Problematika automatizace procesů v SOC vypadá jednoduše, ale je za tím hodně práce, testování a implementace inovativních technologií a ladění různých bezpečnostních scénářů. S přibývajícím množstvím různých bezpečnostních hrozeb a událostí vně i uvnitř organizací, se zvyšuje množství vygenerovaných a zpracovávaných ticketů z bezpečnostního monitoringu na všech úrovních IT zákazníka (koncové stanice, síťová infrastruktura a aplikační vrstva). Zrychlení vyhodnocování a automatizace na SOC tak přispívá k rychlejšímu odhalení závažných bezpečnostních hrozeb a ke zvýšení efektivity práce odborných pracovníků na bezpečnostním dohledu.
AXENTA dlouhodobě a systematicky pracuje na projektu automatizace procesů v SOC. Aplikuje automatizační nástroje a procesy jak na svém CyberSOC (Bezpečnostní dohledové centrum), kde poskytuje své služby zákazníkům, tak umí navrhnout řešení dodávky a implementace SOC pro zákazníky, případně pomoci s automatizací v již provozovaném SOC dané organizace.
Zkušenosti v této oblasti a výsledky aplikace těchto inovativních technologií a postupů byli hlavním tématem rozhovoru s odborníky ze společnosti AXENTA, konkrétně s Lukášem Novákem vedoucím analytikem a Petrem Vychodilem manažerem Security Operations Center (SOC). Zajímali nás jejich zkušenosti v této oblasti a výsledky aplikace těchto inovativních technologií a postupů.
Co je to automatizace v kontextu SOC a proč je tak důležitá?
Automatizace v kontextu Security Operations Center (SOC) zahrnuje využití technologií pro automatizaci rutinních a opakujících se úloh, jako je detekce hrozeb, reakce na incidenty nebo reporting. Je klíčová z důvodu zvýšení efektivity, snížení chybovosti způsobené lidským faktorem a zrychlení reakcí na hrozby, což umožňuje SOC týmům zaměřit se na komplexnější a strategičtější úkoly.
Jaké konkrétní úlohy lze v SOC automatizovat a jaký to přináší přínos?
Automatizovat lze například detekci hrozeb, třídění, prioritizaci a konsolidaci alertů, incident response (např. izolace infikovaných zařízení), reporting a správu logů. Přínosy zahrnují rychlejší zpracování dat, zlepšení přesnosti detekce, snížení pracovní zátěže pro analytiky a zkrácení doby reakce na incidenty. Současně umožňuje zachovat nebo lépe rozšiřovat množinu dohledovaných dat / systémů. Další oblastí, kde lze významně pocítit automatizaci, jsou každodenní úkoly, jako například urgence na odpovědi v rámci tiketovacího nástroje nebo podobné.
Jaké jsou nejčastější výzvy při implementaci automatizace v SOC?
Nejčastější výzvy zahrnují integraci různých nástrojů, přizpůsobení automatizačních procesů specifickým potřebám organizace, být odolní vůči false positive detekcím (falešné detekce). . S tím se pojí, nedostatek odborníků na správu automatizačních nástrojů. Velká výzva je zároveň udržování nástroje ve stavu, kdy odráží a reaguje na aktuální stav prostředí. Nekončící proces je tedy hledání rovnováhy mezi mírou automatizace (jejího rozsahu a pokrytí) a zároveň efektivní údržby (jinak řečeno náklady na její údržbu a rozvoj).
Jaké jsou nejnovější trendy v oblasti automatizace SOC?
Mezi nejnovější trendy patří využívání umělé inteligence a strojového učení pro pokročilou analýzu hrozeb, dále potom automatizace základní analýzy, zpracování událostí s následným incident response prostřednictvím SOAR (Security Orchestration, Automation, and Response) platforem. SOAR platformy jsou potom integrované s nástroji jako je SIEM (Security Information and Event Management) a XDR (kombinací eXtended Detection and Response nástrojů), případně s dalšími systémy obohacujícími a zjednodušujícími práci pracovníků bezpečnostního dohledu, jako jsou tiketing, asset management nástroje, threat intelligence.
Jaké technologie a nástroje jsou v současnosti nejvíce využívány?
Nejčastěji využívané technologie zahrnují SIEM systémy (Splunk, IBM QRadar), SOAR platformy (Palo Alto Cortex XSOAR, IBM Resilient), nástroje pro automatizaci workflow (Ansible, Puppet), a systémy pro automatickou detekci hrozeb pomocí AI, jako jsou Darktrace nebo Vectra AI.
Jak se vyvíjí role bezpečnostního analytika v souvislosti s automatizací?
Role bezpečnostního analytika se posouvá od rutinních úkolů směrem k činnostem s vyšší přidanou hodnotou, jako je tvorba strategií, komplexní analýza a vylepšování automatizačních procesů. Analytici se více zaměřují na interpretaci výstupů z automatizovaných systémů a rozhodování na základě pokročilých analýz nebo součinnost s dalšími pracovníky CSIRT nebo IR týmů.
Jaké jsou ekonomické dopady automatizace SOC?
Ekonomické dopady zahrnují snížení provozních nákladů díky menšímu počtu potřebných lidských zdrojů, snížení doby reakce na incidenty a efektivnější využití stávajících bezpečnostních technologií. Automatická reakce na incidenty také pomáhá minimalizovat finanční ztráty zákazníka spojené s kybernetickými útoky. Zároveň vznikají náklady na implementaci a údržbu nástrojů zajišťujících automatizaci. Jak bylo zmíněno výše, opravdu je třeba citlivě udržovat tento poměr.
Jak se investice do automatizace SOC vrací?
Investice do automatizace SOC se vrací prostřednictvím zlepšení efektivity a rychlosti bezpečnostních operací, zvýšení detekčních schopností a snížení nákladů na reakci na incidenty. Rychlejší a přesnější reakce na hrozby také zlepšují celkovou bezpečnostní pozici organizace, což může vést ke snížení pojištění kybernetických rizik.
Jaké jsou dlouhodobé náklady spojené s automatizací?
Dlouhodobé náklady zahrnují správu a údržbu automatizačních nástrojů, školení zaměstnanců, náklady licenční a zajištění kompatibility s ostatními bezpečnostními technologiemi. Přestože počáteční investice mohou být vysoké, dlouhodobé úspory zefektivněním procesů tyto náklady často převáží.
Automatizace detekce hrozeb:
Jaké jsou nejúčinnější metody pro automatickou detekci nových typů hrozeb?
Nejúčinnějšími metodami jsou strojové učení, behaviorální analýza a korelace dat v reálném čase. Tyto technologie dokážou identifikovat odchylky od normálního chování a neobvyklé vzorce, což umožňuje detekci nových a dosud neznámých hrozeb, které by jinými nástroji byly velmi obtížně detekovatelné.
Jak lze využít umělou inteligenci pro zlepšení detekce?
Umělá inteligence (dále jen AI) může analyzovat obrovské objemy dat z různých zdrojů, učit se z historických incidentů a poskytovat doporučení v reálném čase. AI také pomáhá s prediktivní analýzou, která identifikuje potenciální hrozby dříve, než se plně projeví.
Automatizace incident response:
Jaké kroky incident response lze úspěšně automatizovat?
Úspěšně lze automatizovat kroky jako je izolace napadených systémů, blokování IP adres, odstranění malwaru nebo obnovení souborů ze záloh. Automatizace také zrychluje notifikaci relevantních týmů.
Jaké jsou výhody a nevýhody automatizovaného incident response?
Výhody zahrnují rychlost reakce a minimalizaci lidských chyb. Nevýhody mohou zahrnovat nedostatečnou flexibilitu při řešení složitějších incidentů, riziko provedení response kroků při false positive detekci a potřeba pravidelné údržby automatizačních skriptů a nástrojů.
Automatizace reportingu:
Jaké typy reportů lze generovat automaticky?
Automaticky lze generovat reporty o stavu bezpečnosti, přehledy incidentů, metriky efektivity SOC a compliance reportů. Tyto reporty mohou být přizpůsobeny pro potřeby různých úrovní managementu. Možnosti automatizace jsou velmi široké a to zejména při využití AI.
Jaké jsou výhody automatizovaného reportingu pro management?
Automatizovaný reporting poskytuje managementu aktuální informace v čase, snižuje administrativní zátěž bezpečnostního dohledu a umožňuje rychlejší rozhodování na základě generovaných dat. Umožňuje také snadnou sledovatelnost klíčových metrik SOC a jeho zákazníků.
Zdroj: AXENTA