A kiberbiztonság még soha nem volt olyan fontos, mint napjainkban: záporoznak a támadások, a hackerek pedig nem kímélnek senkit, sőt az egyre szofisztikáltabbá és automatizáltabbá váló incidensek, a védelem oldaláról is új megküzdési stratégiát követelnek.

Itt jön képbe a furcsa hangzású betűszó, a SOAR, ami komplex, masszív és automatizált védelmi megoldást kínál.

Nem újkeletű az információbiztonságban a Security Orchestration, Automation and Response azaz SOAR, ellenben az elmúlt időszak történéseinek köszönhetően került jobban reflektorfénybe. Nem véletlenül, hiszen mára minden modern SOC-ban központi szerepet játszik a SOAR, az automatizált biztonság egyik zászlóshajója.

Ami az IT-biztonság automatizációját illeti, igen aktuális kérdéssé nőtte ki magát, hiszen 2021-ben a vállalatok napi szinten legalább öt támadást védtek ki, ugyanakkor sok maradt lógva, az Identity Theft Resource Center 2021 -es jelentése ugyanis arról számolt be, hogy tavaly csak Amerikában 1862 adatszivárgás történt, ami meghaladja a 2020-as összesített 1108-at és a korábbi, 2017-ben felállított 1506-os rekordot is. A publikáció arra is kitért, hogy az elmúlt két évben megduplázódott a ransomware támadások száma, ami a tavalyi évben az USA-ban bejelentett támadások 22 százalékát jelenti. Az Identity Theft Resource Center szerint ilyen növekedési ütem mellett a zsarolóprogramok felülmúlják az adathalászatot, mint az adatszivárgás, adatlopás legfőbb okát. De nincs ez másképp Európában sem, 2021-ben például 281,5 millió embernek lopták el valamilyen személyes adatát az interneten.

A rossz hír pedig, az, hogy szóban forgó tendencia 2022-re nemhogy csökkent volna, hanem épp ellenkezőleg: egyre inkább növekszik.

Az IT-biztonságban az idő kritikus tényező

A kibertámadások fokozódása egyrészről az kibertérben is zajló orosz-ukrán háború, illetve az hibrid office számlájára írható, a helyzeten pedig a felhasználók alacsony biztonságtudatossága sem segít.

A kiberbűnözők módszerei is átalakulóban vannak, egyre szofisztikáltabbá és összetettebbé válnak, az automatizmusok alkalmazása pedig egyre jobban jellemzővé válik a támadások során. Ezzel szemben a gyakorlat az mutatja, hogy a vállalatok védelmi vonalai erre nincsenek felkészülve. Egyszerűen nem megfelelőek ahhoz, hogy az egyre fokozódó intenzitású támadások próbáját kiállják. Ennek több oka is van. Egyrészről az automatizált támadások ellen, „tisztán” emberi munkaerővel nem lehet felvenni a harcot, másrészről a jól képzett biztonsági szakemberekből is óriási hiány van a piacon. Nem beszélve arról, hogy ahhoz, hogy a védekezés reaktívból proaktív attitűdre váltson robusztus rendszerekre, bonyolult architektúrára van szükség, az ezt üzemeltetni képes szakembergárdával együtt. A kulcs azonban az azonnali,  másodpercek alatti reagálás, amire jelenleg csak az automatizált rendszerek képesek.

De mi van akkor, ha az IT-biztonság automatizációjának összes előnyét ki szeretnénk használni, ellenben nem akarunk és tudunk erre pénzt, energiát és időt áldozni? Ekkora jön képbe a kiszervezett SOC és a SOAR.

A SOAR képes felvenni a harcot IT-biztonsági kihívásaival

A SOAR képes felvenni a harcot a jelen piaci környezetből fakadó IT-biztonsági kihívásokkal, mégpedig azáltal, hogy a SOAR a SIEM-ből kapott riasztásokat leválogatja, a fals pozitív incidenseket kiszűri, ezáltal tehermentesítve a mérnököket, majd a valós riasztásokat priorizálja, ahol lehetséges, ott automatikusan elindítja a szükséges eljárásrendet, az úgynevezett Playbookot, azaz az automatikus megoldási folyamatot.

Tehát nemcsak detektál és szelektál másodpercek alatt, hanem egy lépéssel továbbmegy és beavatkozik. Ha a rendszeren túlmutató incidensbe ütközik, azt továbbítja a rendszert üzemeltető mérnököknek, akiknek az automatikus előszűrés, priorizálás, beavatkozásnak köszönhetően több idejük marad arra, hogy a rendszer által továbbított fenyegető kockázatokat észleljék, és mérlegeljék, hogy az adott fenyegetés valóban kritikus-e vagy sem. Szükség esetén pedig a lehető leggyorsabban és leghatékonyabban reagáljanak.

A SOAR ezáltal képes az incidens megoldási időt, ami a manuális kezelés esetében átlagosan 4-15 óra között mozog, a töredékére, csupán percekre csökkenteni.

A SOAR alapja a SIEM-rendszer, ami mögött nem árt, ha ott van a SOC is. Mivel robusztus technológiákról, a biztonságot nagyban növelő megoldásokról beszélünk, sok cég esetében ezek szolgáltatásként való igénybevétele jelenti a költséghatékony és egyszerű megoldást.