Raport Specjalny. Bezpieczeństwo Banków: SIEM i SOAR – złoty tandem dla bezpieczeństw organizacji

BANK 2019/05

Rozwiązania klasy SIEM (Security Information and Event Management) są dziś powszechnie stosowane w dużych organizacjach i coraz częściej wdrażane przez małe i średnie firmy. Pomimo ważnej dla bezpieczeństwa funkcji, jaką spełniają, główną wadą coraz powszechniejszego SIEM-a jest brak możliwości zapewnienia ochrony przed dzisiejszymi nowymi zagrożeniami, przy czasochłonnej i zasobochłonnej ręcznej analizie logów.

SIEM – system pierwszego wyboru

Współczesne platformy klasy SIEM spełniają różnorodne funkcje – analizują działania użytkowników, sprawdzają poprawność systemów operacyjnych, zwirtualizowanych środowisk, aplikacji, pamięci masowych, baz danych, a nawet systemów uwierzytelniających. Cały ten proces ma na celu wykrycie anomalii i zablokowanie lub odparcie ataku. Prawidłowo wdrożone platformy SIEM dają pełen przegląd zdarzeń w środowisku IT oraz spełniają oczekiwania nawet najbardziej wymagających administratorów systemów informatycznych oraz specjalistów ds. bezpieczeństwa informacji. Dzięki centralizacji informacji o wszystkich zdarzeniach użytkownik otrzymuje niezbędną wiedzę do efektywnego zarządzania ryzykiem operacyjnym IT. Cała organizacja zyskuje całościowy wgląd w bieżącą sytuację firmy pod kątem bezpieczeństwa. Dzięki temu kadra zarządzająca może dostrzec, jak wiele zdarzeń jest niebezpiecznych, nawet tych z pozoru błahych. Unaoczniona zostaje potrzeba przeanalizowania każdego z nich oraz sprawdzenia ich stopnia ważności w zakresie bezpieczeństwa organizacji. Na każde zdarzenie trzeba przygotować plan działania. Niestety w tym momencie uwidaczniają się wady rozwiązania SIEM.

Jakub Jagielak
dyrektor ds. rozwoju Cyber Security Atende SA

Ukończył studia na Politechnice Warszawskiej w dwóch kierunkach: fizyki i zarządzania. Swoje doświadczenie zdobywał w strukturach największych firm IT, m.in. Toshiba, IBM oraz Tech Data. W 2017 r. dołączył do Atende, polskiego lidera rynku w zakresie integracji sieciowej. Odpowiedzialny jest za rozwój spółki w obszarze bezpieczeństwa IT oraz współtworzenie oferty Atende w zakresie cyberbezpieczeństwa.

Problemy bez odpowiedzi

Podejście polegające na całkowitym oparciu się na logach (i innych informacjach powiązanych ze zdarzeniami), w celu efektywnego rozpoznawania dzisiejszych zagrożeń w przedsiębiorstwie, jest już mało skuteczne. Główną wadą SIEM-a jest brak możliwości zapewnienia ochrony przed dzisiejszymi nowymi zagrożeniami. Ręczna analiza logów jest czasochłonna i zasobochłonna. Bardzo często po wdrożeniu SIEM-a w organizacjach zaczyna pojawiać się problem z brakiem wykwalifikowanych specjalistów, którzy dokładnie przeanalizują zebrane dane oraz zaproponują działania zaradcze. Obecnie stanowisko specjalisty ds. bezpieczeństwa IT to jeden z najbardziej pożądanych przez pracodawców zawodów. Ekspertów w tym obszarze poszukuje zarówno administracja państwowa, jak i firmy komercyjne. Jednak czy zatrudnianie takiej osoby jest niezbędne?

 Playbooks, czyli scenariusze post-SIEM

 Zamiast zatrudnienia specjalisty można wdrożyć rozwiązanie, które zapewni odpowiedni poziom bezpieczeństwa oraz umożliwi przetwarzanie informacji w czasie rzeczywistym w celu automatycznego i natychmiastowego zidentyfikowania incydentu oraz określenia priorytetu, ważności i reakcji na zaistniałe zagrożenie. Odpowiedzią na bolączki ręcznego, żmudnego procesu analizowania tysięcy logów i setek alertów jest wykorzystanie zautomatyzowanych procesów i procedur (ang. Playbooks, procedur przypisanych do konkretnych typów ataku) oraz analizy behawioralnej. Przykładem takiego rozwiązania jest SOAR (Security Orchestration, Automation and Response): zintegrowana platforma orkiestracji i automatyzacji bezpieczeństwa oraz odpowiedzi na incydent. Jest to podejście do operacji bezpieczeństwa i reagowania na incydenty mające na celu poprawę skuteczności, wydajności i spójności działań w zakresie bezpieczeństwa.

Gartner definiuje SOAR jako „technologię umożliwiającą organizacjom zbieranie danych i alertów bezpieczeństwa z różnych źródeł”. Zapewnia ona przeprowadzanie analizy incydentów oraz ich sortowanie i kategoryzację, łącząc wykorzystanie możliwości czynnika ludzkiego z maszynowym. W skrócie, SOAR to platforma oparta na mechanizmach uczenia maszynowego, dająca pokrycie całego łańcucha ataku (ang. full kill chain) oraz automatyzująca prace analityków SOC. Platforma ta pozwala szybko wykryć zagrożenie oraz zaproponować odpowiedni Playbook (scenariusz). SOAR połączony z SIEM-em umożliwia radykalne usprawnienie pracy SOC, a także wykrywanie ataków, które umykają klasycznym narzędziom bazującym na sygnaturach oraz radykalne skrócenie czasu odpowiedzi na zagrożenia. Połączenie powyższych narzędzi daje zespołom dużo większe możliwości reagowania na incydenty bezpieczeństwa CERT – usprawnia i daje lepszą efektywność codziennej pracy działów IT, co w efekcie przekłada się na zwiększenie bezpieczeństwa organizacji.

Złoty tandem

Ogólnie znane środki bezpieczeństwa przestają być wystarczające dla zagwarantowania bezpieczeństwa organizacji. Żaden z nich w pojedynkę nie zdziała cudu.

Na rynku nieustannie pojawiają się nowe rozwiązania, jednak SIEM pozostanie dla większości firm i instytucji opcją pierwszego wyboru. Nie jest to narzędzie przeznaczone do powstrzymywania działań hakera, ale niewątpliwie jest to skuteczna technika monitorowania firmowej sieci i infrastruktury IT. Jednak wychodząc naprzeciw współczesnym zagrożeniom oraz chcąc prowadzić skuteczną, proaktywną politykę, należałoby wyposażyć swoje środowiska CERT dodatkowo w rozwiązania klasy SOAR.

System SOAR, zlokalizowany w informatycznej strukturze bezpieczeństwa organizacji powyżej SIEM, zapewnia orkiestrację i automatyzację działań wielu narzędzi pochodzących od różnych dostawców. Jest ważnym uzupełnieniem dla technologii SIEM – kluczowej do zestawiania i analizowania danych oraz generowania alertów, co jest pierwszym krokiem w wieloetapowym procesie zapewnienia bezpieczeństwa organizacji.

 

Udostępnij artykuł: