Pre bezpečnostné operačné stredisko (SOC) sú správa bezpečnostných informácií a udalostí (SIEM) a bezpečnostná orchestrácia, automatizácia a reakcia (SOAR) dve komplexné možnosti na posilnenie kybernetickej bezpečnosti. Každá z nich však ponúka iný súbor nástrojov a prístupov, ktoré je potrebné zvážiť predtým, ako sa pre niektorú z nich rozhodnete.
Čo je správa bezpečnostných informácií a udalostí (SIEM)?
Jednou z úloh, ktoré výrazne zlepšujú prácu každého správcu IT bezpečnosti, je zber protokolov a analýza údajov – čo je takmer presne to, v čom je riešenie SIEM najlepšie. Zhromažďuje údaje zo všetkých častí firemnej siete, upozorňuje na potenciálne bezpečnostné incidenty a problémy, čím prevádzkovateľom uľahčuje správu bezpečnostnej infraštruktúry.
Hoci nie je striktne nástrojom na reakciu na incidenty a nápravu, poskytuje dodatočné informácie o incidentoch a udalostiach, čím plní úlohu akéhosi pozorovateľa údajov. To je však aj negatívum SIEM – chýba mu automatizácia, preto okrem zberu údajov nedokáže urobiť oveľa viac a vyžaduje, aby tím IT s týmito údajmi naložil podľa vlastného uváženia. To môže byť problém, pretože oznámenia sa môžu ľahko nahromadiť a zahltiť bezpečnostné tímy, čo zaťaží a oslabí bezpečnostnú pozíciu spoločnosti. Práve tu však pomáha SOAR.
Čo je bezpečnostná orchestrácia, automatizácia a reakcia (SOAR)?
SOAR je modernejšie riešenie, ktoré môže výrazne rozšíriť možnosti bezpečnostných tímov pri snahe chrániť svojich zákazníkov a partnerov – keďže je evolúciou možností SIEM, hoci ho technicky nenahrádza.
Technológia SOAR získava oveľa viac údajov ako SIEM – nielen z firemnej siete, ale aj z ďalších zdrojov, ako sú napríklad informácie o hrozbách (threat intelligence), a tiež lepšie stanovuje priority výstrah a protokolov. Jej najväčšia sila však spočíva v automatizácii pomocou umelej inteligencie, pretože dokáže vytvárať aj automatické reakcie na incidenty podľa nastavenia IT tímu. To je niečo, čo SIEM chýba a výrazne uľahčuje vyšetrovanie hrozieb a incidentov.
Nie je to však tak, že by SOAR dokázal plne nahradiť SIEM; realita je celkom iná.
Ktoré riešenie je lepšie?
Ako už bolo spomenuté, hoci sa SOAR zdá byť technicky pôsobivejší ako SIEM, nie je striktnou náhradou. SOAR funguje najlepšie, keď je podporené množstvom údajov. A tie môže poskytnúť práve SIEM. Ide o nástroj na agregáciu údajov, ktoré potom SOAR dokáže prioritizovať, vykonať najlepšiu reakciu a nápravu, ako aj automatizovať niektoré časti procesu a odbremeniť tak správcov bezpečnosti od niektorých úloh. Predstavte si to ako dvojdielny proces, v ktorom SIEM dodáva väčšinu údajov a SOAR pridáva ďalšie a vykonáva reakciu.
Posilnenie nástrojov SOC
Bezpečnostné operačné strediská môžu mať k dispozícii mnoho rôznych technológií a nástrojov na riadnu ochranu svojich firiem alebo klientov a SIEM aj SOAR ponúkajú niečo viac ako bežný softvér na ochranu koncových bodov.
Centrá SOC sa môžu rozhodnúť aj pre rozšírenú detekciu a reakciu (XDR), aby dosiahli podobný druh ochrany ako SIEM a SOAR, ale nie je to náhrada ani jedného z nich, pretože technicky neponúka rovnaké možnosti a prípady použitia (SIEM robí lepšie protokoly, zatiaľ čo SOAR lepšie určuje priority a automatizuje). Stále však dokáže poskytnúť komplexnú detekciu hrozieb a reakciu na ne.
Ďalšou možnosťou by bolo použitie riadenej detekcie a reakcie (MDR). V tomto prípade tím SOC outsourcuje časť svojej práce dodávateľovi bezpečnostných riešení, čo môže mať svoj prínos v rozšírení možností detekcie a reakcie o ďalších bezpečnostných expertov dobre zorientovaných v prostredí hrozieb aj v bezpečnostnom riešení, ktoré bezpečnostné operačné stredisko používa.
Kľúčom k úspechu je byť pripravený
Pre SOC je najdôležitejšou úlohou zostať pripravený na všetky prípady, pretože svet kybernetických hrozieb sa neustále mení a vyvíja. Vďaka nástroju SIEM môžu mať k dispozícii množstvo údajov a vďaka nástroju SOAR môže SOC ľahšie reagovať na hrozby a incidenty, pričom si vďaka rôznym integráciám externých dátových kanálov udržiava prehľad o hrozbách na vysokej úrovni.
Existujú aj ďalšie riešenia, napríklad už spomínané XDR alebo MDR, a všetky majú rôzne prípady využitia. Je to najmä preto, že neexistuje žiadne riešenie, ktoré by dokázalo pokryť všetko. Kombinácia jednotlivých nástrojov do viacvrstvovej kybernetickej obrany v rámci bezpečnostnej stratégie je však najlepším spôsobom, ako pokryť a zaplátať tie medzery, ktoré by malo každé riešenie samo o sebe, čím sa zvýši úroveň zabezpečenia pre každého, kto chce dosiahnuť maximálnu ochranu.