Co właściwie oznacza SOAR?
SOAR (ang.: Security Orchestration, Automation and Response) to platforma bezpieczeństwa agregująca informacje zebrane z innych systemów i automatyzująca pracę zespołów IT. Termin został stworzony przez firmę Gartner w 2015 roku, a obecny kształt tej technologii znamy od 2017 roku. Dzięki AI oraz uczeniu maszynowemu SOAR pozwala szybciej reagować na incydenty i unikać podatności, wykonując powtarzalne czynności, jak analiza logów czy skanowanie podatności i przez to oszczędzać czas specjalistów. Jest to jednocześnie łatwe do skalowania narzędzie, w razie zwiększonego nakładu pracy czy rozrastającej się sieci firmowej.
Trzy kluczowe zadania SOAR to:
- orkiestracja systemów bezpieczeństwa, czyli automatyzacja wielu powiązanych ze sobą zadań związanych z bezpieczeństwem,
- automatyzacja procesów bezpieczeństwa,
- reagowanie na incydenty i alerty z innych systemów.
Dużą zaletą platform SOAR jest dostarczanie gotowych wyników z monitoringu bezpieczeństwa w przejrzystym interfejsie. Prezentowany jest bardzo szeroki kontekst danych, który ułatwia analitykom w czasie rzeczywistym podejmować kluczowe decyzje lub śledzić trendy w obrębie sieci. SOAR nie jest jednak narzędziem w pełni zastępującym wykwalifikowany zespół. Automatyzacja ma za zadanie jedynie wspierać kompetentnych analityków.
Jak działa system SOAR? Czym różni się od SIEM?
Zarówno SIEM, jak i SOAR są platformami do centralnego zarządzania systemami bezpieczeństwa. Odgrywają jednak różne role w infrastrukturze i doskonale uzupełniają się wzajemnie, dając zespołom Security Operations Center pełen wgląd w sieć przy jednoczesnej automatyzacji procesów.
- Systemy SIEM pozwalają na dokładne monitorowanie stanu urządzeń i aplikacji w obrębie sieci w stanie rzeczywistym. Analizując ruch, wykrywają anomalie, a następnie informują specjalistów o potencjalnym niebezpieczeństwie za pomocą alertów bezpieczeństwa, które następnie są przez nich weryfikowane osobiście.
Systemy SIEM mają jednak tendencję do generowania wielu alertów (wynika to z ich kluczowej cechy, czyli możliwości analizowania dużej ilości danych w czasie rzeczywistym), w tym wielu fałszywych. Biorąc pod uwagę, że oprócz systemów SIEM w firmowych systemach wykorzystuje się także inne technologie dostarczające informacje o stanie sieci (w tym systemy IPS, WAF czy DLP), analizowanie wszystkich sygnałów mogłoby być czasochłonne, a ponadto usypiające czujność kadry IT. Wynika z tego naturalna potrzeba automatyzacji i zwiększenia wydajności pracy zespołów IT. - SOAR, oprócz samej informacji o ataku lub podatności, pozwala na automatyzację procesów bezpieczeństwa i reagowanie na incydenty według ustalonych wcześniej procedur. Systemy bezpieczeństwa, zagregowane w ramach platformy SOAR, wykrywają przykładowy atak na sieć firmową, a SOAR przeprowadza analizę zdarzenia, zbierając dodatkowe dane (np. źródłowe adresy IP), ustalając wzorzec ataku i kończąc na ocenie zagrożenia. W rażących przypadkach platforma może zablokować potencjalnie niebezpieczne adresy IP, pakiety danych lub zmienić reguły innych zabezpieczeń. Powiadomi też zespół IT o zaistniałym incydencie i wygeneruje raport.
Koegzystencja obu systemów daje świetne rezultaty w obszarze bezpieczeństwa. SIEM zajmuje się przetwarzaniem danych i generowanie alertów, które następnie są przetwarzane przez SOAR. Platforma, wykorzystując uczenie maszynowe i pracę analityków, może w pewnym stopniu automatycznie reagować na incydenty.
Jak SOAR wspiera procesy SOC?
Platformy SOAR wspierają zespoły Security Operations Center w ich najważniejszych zadaniach, czyli monitorowaniu sieci, szukaniu zagrożeń i reagowaniu na incydenty. Dzięki zastosowaniu orkiestracji i automatyzacji procesów, przy pomocy SOAR spada średni czas wykrycia i odpowiedzi, a dzięki bardzo szerokiemu kontekstowi danych przedstawionych w centralnym interfejsie analitycy zyskują dokładny wgląd w stan sieci i zabezpieczeń.
W praktyce SOAR dostarcza i przetwarza ilość danych niemożliwą do przeanalizowania przez nawet duży zespół specjalistów, zajmując się automatycznie mniej wymagającymi zajęciami. Dzięki temu kadra IT może skupić się na trudnych zadaniach z największym priorytetem dla bezpieczeństwa firmy oraz rozwiązywaniu wielu problemów jednocześnie.
Netia SOC to jeden z nielicznych zespołów w Polsce, który do zabezpieczenia interesów swoich klientów wykorzystuje platformę SOAR, agregującą wydajne systemy SIEM oraz inne rodzaje zabezpieczeń dostosowane do potrzeb klienta. Decydując się na współpracę, zyskujesz pełne, całodobowe wsparcie wykwalifikowanych i doświadczonych specjalistów, wspomaganych przez narzędzia od wiodących producentów, a także gwarancję w ramach umowy SLA.
Zadbaj również o swoje bezpieczeństwo w sieci prywatnej i zapoznaj się z usługami Bezpieczny Internet oraz Bezpieczny Smartfon.
Formularz kontaktowy @Model.TitleTag>
Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą
Formularz kontaktowy @Model.TitleTag>
Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą
Inne formy kontaktu
-
Infolinia dla nowych klientów
(Codziennie 8:00 - 18:00) +48 22 35 81 550 -
Obsługa klienta i wsparcie techniczne
(Dostępne 24/7) 801 801 999
biznes@netia.pl -
Adres korespondencyjny Netia S.A.
skr. pocztowa nr 597
40-950 Katowice S105