Jak dobrze skonstruować system bezpieczeństwa w organizacji? Co zrobić, aby skutecznie poradzić sobie z rosnącą ilością informacji? Jak pozbyć się Security Gap?

W czasach społeczeństwa informacyjnego problemem jest odpowiednia filtracja danych. Organizacje na całym świecie są przeciążone ilością systemów teleinformatycznych oraz logów. Coraz bardziej skomplikowane zabezpieczenia są łamane nawet w największych firmach na świecie.

Na rynku rośnie liczba cyberataków o różnym podłożu. Zmiana modelu pracy, wdrożenie pracy hybrydowej oraz zdalnej, spowodowało przejście na środowisko rozproszone, które trudniej zabezpieczyć przed cyberatakami.

Skutecznym sposobem na monitorowanie zagrożeń, optymalizację kosztową związaną z zapewnieniem cyberbezpieczeństwa oraz jednoczesne uwolnienie zasobów ludzkich w organizacjach jest wdrożenie SIEM i SOAR.

SIEM to system zarządzania informacjami i zdarzeniami dotyczącymi bezpieczeństwa, który swoją nazwę zawdzięcza rozwinięciu skrótu w języku angielskim - Security Information and Event Management. Rozwiązania typu SIEM są rozbudowanymi systemami bezpieczeństwa. Ich zadaniem jest agregowanie, filtrowanie, porządkowanie, normalizowanie oraz korelowanie dużej liczby zdarzeń cyberbezpieczeństwa. SIEM przetwarza dane analizując je z wykorzystaniem wbudowanych algorytmów, co w sposób prewencyjny i aktywny pozwala chronić przedsiębiorstwa przed naruszeniami bezpieczeństwa.

System zarządzania informacjami i zdarzeniami dotyczącymi bezpieczeństwa opiera się na gromadzeniu oraz centralnym zarządzaniu wszystkimi logami w organizacji, które pochodzą z różnego rodzaju urządzeń np. sprzętu sieciowego, telefonów VoIP czy urządzeń końcowych pracowników.

Zgromadzenie danych w jednym miejscu ułatwia ich prezentacje oraz wykrywanie niebezpiecznych zdarzeń poprzez odfiltrowanie wszystkich zdarzeń niezwiązanych z zagrożeniami.

Rozwiązania klasy SIEM to rozbudowane systemy, które pozwalają na szereg działań związanych z polityką bezpieczeństwa firmy. Dzięki systemowi zarządzania informacjami i zdarzeniami możemy monitorować zdarzenia w całej sieci, sprawdzać aktualność systemów operacyjnych, aplikacji oraz środowisk wykorzystywanych w organizacji.

Kompleksowe podejście do cyberbezpieczeństwa, które oferuje SIEM pozwala szybciej wychwycić różnego rodzaju zagrożenia widoczne? w logach i zabezpieczać przed nimi organizacje.

SOAR to stosunkowo nowe rozwiązanie, które pojawiło się na rynku w 2015 roku. Potencjał SOAR został dostrzeżony przez Gartnera. Przedsiębiorstwo analityczno-badawcze określiło SOAR jako technologię, która stanie się przełomem dla branży cyberbezpieczeństwa. Ideą stworzenia SOAR jest zmniejszenie czasu reakcji na wykryte incydenty cyberbezpieczeństwa.

SOAR podobnie jak SIEM swoją nazwę zawdzięcza rozwinięciu anglojęzycznego skrótu - Security Orchestration, Automation and Response. System orkiestracji zabezpieczeń, automatyzacji oraz reagowania jest popularnym elementem znajdującym zastosowanie w nowoczesnych SOC – Security Operations Center.

Security Orchestration, Automation and Response to uniwersalna i funkcjonalna platforma, która wykorzystuje scentralizowane zarządzanie w celu automatyzacji wybranych działań. Efektem finalnym są zaawansowane analizy bezpieczeństwa cybernetycznego oraz eliminacja wykrytych zagrożeń.

Platforma orkiestracji i automatyzacji cyberbezpieczeństwa umożliwia zbieranie danych i alertów bezpieczeństwa z różnych źródeł, przeprowadzanie analizy incydentów, sortowanie ich oraz kategoryzację, łącząc do tego pracowników organizacji z uczeniem maszynowym. Rozwiązanie to pozwala wspólnie definiować, nadawać priorytety oraz sterować ustandaryzowanymi procesami reagowania na incydenty.

SOAR to rozwiązanie, które pozwala zwiększyć wydajność pracy działów IT odpowiedzialnych za bezpieczeństwo w organizacjach. Platforma orkiestracji i automatyzacji cyberbezpieczeństwa pozwala automatycznie weryfikować wykryte przez SIEM zdarzenia bez konieczności sięgania po dodatkowe systemy.

Dzięki SOAR organizacja może liczyć na zwiększenie wydajności analiz złośliwego oprogramowania oraz selekcji alertów o 5-10%.

SOAR pozwala również poszerzyć kompetencje organizacji o nowe możliwości analityczne, które zwiększają efektywność wykrywania ataków.

Z powyższych opisów może wynikać, że SIEM i SOAR to podobne rozwiązania, a SOAR jako nowsza technologia posiada większe możliwości analityczne oraz zdolność do automatyzacji wielu działań.

Nie jest to prawdą. Oba systemy posiadają podobne funkcjonalności, ale różnią się zastosowaniami. W organizacjach można wdrożyć SIEM i SOAR niezależnie od siebie, a oba rozwiązania mogą działać samodzielnie.

SIEM służy do analizy informacji przesyłanych z różnych źródeł. System analizuje problemy, identyfikuje je oraz generuje alerty bezpieczeństwa.             

SOAR to rozwiązanie, które pozwala na orkiestrację i automatyzację działań wielu narzędzi dostarczanych przez różnych poddostawców. Platforma orkiestracji i automatyzacji cyberbezpieczeństwa to idealne uzupełnienie dla SIEM, które pozwala lepiej zarządzać incydentami i analizować zdarzenia.

Przeważająca większość SOC (Security Operations Center) wykorzystuje w swojej działalności zarówno SIEM jak i SOAR. Oba te rozwiązania uzupełniają się swoimi funkcjonalnościami i pozwalają zapewnić kompleksową analizę zagrożeń organizacji.

SIEM to rozwiązanie, które odpowiada za filtrowanie i detekcję nowych incydentów. Jest pierwszym elementem, do którego trafiają informacje.

SOAR uzupełnia funkcjonalność SIEM o analizę zdarzeń oraz ich neutralizację w przypadku wykrycia poważnych zagrożeń. Oba systemy są w stanie komunikować się w obie strony, więc SOAR może odsyłać do SIEM swoje analizy. Z czasem reguły korelacyjne oraz alarmy utworzone w SIEM są automatycznie aktualizowane o najnowsze zagrożenia, co zwiększa skuteczność działania SIEM.