Situatie
SOAR – Security Orchestration, Automation and Response
Termenul SOAR este unul popular în industria securităţii cibernetice, deci este important nu numai să ştiţi ce este, ci şi să fiţi familiarizaţi cu problemele şi provocările abordate de SOAR. Dar înainte să ajungem la asta, să examinăm câteva lucruri de bază.
Ce face SOAR?
SOAR conectează toate celelalte instrumente din stiva ta de securitate într–un workflow de unelte, care poate fi rulat automat. În alte cuvinte, SOAR îți permite să îți crești eficiența echipei prin automatizarea proceselor repetitive manuale.
Automatizarea este foarte importantă în lumea securității de astăzi, deoarece echipele de securitate sunt suprasolicitate. Pe măsură ce sunt dezvoltate noi instrumente pentru a face față unui peisaj amenințător în continuă schimbare, analiștii care folosesc aceste instrumente trebuie să treacă de la un instrument la altul pentru a-și îndeplini sarcinile de zi cu zi.
O sarcină zilnică comună este răspunsul la alerte. Cu cât sunt mai multe instrumente de securitate, cu atât mai multe alerte sunt abordate într–o serie de procese manuale și schimbări de context – adică trecerea de la un instrument la altul. Cu cât sunt mai multe alerte în fiecare zi, cu atât mai puțin timp avem pentru fiecare alertă, ceea ce crește probabilitatea ca greșeli să fie făcute. Degradarea performanței în fața unui val de alerte se numește Alert Fatigue (sau oboseala alertelor).
Un mod evident de a diminua “oboseala alertelor” este pur și simplu angajarea a mai mulți analiști de securitate cibernetică. Cu toate acestea, datorită lipsei de competențe în domeniul securității cibernetice, nu există suficienți analiști calificați pentru a fi angajați. Deci, dacă angajarea a mai mulți analiști nu este o opțiune, cum rezolvăm oboseala alertelor? Simplu, cu SOAR.
SOAR leagă toate instrumentele din stiva ta de securitate. Prin aducerea datelor din toate aceste surse, SOAR reduce schimbarea de context cu care se confruntă analiștii. Prin urmare, analiștii pot efectua toate procesele lor de investigație direct din interfața sursă. Mai departe, aceste procese pot fi traduse manual sau automat într–un Playbook, care este un set de pași asemănător unui Flux, care poate fi repetat la cerere. Utilizând un playbook, puteți să vă asigurați că fiecare pas din procedura dvs. de operare standard este urmat. De asemenea, aveți date despre exact ce s–a făcut, când și de cine. Această capacitate se numește Orchestrare și Automatizare.
Investigația este o altă capacitate crucială SOAR. Atunci când apare o alertă suspectă, echipele pot efectua sarcinile lor de investigație, cum ar fi verificarea surselor de inteligență amenințătoare pentru o reputație sau interogarea unui sistem de gestionare a informațiilor de securitate (SIM), pentru evenimente corelate din cadrul platformei SOAR.
Informațiile obținute prin această investigație vor determina pașii de mitigare necesari. Apoi, deoarece SOAR este o platformă unificată a tuturor instrumentelor de securitate, puteți lua aceste pași de mitigare din cadrul SOAR. De exemplu, din cadrul SOAR, puteți bloca traficul de la o adresă IP malițioasă în firewall–ul dvs. sau puteți șterge un email phishing de pe serverul de email. Prin construirea proceselor standard în playbook-uri, puteți înlocui procesele repetitive și consumatoare de timp cu automatizări la viteza mașinii. Automatizarea eliberează analiștii să-și consacre mai mult timp pentru investigarea alertelor critice.
Implementarea SOAR în ecosistemul dvs. face mai mult decât să centralizeze procesele dvs. de răspuns la incidente – optimizează întreaga operațiune. Optimizarea rezultă în răspunsuri eficiente la viteză de mașină, permițând echipelor să îmbunătățească colaborarea și să gestioneze mai bine valul nesfârșit de alerte. Acest lucru se datorează faptului că SOAR permite utilizatorilor să atribuie alerte la diferiți analiști sau echipe la diferite etape ale procesului de răspuns la incident și pentru acei utilizatori atribuiți să adauge informații la alertă în timp ce lucrează la aceasta, astfel încât alții care se referă la acea alertă mai târziu vor avea context suplimentar în investigație.
Playbook–urile sunt cheia pentru capacitatea de automatizare a SOAR, permitând echipei să își îmbunătățească viteza și consistența răspunsului, în timp ce își mențin autoritatea umană asupra procesului. În final, utilizarea unui playbook poate duce la o sarcină a analistului redusă și la o șansă redusă de eroare.
Investigațiile de phishing sunt una dintre cele mai comune utilizări pentru SOAR implementate de clienți. Fără SOAR, un analist va petrece timpul investigând expeditorul unui e–mail de phishing și indicii–cheie din anteturile sau corpul e–mailului. Efectuarea acestor investigații înseamnă, de obicei, timp petrecut introducerea domeniilor și URL–urilor într–o platformă de inteligență amenințătoare. Dacă analiștii determină că un e–mail este nociv, vor trebui să petreacă timp suplimentar investigând serverul lor de e–mail și SIM–ul lor, determinând cine a primit e–mailul, determinând cine a făcut clic pe el, ștergându–l și așa mai departe. Cu un playbook de investigare a phishing–ului, pașii de investigare inițială sunt luați automat, imediat ce e–mailul de phishing este raportat. Astfel, analiștii vor fi alertați doar la acele e–mailuri pe care playbook–ul le determină ca fiind suspecte.
După ce analistul confirmă că un e–mail raportat merită o acțiune suplimentară, Playbook-ul poate continua să facă interogări SIM suplimentare, să șteargă e-mailul din toate casetele de e-mail ale utilizatorului, să trimită un e-mail tuturor destinatarilor, să le alerteze asupra acțiunii luate și să le ofere sfaturi utile cu privire la ce să facă dacă primesc mesaje de phishing similare în viitor.
Sursa:
Fortinet Training Institute: NSE 2 – SOAR (Includes Free Certification Upon Completion)
Leave A Comment?