Bezpečnostní informace a správa událostí Technologie (SIEM) jsou již dlouho výkonnými nástroji profesionálů v oblasti kybernetické bezpečnosti. Umožňují týmům zabezpečení shromažďovat a analyzovat data založená na událostech z mnoha zdrojů, jako jsou systémy zabezpečení IT, sítě, servery, aplikace a další, ve snaze pomoci identifikovat a zmírnit příchozí kybernetické útoky.
Nicméně, orchestrace zabezpečení, automatizace a reakce Produkty (SOAR) se v posledních letech staly životaschopnou alternativou k tradičnějším systémům SIEM. Přestože technologie SOAR také pomáhají organizacím spravovat více zdrojů dat napříč jejich IT nemovitostmi, jdou dále než systémy SIEM automatizací různých aspektů procesu zjišťování a zmírňování kybernetických hrozeb.
Ale s rychlým přechodem do vzdáleného světa práce a počítačoví zločinci nadále využívají výhod pandemie Covid-19„Krajina hrozeb se za poslední rok výrazně vyvinula – a v důsledku toho podniky čelí mnoha novým výzvám kybernetické bezpečnosti. Jsou tedy služby SIEM a SOAR stále výkonnými nástroji bezpečnostních týmů? A jak se vyvíjely v roce 2021?
Výzvy, kterým čelí týmy pro zabezpečení sítě, se kvůli koronavirové pandemii a následnému nárůstu práce na dálku výrazně změnily, říká Nicola Whiting, hlavní strategický ředitel společnosti Titania.
“Přechod na vzdálenou práci, včetně zavádění nových zařízení a aplikací, stejně jako přijetí cloudové technologie, znamená, že týmy mají stále větší množství síťových dat, která mohou sbírat a analyzovat,” říká.
“Když k tomu připočteme rostoucí propracovanost aktérů hrozeb, kteří na ustavení v cílové síti vyžadují zkracování času, je důležitost nepřetržitého sledování stavu konfigurace sítě jasná.”
Ale pro bezpečnostní profesionály, kteří chtějí úspěšně procházet stále složitější krajinou kybernetických hrozeb, mohou být SIEM výkonnými nástroji. Whiting říká, že nabízejí centralizovaný pohled na skutečný stav sítě v reálném čase prostřednictvím shromažďování a analýzy dat z různých bezpečnostních nástrojů. To umožňuje bezpečnostním profesionálům sledovat, kdy se data unášejí z požadovaného stavu.
“Díky agregaci a obohacení častých, ne -li nepřetržitých dat hodnocení zranitelnosti mohou týmy zabezpečení sítě dosáhnout důvěryhodnosti konfigurace – s vědomím, že něčí síť je správně nakonfigurována tak, aby se zabránilo útoku,” říká Whiting.
“Zejména v dnešním novém, komplexním a vyvíjejícím se síťovém prostředí IT jsou systémy SIEM kritičtější než kdy dříve při minimalizaci povrchu útoku a zkrácení průměrného času na detekci chybných konfigurací.”
Whiting se však domnívá, že identifikace anomálií a hrozeb v systému SIEM tvoří pouze jednu část důvěryhodnosti konfigurace. Dalším kritickým prvkem tohoto procesu je schopnost automaticky odstraňovat problémy, jakmile jsou objeveny, a její názor je, že schopnosti třídění automatizovat technologie SOAR jsou stále důležitější.
“To vede k posunu k integraci SIEM s možnostmi orchestrace zabezpečení, automatizace a odezvy – tzn řízená detekce a reakce [MDR] funkčnost, což zkracuje průměrnou dobu na třídění bezpečnostních chyb, “říká. “Důvěra v automatizaci, která je základem MDR, jsou vysoce věrná data.”
“Takže týmy zabezpečení sítě-přestože chtějí zavést technologie založené na automatizaci, aby snížily pracovní zátěž a urychlily nápravu-se stále více zaměřují na přesnost nástrojů, které dodávají data do jejich nástrojů MDR.” Automatizace je nadbytečná, pokud je založena na nepřesných informacích. Setkání a konfrontace s dnešními bezpečnostními hrozbami a výzvami proto začíná na úrovni hodnocení zranitelnosti. “
Nástroje SIEM se vyvinuly
Technologie SIEM fungují po dvě desetiletí jako zásadní nástroj v odděleních IT a kybernetické bezpečnosti po celém světě. A přestože jsou v dnešním prostředí zabezpečení stále důležité, Forrester analytička bezpečnosti a rizik Allie Mellen říká, že současné systémy SIEM se zaměřují hlavně na detekci a reakci, a nikoli na případy použití dodržování předpisů.
“Příkladem toho je nedávný průzkum, který jsem provedl a který zjistil, že více než 80% respondentů z praxe uvedlo, že svůj SIEM používají především pro případy detekce a reakce,” říká. “Takto se o nich často nemluví;” mnoho prodejců tvrdí, že systémy SIEM jsou dobré pouze pro dodržování předpisů, přičemž sahají ke svým kořenům. “
Zatímco systémy SIEM existují již značnou dobu, Mellen zdůrazňuje, že v tomto odvětví se objevují inovace a přinášejí novou éru SIEM. Říká: „Tato změna je vhodněji pojmenována jako platformy pro analytiku zabezpečení, které nejen zpracovávají příjem a ukládání protokolů, ale také efektivněji řeší případy využití a detekce a reakce, které SOC [security operations centres] potřeba.”
Platformy pro analytiku zabezpečení jsou tak silné, že v jednom řešení poskytují funkce SIEM, SOAR a UEBA (analytika chování uživatelů a entit). Mellen říká, že pokrývají celý životní cyklus reakce na incidenty – včetně detekce, vyšetřování a reakce – vedle životně důležitých oblastí, jako je dodržování předpisů.
„Letos platformy pro analytiku zabezpečení pokračují v přechodu na cloud, přičemž prodejci vydávají cloudová nativní řešení nebo vyvíjejí svůj cenový model, aby tento posun podpořili a vysoké náklady spojené s hromadným ukládáním dat,“ říká. “Snaží se zlepšit své schopnosti strojového učení pro přesnější a dynamičtější detekce a aktivně hledají způsoby, jak odborníkům pomoci lépe detekovat hrozby v cloudu.”
Mellen dodává, že dodavatelé platformy analytiky zabezpečení také začínají měnit způsob, jakým sdělují své nabídky, kvůli konkurenci, kterou představují technologie rozšířené detekce a odezvy (XDR). “Zaměření je mnohem více soustředěno na detekci a reakci na hrozby, s novým důrazem na zlepšení vyšetřovacích schopností a zjednodušení procesu SOAR playbook s přidanou automatizací,” říká.
Nové přístupy
Průmysl přechází od čistě na události řízených nástrojů pro zpracování k řešením pro sledování chování, jako je Technologie XDR, podle Seana Wrighta, zabezpečení aplikací vede na Pohlcující laboratoře.
“To dává smysl, protože útočníci se neustále vyvíjejí, což znamená, že tradiční detekce založená na podpisu zaostává,” říká. “Vývoj infrastruktury si také vynucuje určité změny.” Mnoho organizací například přechází do cloudu a již nemají jediné datové centrum, což může mít dopad na účinnost SIEM. “
Při pohledu do budoucna Wright věří, že technologie SOAR bude stále oblíbenější, protože informace o hrozbách se stávají stále důležitější součástí pozice kybernetické bezpečnosti v organizaci. „Automatizace může zvýšit efektivitu při používání a analýze, což v konečném důsledku pomáhá bezpečnostním týmům jednat s informacemi rychleji a snížit riziko,“ říká.
Jake Moore, bezpečnostní specialista na ESET, říká systémy SIEM a SOAR nabízejí maximální viditelnost a jsou základním nástrojem pro organizace, které chtějí zmírnit tsunami kybernetických bezpečnostních hrozeb. “Jejich myšlenkou je vyhodnocovat a analyzovat data v reálném čase na anomálie a vzorce a identifikovat rizika, která jsou neocenitelná v reakci na incidenty,” říká. “To je životně důležité pro každou společnost, která chce do budoucna chránit nevyhnutelnou tirádu útoků, kterým čelí tolik organizací.”
Zatímco Moore souhlasí s tím, že technologie SIEM založené na softwaru jako službě (SaaS) mohou podstatně zlepšit efektivitu v oddělení kybernetické bezpečnosti, varuje organizace, aby se příliš nespoléhaly na systémy SIEM využívající umělou inteligenci, protože mohou generovat falešně pozitivní výsledky.
V dokonalém světě, říká Moore, by organizace byly schopné detekovat kybernetické útoky co nejdříve. Přiznává ale, že technologie detekce autonomních hrozeb nejsou v současné době natolik pokročilé, aby to dnes byla realita. “Ale toto je přinejmenším začátek lepší ochrany a je velmi pravděpodobné, že exponenciálně poroste s jistotou, zatímco se vrátíme s větší odolností,” říká.
SOARs jsou mocné nástroje
Když SIEMy v roce 2000 poprvé přišly na scénu, představovaly pro týmy IT bezpečnosti skvělý způsob, jak ovládat více zdrojů dat a využívat tyto různé informace k řešení kybernetických útoků. Ale Michael Morris, ředitel globálních technologických aliancí na Endace, věří, že SOARs se objevují jako efektivnější řešení pro profesionály v oblasti kybernetické bezpečnosti.
“Nyní se SOARs stává další platformou, kterou musíte mít, a nabízí příslib pomoci týmům držet krok s rozšířenými a plynulými útočnými plochami a stále rostoucím objemem hrozeb automatizací a standardizací procesů vyšetřování a reakce,” říká Morris.
Varuje, že bezpečnostní hrozby IT jsou stále sofistikovanější, zatímco delší doba zdržení usnadňuje počítačovým zločincům přístup k důležitým aktivům a datům. Z tohoto důvodu roste význam platforem SIEM a SOAR, protože organizace se stále více snaží „propojit ukazatele kompromisu s nástroji monitorování zabezpečení, protokolováním dat a síťovým provozem“.
Morris k tomu dodává: „Společně mohou tyto platformy pomoci týmům automatizovat analýzu, korelaci a uchovávání forenzních důkazů před možným narušením zabezpečení, což týmům SecOps poskytne čas na reakci a jasný pohled na to, co se přesně stalo.“
Pokud bezpečnostní týmy nepoužívají technologie SIEM a SOAR, Morris varuje, že se budou snažit držet krok s rostoucím objemem kybernetických výstrah, rozlišovat falešná pozitiva od skutečných hrozeb a soustředit svůj čas na řešení nejzávažnějších rizik.
“Na druhé straně je těžké být proaktivnější,” říká. “Tráví příliš mnoho času hašením požárů a nedostatek času na proaktivní lov hrozeb a budování zkušeností a odborných znalostí potřebných k řešení pokročilejších aktérů hrozeb a vytrvalejších, cílených útoků.”
Přestože technologie SOAR nabízejí mnoho výhod, není vždy snadné je implementovat, pokud organizace nemá předchozí zkušenosti. Mark Nicholls, CTO společnosti Redscan, říká, že největší výzvou přijetí SOAR je nízká vyspělost procesů a postupů v týmech SOC.
Při zavádění systému SOAR společnost Nicholls doporučuje organizacím vyhledat odbornou radu, aby se ujistili, že jsou plně připraveni a dokážou z těchto technologií vytěžit maximum. “Mnoho organizací trpí nerealistickými očekáváními ohledně SOAR a nejasnými metrikami,” říká. “Není to stříbrná kulka pro řešení všech bezpečnostních výzev.” Pokud organizace nestanoví jasně definované případy použití, realistické cíle a parametry úspěchu, budou se nevyhnutelně cítit, že se výsledky změní. “
Také říká, že organizace, které chtějí implementovat řešení SOAR, musí porozumět různým prvkům, které je třeba automatizovat, aniž by se na automatizaci příliš spoléhali. “Organizace se nesmí spoléhat pouze na příručky a procesy původně nastavené v SOAR,” dodává. “Potřebují zajistit, aby uplatňovali aktuální bezpečnostní znalosti, aby se jejich schopnost SOAR zlepšovala, jak bezpečnostní pozice organizace zraje a je neustále připravena účinně reagovat na nové typy hrozeb.”
Organizace dnes čelí velké řadě kybernetických bezpečnostních hrozeb a prostředí kybernetických hrozeb nadále rychle roste. Ale vynikající způsob, jak firmy identifikovat a zmírnit kybernetické útoky, je použití řešení SIEM nebo SOAR. Přestože jsou oba pro moderní bezpečnostní týmy vynikajícími technologiemi, zdá se, že technologie SOAR se stávají nejoblíbenější a nejefektivnější možností obou.
