szempontjából kritikus folyamatokat is.

A saját informatikai biztonság automatizálásának egyik módja a SOAR használata. Ez a megoldás számos olyan eszközt kínál, amelyekkel sok helyen automatizálható az IT-biztonság, és ezáltal javítható a vállalat egészének biztonsága.

Amikor minden másodperc számít

Az automatizálást gyakran akkor alkalmazzák, amikor az ismétlődő folyamatok túlzóan lefoglalják a kapacitásokat és ezzel a késedelem mellett jelentős frusztrációt is okoznak. Ha ezeket a feladatokat átadjuk a gépnek, az utánozza az emberi viselkedést. Ezt a klasszikus eljárást RPA-nak (Robotic Process Automation) nevezik. Bár a SOAR kezdetben szintén hasonló technikákon alapul, de azokat a kiberbiztonsági ágazat tipikus folyamataira alkalmazza és használata különösen az incidensreakció módszereit gazdagítja. Ebben hatalmas lehetőségek rejlenek, mivel egy válaszadás során gyakran minden perc – vagy akár másodperc – döntő fontosságú lehet. Ha biztonsági szempontból releváns esemény történik, a biztonsági csapatoknak a lehető leggyorsabban kell cselekedniük, és mielőbb megtenniük a védekezéshez szükséges lépéseket. Az automatizálás fontos szerepet játszhat ebben. Ha például a rendszer riasztást indít, automatikusan létrejön az ehhez tartozó hibajegy, és az elemző azonnal megkezdheti az adatok vizsgálatát. Ha valóban rosszindulatú szereplőről van szó, a biztonsági csapat automatizált műveleteket indíthat, amelyek során más rendszerek blokkolják a rosszindulatú fiókot vagy blokkolnak egy IP-címet az elemzés során. Ez azt jelenti, hogy a biztonsági csapatok nem vesztegetik az időt ismétlődő feladatokra, hanem közvetlenül képesek a riasztások értékelésére, a megfelelő, összetettebb lépések megtételére, s így a kár minimalizálására vagy adott esetben annak komplett kiküszöbölésére.

Az áttekinthetőség fenntartása a nagyfokú összetettség ellenére

Modern infrastruktúrák talán legnagyobb kihívása azok növekvő összetettsége. Az évek során – hála az IoT megállíthatatlan fejlődésének – számos eszköz halmozódik fel, ráadásul folyamatosan bővül a hálózatok szereplőinek száma is. A kiberbűnözőknek ez a komplexitás kész csemege, hiszen egyrészt nő a támadási felület, másrészt a szerteágazóság lehetőséget kínál arra, hogy eltűnjenek a tömegben.

A múltban legtöbbször elegendő volt egy SIEM-megoldás (Security Information and Event Management) használata, amely rövid idő alatt nagy mennyiségű adatot vizsgál meg, és riaszt, ha gyanús viselkedést észlel. Ám ahogy egy hálózat mérete növekszik, úgy gyarapodik a riasztások száma is, és ezeknek csak a töredéke vonatkozik ténylegesen veszélyes szereplőre. Ez kvázi „riasztási kimerültséget” okoz a biztonsági személyzet körében, hiszen napi szinten, tengernyi jelentéssel szembesülnek, s egyre nehezebbé válik számukra, hogy megkülönböztessék a hamis riasztásokat a valós fenyegetésektől. A SOAR itt is megkönnyebbülést hozhat.

Ez nem tévesztendő össze az úgynevezett XDR-megoldásokkal (Extended Detection and Response), amelyek mesterséges intelligenciát használnak a szereplők viselkedésének korrelálására a különböző végpontokon, hogy felfedezzék a mozgásmintákat és azonosítsák a káros szereplőket. Az XDR-eszközöket fenyegetések felderítésére használják. A SOAR azonban a figyelmeztető jelzések sorrendjére és a figyelmeztető jelzésekre adott értékelési válaszra összpontosít. Ám épp e különbözőségből adódóan, a SOAR és az XDR kifejezetten jól kombinálható. Előbbi számos egyéb biztonsági eszközzel összekapcsolható, így központi áttekintést nyújthat a rendszer minden, biztonsági szempontból releváns folyamatáról, aminek köszönhetően a biztonsági csapatoknak nem kell váltogatniuk az egyes eszközök között.

A megfelelő felkészülés kulcsfontosságú

Nem meglepő, hogy az automatizált folyamatok lényegesen gyorsabban futnak, mint kézzel végrehajtott megfelelőik. Ennek megfelelően kecsegtető lehetőségek rejlenek bennük a vállalati biztonságra nézve, amint azt az automatikusan támogatott incidensreakciók példája is mutatja. Mindazonáltal a SOAR semmiképpen sem tekinthető csodaszernek, különösen a szakképzett munkaerő súlyos hiányával szemben, mert még ha az automatizálás sok fontos helyen tehermentesíti is a biztonsági csapatokat, a vállalatoknak nem szabad alábecsülniük az ilyen rendszerhez szükséges emberi erőforrásokat.

A SOAR úgynevezett playbookokon alapul. Ezeket a terveket különböző biztonságkritikus esetek incidenciatípusaihoz használják. Ahhoz azonban, hogy az automatizált folyamatok megfelelően működjenek és a szakértők támaszkodhassanak rájuk, a playbookokat elengedhetetlen folyamatosan frissíteni és pontosan az adott helyzetekre szabni. Minél összetettebbek a folyamatok a saját ökoszisztémában, annál időigényesebb ez a feladat. Különösen nagyvállalatok esetében szükséges a SOAR folyamatos nyomon követése, már csak az esetleges hibaforrások beazonosítása érdekében is. A gyakori frissítés szintén létfontosságú, hogy a biztonsági csapatok a lehető leggyorsabban kijavíthassák a playbookokban fellelt hibákat.

Hatékony biztonsági intézkedések az automatizálásnak köszönhetően

Egyértelmű tehát, hogy a saját biztonsági folyamatok automatizálásához emberi erőforrások szükségesek, mivel a SOAR sem működik tökéletesen önállóan. Mindazonáltal az előnyök sok esetben meghaladják a hátrányokat, mert a SOAR drasztikusan csökkenti az incidens észlelése és a biztonsági csapat reakciója közötti időt. Így nemcsak a szakembereket tehermentesíti, hanem nagyobb biztonságot is szavatol.

Összegzésül

Azoknak, akik még az automatizálási út elején járnak, érdemes megfontolniuk külső szolgáltatók bevonását. Ők már kellően nagy tapasztalattal rendelkeznek ezen a területen, és támogatni tudják a vállalatokat például a SOAR integrálásában és az automatizálás használatában, ott, ahol az valóban előnyös lehet a cég számára. Világos persze, hogy nem minden biztonsági struktúra automatizálható, de annál fontosabb, hogy a csapatoknak legyen idejük azokra a létfontosságú feladatokra, amelyeket nem végezhetnek el gépek. Minél kevesebb ideje van a támadónak a támadási folyamat kivitelezésére, annál nagyobb az esélye annak, hogy a védők végül képesek lesznek elhárítani azt, így garantálva saját szervezetük biztonságát.

Kapcsolódó bejegyzések

További cikkek →

Az incidenskezelés fő eszközei: a SIEM és a SOAR rendszerek

Szerző ikon Lesku Gergely

Dátum ikon 2024.07.18

SIEM és SOAR rendszerek segítik az incidensek gyors kezelését, automatizációval támogatva a NIS2 megfelelést és a kiberbiztonsági események elhárítását.