Bezpečnostní řešení pro detekci a reakci mohou výrazně zlepšit bezpečnostní pozici vaší společnosti. Jak posunout reakci na kybernetické incidenty a jejich nápravu ještě o úroveň výše?
Pro bezpečnostní dohledové centrum (SOC: Security Operations Center) jsou správa bezpečnostních informací a událostí (SIEM: Security Information and Event Management) a jejich orchestrace, automatizace a reakce (SOAR: Security Orchestration, Automation, and Response) dvě komplexní možnosti k posílení kybernetické bezpečnosti vaší firmy.
Každá z možností však nabízí jiný soubor nástrojů a přístupů, které je třeba zvážit, než se pro některou z nich rozhodnete.
Co je správa bezpečnostních informací a událostí (SIEM)?
Jedním z úkolů, které výrazně zlepšují práci každého správce IT bezpečnosti, je sběr logů a analýza dat – což je v podstatě to, pro co je SIEM nejlepší. Shromažďuje data ze všech částí podnikové sítě, upozorňuje na potenciální bezpečnostní incidenty a problémy a usnadňuje tak správu bezpečnostní infrastruktury.
Není to sice striktně nástroj pro reakci na incidenty a nápravu, ale poskytuje další informace o incidentech a událostech, čímž plní roli jakéhosi pozorovatele dat. To je však také nevýhoda SIEM – chybí mu automatizace. Kromě sběru dat s nimi nedokáže dělat o mnoho více a vyžaduje, aby s nimi dle svého uvážení dále pracoval IT tým. To může být problém, protože oznámení se mohou snadno nahromadit a zahltit bezpečnostní týmy, což zatíží a oslabí bezpečnostní pozici společnosti. Právě tady však pomůže SOAR.
Co je to orchestrace, automatizace a reakce (SOAR)?
SOAR je modernější řešení, které může výrazně rozšířit možnosti bezpečnostních týmů při snaze chránit své zákazníky a partnery. Jedná se o evoluci možností SIEM, i když jej technicky nenahrazuje.
Technologie SOAR získává mnohem více dat než SIEM, a to nejen z podnikové sítě, ale také z dalších přidaných bezpečnostních kanálů, jako je například Threat Intelligence. Také lépe stanovuje priority výstrah a protokolů. Její největší síla však spočívá v automatizaci pomocí umělé inteligence, protože dokáže vytvářet i automatické reakce na incidenty podle nastavení IT týmu. To je něco, co výrazně usnadňuje vyšetřování hrozeb a incidentů a co SIEM postrádá.
SOAR však nemůže plně nahradit SIEM, protože tato dvě řešení jsou odlišná.
Je lepší SOAR nebo SIEM?
Jak již bylo zmíněno, ačkoli se SOAR zdá být technicky působivější než SIEM, není to jeho úplná náhrada. SOAR funguje nejlépe, když je podpořen velkým množstvím dat, a ta může poskytnout právě SIEM, který je spíš nástrojem pro agregaci dat. SOAR pak dokáže tato data prioritizovat, vybrat nejlepší reakci a nápravu a také automatizovat některé části procesu a odlehčit tak bezpečnostním týmům od určitých úkolů. Představte si to jako proces ve dvou krocích, kdy SIEM dodává většinu dat a SOAR přidá další data a následně reaguje.
Jak rozšířit nástroje pro SOC?
Bezpečnostní dohledová centra (SOC) mohou mít k dispozici mnoho různých technologií a nástrojů, které jim umožňují řádně chránit svou firmu nebo klienty. SIEM i SOAR nabízí přidanou hodnotu v tom, že fungují jako nástavba nad běžným softwarem pro ochranu koncových zařízení.
Dohledová centra se mohou také rozhodnout pro řešení rozšířené detekce a reakce (XDR), aby dosáhla podobného druhu ochrany jako SIEM a SOAR. XDR však není náhradou ani jednoho z nich, protože technicky nenabízí stejné možnosti a případy použití (SIEM lépe zpracovává protokoly, zatímco SOAR lépe určuje priority a automatizuje). Stále však může poskytovat komplexní detekci hrozeb a reakci na ně.
Další možností by bylo použití řízené detekce a reakce (MDR). V takovém případě SOC tým outsourcuje část své práce dodavateli zabezpečení. To může mít svou výhodu v posílení schopností detekce a reakce tím, že se přidá více bezpečnostních expertů dobře obeznámených jak s prostředím hrozeb, tak s bezpečnostním řešením, které SOC používá.
Jak zvýšit kybernetické zabezpečení?
Pro SOC je nejdůležitějším úkolem zůstat připravený na všechny možné situace, protože svět kybernetických hrozeb se neustále mění a vyvíjí. Díky SIEM mohou mít k dispozici spoustu dat a díky SOAR mohou snadněji reagovat na hrozby a incidenty a zároveň si díky různým integracím externích datových kanálů udržovat znalosti o hrozbách na vysoké úrovni.
Existují i další řešení, například již zmíněné XDR nebo MDR, pro různé případy použití. Je tomu tak především proto, že neexistuje žádné „univerzální“ řešení, které by pokrylo vše. Spojení jednotlivých nástrojů do vícevrstvé kybernetické obrany je nejlepším způsobem, jak pokrýt mezery v bezpečnostní strategii, které vznikají, když používáte jen jedno bezpečnostní řešení na vše.
Jak krok za krokem vytvořit efektivní strategii digitálního zabezpečení pro malé a střední podniky? Michal Jankech se podělil o několik tipů v bezplatné příručce.
ZÍSKAT PŘÍRUČKU
