SIEM (Security Event Management) oraz SOAR (Security Orchestration, Automation and Response) to jedne z najnowszych rozwiązań technologicznych, które pozwalają skutecznie zwiekszyć poziom bezpieczeństwa cybernetycznego organizacji. Technologie te szczególnie sprawdzają się w dużych, mocno scyfryzowanych środowiskach, ale z powodzeniem działają także w mniejszych organizacjach.

Implementacja SIEM w połączeniu z SOAR pozwala skutecznie zautomatyzować monitorowanie wszelkiego rodzaju zagrożeń cyberbezpieczeństwa w organizacji w modelu 24/7/365. Dodatków przysłużą się optymalizacji kosztów oraz odciążeniu pracowników działów IT. Czym zatem są dokładnie systemy SIEM i SOAR?

Zobacz również:

• Priorytety zarządzania bezpieczeństwem

SIEM - zintegrowany system do zarządzania cyberbezpieczeństwem

SIEM powinien być sercem systemów cyberbezpieczeństwa w nowoczesnej organizacji, która zdaje sobie sprawę z ilośc i wagi zagrożeń cybernetycznych, które mogą zachwiać ciągłością biznesu. SIEM to system zarządzania informacjami i zdarzeniami dotyczącymi bezpieczeństwa (z języka angielskiego Security Information and Event Management). Jest to niezwykle rozbudowany system bezpieczeństwa, który jak sama nazwa wskazuje służy do wykrywania, monitorowania, segregowania oraz rozwiązywania problemów z bezpieczeństwem cybernetycznym.

Zadaniem rozwiązań typu SIEM jest przede wszystkim agregacja, filtrowanie, porządkowanie, normalizowanie, a także korelowanie wszelkiego rodzaju danych dotyczących bezpieczeństwa cybernetycznego. Nie mnie ważna jest przejrzysta prezentacja wyników na zdefiniowanym dashboardzie oraz rekomendację pozwalające zwiększać poziom bezpieczeństwa.

SIEM jako nowoczesne rozwiązanie wspomaga się uczeniem maszynowym i sztuczną inteligencją. System uczy się też wzorców zachowania całego środowiska IT organizacji. Jest również na bieżąco aktualizowany, aby oddziaływać i przewidywać występujące zdarzenia związane z bezpieczeństwem cybernetycznym.

Skąd system SIEM czerpie dane do analizy? Rozwiązanie to gromadzi i przetwarza wszelkiego rodzaju logi zbierane w organizacji - od komputerów przenośnych, poprzez całą infrastrukturę Data Center, aż po telefony VoIP i specjalistyczne urządzenie znajdujące się w organizacji, które zostały podłączone do sieci. Najwięcej danych przetwarzanych jest z urządzeń końcowych użytkowników - to właśnie one są głównym źródłem zagrożeń bezpieczeństwa cybernetycznego organizacji. Co istotne SIEM przetwarza dane bez wpływu na wydajność urządzeń pracowników - dane przetwarzane są z innych zasobów obliczeniowych.

Dzięki zgromadzeni wszystkich logów z całej organizacji w jednym miejscu, systemy SIEM służą z bardzo dokładnego oraz przejrzystego raportowania, a kompletna baza danych pozwala skutecznie odfiltrować wszelkie zdarzenia nie powiązane z bezpieczeństwem cybernetycznym np. informacje o niskim poziomie baterii komputerów przenośnych.

Zalety systemów SIEM

Do głównych zalet systemów SIEM możemy zaliczyć:

• Zbieranie danych do analizy praktycznie bez opóźnień (są pomijalne i nie wpływają na bezpieczeństwo cybernetyczne organizacji)
• Gromadzenie danych w jednym miejscu
• Łączenie ze sobą zdarzeń i tworzenie związków przyczynowo skutkowych
• Automatyczne informowanie o zdarzeniach, które zagrażają bezpieczeństwu cybernetycznemu organizacji
• Dashboard z czytelną wizualizacją zgromadzonych informacji

SOAR - System zarządzania informacjami i zdarzeniami dotyczącymi bezpieczeństwa

SOAR jest uzupełnieniem systemu SIEM, który gromadzi, analizuje i przedstawia dane dotyczące bezpieczeństwa. SOAR jako dodatkowy element pozwala na szybką reakcję i neutralizację zdarzenia związanego z bezpieczeństwem cybernetycznym.

SOAR to nowe rozwiązanie, które po raz pierwszy zostało wdrożone w organizacjach w 2015 roku. Pomimo niewielkiego (jak na sektor secutiry) stażu rynkowego, zalety SOAR zostały szybko dostrzeżone przez Gartnera.

Głównym celem działania systemu jest zmniejszenie czasu reakcji na wykryte incydenty cybernetyczne. SOAR bardzo często wykorzystywany jest przez działu SOC największych organizacji.

SOAR pozwala na zautomatyzowanie działań mających na celu natychmiastową reakcję i neutralizację niebezpiecznych zdarzeń, o których informacje przekazywane są przez system SIEM.

Rozwiązania typu SOAR również korzystają z uczenia maszynowego oraz sztucznej inteligencji. Poza samą neutralizacją niebezpiecznych zdarzeń, SOAR pozwala na przeprowadzanie dokładnych analiz incydentów i gromadzenie wniosków pozwalających unikanie ich wystąpienia w przyszłości oraz sortowanie incydentów według typu. Narzędzie jest wysoce personalizowane i można dostosować je do wymogów danej organizacji.

Zalety systemów SOAR

Nadrzędną zaletą systemu SOAR jest zmniejszenie czasu potrzebnego na reakcję na niebezpieczne zdarzenia. Dodatkowo organizacje z wdrożonym rozwiązaniem SOAR mogą skorzystać z dokładnych analiz bezpieczeństwa, automatyzacji zadań odciążającej pracowników działu IT oraz zauważalnej redukcji kosztów - zbędne stają się dyżury 24/7 i pełnoprawne SOC.

SIEM i SOAR grają do jednej bramki

Oba systemy można wdrożyć w organizacji niezależnie od siebie. Znane są przypadki firm posiadający jedynie SIEM lub SOAR. W praktyce jednak najlepiej skupić się na wdrożeniu obu systemów, aby skorzystać z kompleksowej ochrony przed cyberzagrożeniami. SIEM i SOAR idealnie uzupełniają się swoimi funkcjonalnościami - SIEM odpowiada za skanowanie danych i filtrowanie potencjalnie niebezpiecznych zdarzeń, które są automatycznie przetwarzane i neutralizowane przez SOAR.

Co istotne SIEM i SOAR są w stanie komunikować się obustronnie. Oznacza to, ze po neutralizacji zagrożenia SIEM jest w stanie zaktualizować swój dashboard i poinformować pracowników działów IT o aktualnym stanie cyberbezpieczeństwa w ich organizacji.