Automatizált támadások ellen SOAR-ral

A kiberbiztonság még soha nem volt olyan fontos, mint napjainkban: záporoznak a támadások, a hackerek pedig nem kímélnek senkit, sőt az egyre szofisztikáltabbá és automatizáltabbá váló incidensek, a védelem oldaláról is új megküzdési stratégiát követelnek.

Itt jön képbe a furcsa hangzású betűszó, a SOAR, ami komplex, masszív és automatizált védelmi megoldást kínál.

Nem újkeletű az információbiztonságban a Security Orchestration, Automation and Response azaz SOAR, ellenben az elmúlt időszak történéseinek köszönhetően került jobban reflektorfénybe. Nem véletlenül, hiszen mára minden modern SOC-ban központi szerepet játszik a SOAR, az automatizált biztonság egyik zászlóshajója.

Ami az IT-biztonság automatizálását illeti, talán sosem volt még annyira fontos a feladat, mint 2024-ben. Míg a megtámadott vállalati rendszerek számának korábbi csúcsát a 2021-es év jelentette, és 2022-ben némileg mérséklődött a nyomás, addig az Identity Theft Resource Center 2023-as évről szóló jelentése megdöbbentő, 72 százalékos növekedést mutatott a két évvel korábbi USA-beli adatokhoz képest. Átlagosan közel 9 vállalat esett áldozatul adatszivárgásnak naponta (összesen 3205 a 2023-as évben), szemben az előző csúcsnál mért 5-ös átlaggal.

Az érintett internetezők száma évek óta csökkenő tendenciát mutat. A 2022-ben mért, valamivel több mint 425 millióval szemben 2023-ban már „csak” 353 millió felhasználó vált áldozattá. Ez a trend ugyanakkor közel sem jelenthet megnyugvást, mivel azt jelzi, hogy a támadók egyre több energiát fektetnek a megfelelő célszemélyek kiválasztásába, a tömeges próbálkozások helyett.

Az IT-biztonságban az idő kritikus tényező

A kibertámadások fokozódása egyrészről az kibertérben is zajló orosz-ukrán háború, illetve az hibrid office számlájára írható, a helyzeten pedig a felhasználók alacsony biztonságtudatossága sem segít.

A kiberbűnözők módszerei is átalakulóban vannak, egyre szofisztikáltabbá és összetettebbé válnak, az automatizmusok alkalmazása pedig egyre jobban jellemzővé válik a támadások során. Ezzel szemben a gyakorlat az mutatja, hogy a vállalatok védelmi vonalai erre nincsenek felkészülve. Egyszerűen nem megfelelőek ahhoz, hogy az egyre fokozódó intenzitású támadások próbáját kiállják. Ennek több oka is van. Egyrészről az automatizált támadások ellen, „tisztán” emberi munkaerővel nem lehet felvenni a harcot, másrészről a jól képzett biztonsági szakemberekből is óriási hiány van a piacon. Nem beszélve arról, hogy ahhoz, hogy a védekezés reaktívból proaktív attitűdre váltson robusztus rendszerekre, bonyolult architektúrára van szükség, az ezt üzemeltetni képes szakembergárdával együtt. A kulcs azonban az azonnali,  másodpercek alatti reagálás, amire jelenleg csak az automatizált rendszerek képesek.

De mi van akkor, ha az IT-biztonság automatizációjának összes előnyét ki szeretnénk használni, ellenben nem akarunk és tudunk erre pénzt, energiát és időt áldozni? Ekkora jön képbe a kiszervezett SOC és a SOAR.

A SOAR képes felvenni a harcot IT-biztonsági kihívásaival

A SOAR képes felvenni a harcot a jelen piaci környezetből fakadó IT-biztonsági kihívásokkal, mégpedig azáltal, hogy a SOAR a SIEM-ből kapott riasztásokat leválogatja, a fals pozitív incidenseket kiszűri, ezáltal tehermentesítve a mérnököket, majd a valós riasztásokat priorizálja, ahol lehetséges, ott automatikusan elindítja a szükséges eljárásrendet, az úgynevezett Playbookot, azaz az automatikus megoldási folyamatot.

Tehát nemcsak detektál és szelektál másodpercek alatt, hanem egy lépéssel továbbmegy és beavatkozik. Ha a rendszeren túlmutató incidensbe ütközik, azt továbbítja a rendszert üzemeltető mérnököknek, akiknek az automatikus előszűrés, priorizálás, beavatkozásnak köszönhetően több idejük marad arra, hogy a rendszer által továbbított fenyegető kockázatokat észleljék, és mérlegeljék, hogy az adott fenyegetés valóban kritikus-e vagy sem. Szükség esetén pedig a lehető leggyorsabban és leghatékonyabban reagáljanak.

A SOAR ezáltal képes az incidens megoldási időt, ami a manuális kezelés esetében átlagosan 4-15 óra között mozog, a töredékére, csupán percekre csökkenteni.

A SOAR alapja a SIEM-rendszer, ami mögött nem árt, ha ott van a SOC is. Mivel robusztus technológiákról, a biztonságot nagyban növelő megoldásokról beszélünk, sok cég esetében ezek szolgáltatásként való igénybevétele jelenti a költséghatékony és egyszerű megoldást.