Με το παρόν θα περιηγηθούμε σε τουλάχιστον 21 χαρακτηριστικά του SOAR, πέραν της προφανής και υγιής σχέση που έχει με το SIEM, και πως δίκαια το ακρωνύμιο θα μπορούσε να αλλάξει από το τρέχον Security Orchestration Automation and Response, σε Strategic Orchestrator, Automator & Responder.

Αργύρης Μακρυγεώργου,

SecOps BDM GR/CY/HU

 

 

Fortinet AI Advisor

AI companion for FortiSIEM, FortiSOAR & FortiAnalyzer

 

 

«Το αδερφάκι του SIEM»

Το SOAR και το SIEM (Security Information and Event Management) είναι δύο στενά συνδεδεμένες τεχνολογίες που συνεργάζονται για την προστασία των πληροφοριακών συστημάτων.

Το SIEM συγκεντρώνει, κανονικοποιεί και αναλύει δεδομένα ασφαλείας από διαφορετικές πηγές (π.χ., firewalls, endpoint systems, IDS/IPS) σε πραγματικό χρόνο, εστιάζοντας κυρίως στην παρακολούθηση και εντοπισμό και όχι στην απόκριση.

Το SOAR επεκτείνει τη λειτουργικότητα του SIEM, εστιάζοντας στην αυτοματοποίηση των διαδικασιών απόκρισης σε περιστατικά… παίρνει δηλαδή δεδομένα από το SIEM και τα μετατρέπει σε δράση.

Το SOAR μπορεί να θεωρηθεί ως το “αδερφάκι” του SIEM επειδή λειτουργούν συμπληρωματικά:

  • Το SIEM συλλέγει και αναλύει, δημιουργώντας ειδοποιήσεις (alerts).
  • Το SOAR τις μετατρέπει σε ενέργειες απόκρισης.
  • Το SIEM παρέχει την αναγνώριση περιστατικών.
  • Το SOAR αναλαμβάνει την αυτοματοποίηση της απόκρισης.
  • Το SOAR χρησιμοποιεί playbooks για να υλοποιεί προκαθορισμένες ενέργειες.
  • Το SIEM δεν εκτελεί δράσεις.
  • Το SIEM συχνά δημιουργεί μεγάλο όγκο ειδοποιήσεων, πολλές από τις οποίες μπορεί να είναι ψευδώς θετικές.
  • Το SOAR φιλτράρει αυτές τις ειδοποιήσεις, μειώνει το φορτίο στις ομάδες ασφαλείας και επικεντρώνεται στις κρίσιμες.
  • Το SIEM αναγνωρίζει την απειλή.
  • Το SOAR ενεργεί αυτόματα για να περιορίσει την απειλή.

Το SIEM είναι, δηλαδή, το “μάτι” που εντοπίζει απειλές, ενώ το SOAR είναι το “χέρι” που παίρνει δράση. Μαζί, παρέχουν μια ολοκληρωμένη λύση για την ανίχνευση, την ανάλυση και την απόκριση σε περιστατικά ασφαλείας.

«…και όχι μόνο»

IT Operations (Ops) & IT Service Management (SM)

Το SOAR αν και προσανατολισμένο στην κυβερνοασφάλεια, μπορεί και διαδραματίζει κρίσιμο ρόλο στη βελτίωση του IT Operations και της Διαχείρισης Υπηρεσιών Πληροφορικής (IT Service Management – ITSM). Αυτό επιτυγχάνεται κυρίως μέσω της αυτοματοποίησης, της ενοποίησης και της βελτιστοποίησης. Πιο ενδελεχώς…:

  1. Αυτοματοποιημένη Διαχείριση Περιστατικών (Incident Management)

Το SOAR ενσωματώνεται με συστήματα ITSM όπως το ServiceNow ή το BMC Remedy, δημιουργώντας και ενημερώνοντας αιτήματα (tickets) αυτόματα, καταγράφοντας τις ενέργειες απόκρισης και παρέχοντας λεπτομερή δεδομένα, επιταχύνοντας, εν παραλλήλω, την ανάλυση και την επίλυση προβλημάτων.

  1. Ενίσχυση της Διαχείρισης Αλλαγών (Change Management)

Με τις Αλλαγές στις υποδομές IT συχνά να προκαλούν κινδύνους και προβλήματα, το SOAR ελέγχει αυτόματα την κατάσταση πριν και μετά την εφαρμογή αλλαγών, παρέχει ειδοποιήσεις αν εντοπιστούν ανωμαλίες, βοηθώντας, έτσι, στην τήρηση των διαδικασιών change management.

  1. Βελτίωση του SLA (Service Level Agreement)

Η ταχύτερη ανάλυση και επίλυση περιστατικών μέσω του SOAR, βελτιώνει τους χρόνους απόκρισης, εξασφαλίζοντας τη συμμόρφωση με τα συμφωνημένα επίπεδα υπηρεσιών (SLAs).

  1. Διαλειτουργικότητα IT και Ασφάλειας

Το SOAR γεφυρώνει το χάσμα μεταξύ των ομάδων IT Operations και Security Operations (SecOps), προωθόντας τη συνεργασία μέσω κοινών εργαλείων και δεδομένων, και ελαχιστοποιώντας τις επικαλύψεις και τις αντιφάσεις στις διαδικασίες.

Το SOAR συνεπώς αποτελεί ένα κρίσιμο εργαλείο για τη βελτίωση της λειτουργίας και της διαχείρισης των IT υπηρεσιών, ενισχύει την αποδοτικότητα, μειώνει το κόστος και εξασφαλίζει τη συνέχεια και ποιότητα των υπηρεσιών IT.

«Ψάχνω κόσμο και δε βρίσκω…»

Το SOAR παίζει, επίσης, σημαντικό ρόλο στη γεφύρωση του cybersecurity skill gap (έλλειμμα δεξιοτήτων στον τομέα της κυβερνοασφάλειας).

  1. Αυτοματοποίηση Επαναλαμβανόμενων Εργασιών

Αυτοματοποιεί επαναλαμβανόμενες και χρονοβόρες εργασίες, όπως η συλλογή δεδομένων και η ανάλυση logs, μειώνοντας, παράλληλα, την εξάρτηση από ανθρώπινες παρεμβάσεις, εξοικονομώντας πόρους και χρόνο.

  1. Ενεργοποίηση Μη Εξειδικευμένου Προσωπικού

Το SOAR περιλαμβάνει playbooks (προκαθορισμένα σχέδια δράσης) που μπορούν να καθοδηγήσουν ακόμα και λιγότερο έμπειρους επαγγελματίες στην αντιμετώπιση περιστατικών.

  1. Ενίσχυση Αποτελεσματικότητας Υφιστάμενων Ομάδων

Σε περιπτώσεις περιορισμένου προσωπικού, επιτρέπει στις μικρές ομάδες ασφάλειας να χειρίζονται μεγάλο όγκο περιστατικών, μειώνοντας την κόπωση από τις ειδοποιήσεις (alert fatigue), φιλτράροντας τα ψευδή θετικά και ιεραρχώντας τα πραγματικά περιστατικά.

  1. Εκπαίδευση Μέσω Ενσωματωμένων Γνώσεων

Εργαλεία όπως το SOAR συχνά περιέχουν βάσεις γνώσεων και πληροφορίες για γνωστές απειλές, γεγονός που προάγει το on-the-job training, δίνοντας τους και πολύτιμη εμπειρία μέσω των playbooks και των αυτόματων απαντήσεων.

  1. Μείωση Ανθρώπινων Λαθών

Η έλλειψη εμπειρίας μπορεί να οδηγήσει σε λάθη κατά τη διαχείριση περιστατικών. Το SOAR έρχεται και διασφαλίζει συνέπεια στις ενέργειες, μειώνοντας την πιθανότητα λαθών, ενισχύοντας τη συνολική αποτελεσματικότητα.

  1. Κλιμάκωση Περιστατικών Στους Κατάλληλους Ειδικούς

Αναγνωρίζει ποια περιστατικά απαιτούν εξειδικευμένη παρέμβαση και τα προωθεί αυτόματα σε ανώτερα επίπεδα, με αποτέλεσμα οι ειδικοί να εστιάζουν μόνο στα πιο κρίσιμα ζητήματα και το λιγότερο έμπειρο προσωπικό να αναλαμβάνει τις πιο απλές διαδικασίες.

Το SOAR συνεπώς μειώνει την εξάρτηση από σπάνιες δεξιότητες και ενισχύει την αποτελεσματικότητα των υφιστάμενων ομάδων ασφαλείας, κάνοντας την κυβερνοασφάλεια πιο προσιτή και αποτελεσματική.

Compliance

Διαδραματίζει σημαντικό ρόλο στη διασφάλιση της συμμόρφωσης (compliance) με ρυθμιστικά πλαίσια και κανονισμούς.

  1. Αυτοματοποιημένη Παρακολούθηση Συμμόρφωσης

Αυτοματοποιεί τη συλλογή και την παρακολούθηση δεδομένων συμμόρφωσης, χρησιμοποιώντας προκαθορισμένα πρότυπα (templates) για τη σύγκριση των πρακτικών ασφαλείας με τους κανονισμούς, όπως το GDPR, το ISO 27001, το NIS2, το DORA, κλπ. Παρακολουθεί, συνάμα, συνεχώς κρίσιμες παραμέτρους ασφάλειας και στέλνει ειδοποιήσεις αν ανιχνευθεί κάποια απόκλιση από τα πρότυπα.

  1. Διατήρηση Λεπτομερών Αρχείων (Audit Logs)

Καταγράφει αυτόματα όλες τις ενέργειες που σχετίζονται με την κυβερνοασφάλεια όπως ενέργειες ανάλυσης περιστατικών, διορθωτικές ενέργειες που έχουν ληφθεί, διατηρώντας την απαραίτητη ιχνηλασιμότητα που απαιτείται από τις ρυθμιστικές αρχές.

  1. Εξατομικευμένες Αναφορές Συμμόρφωσης

Δημιουργεί προσαρμοσμένες αναφορές με βάση τις απαιτήσεις των κανονισμών, διευκολύνοντας την παρουσίαση στοιχείων στους ελεγκτές.

  1. Εναρμόνιση Πολιτικών και Διαδικασιών

Συνδράμει στην ευθυγράμμιση των πολιτικών ασφαλείας της εταιρείας με τα ρυθμιστικά πρότυπα.

Το SOAR αποτελεί λοιπόν ένα ισχυρό εργαλείο για τις επιχειρήσεις να αποδεικνύουν την τήρηση των κανονισμών, ενώ βελτιστοποιεί την ασφάλεια των πληροφοριών.

Artificial Intelligence & Machine Learning

Αναγκαστικά για το συγκεκριμένο θα πάμε και λίγο προϊοντικά…

Το SOAR της Fortinet aka FortiSOAR, είναι μια πλατφόρμα που ενσωματώνει Artificial Intelligence (AI) για την ενίσχυση της κυβερνοασφάλειας και της αποτελεσματικότητας των λειτουργιών ασφαλείας (SecOps), φέρνοντας σημαντικά οφέλη και επεκτείνοντας τις δυνατότητες της πλατφόρμας.

  1. Ενίσχυση Αναγνώρισης Απειλών

Η ενσωμάτωση τεχνητής νοημοσύνης επιτρέπει στο FortiSOAR να αναλύει μοτίβα και ανωμαλίες σε τεράστιο όγκο δεδομένων ασφαλείας (logs, alerts, και events), να εντοπίζει πιθανές απειλές που μπορεί να μην είναι άμεσα εμφανείς μέσω συμβατικών εργαλείων, αλλά και να προβλέπει πιθανές επιθέσεις βάσει ιστορικών δεδομένων και αλγορίθμων μηχανικής μάθησης (Machine Learning).

  1. Αυτοματοποιημένη Αντιμετώπιση Περιστατικών

Χρησιμοποιώντας AI, το FortiSOAR μπορεί και αναλύει και ιεραρχεί περιστατικά βάσει του επιπέδου επικινδυνότητας, παίρνει αποφάσεις για την αντιμετώπιση περιστατικών σε πραγματικό χρόνο, ακολουθώντας προκαθορισμένα playbooks ή προσαρμοσμένες στρατηγικές, αυτοματοποιώντας ενέργειες, όπως απομόνωση συστημάτων, μπλοκάρισμα IP ή εφαρμογή patches.

  1. Εξυπνότερη Ιεράρχηση Προβλημάτων (Prioritization)

Το AI βοηθά στη διαχείριση τεράστιου όγκου ειδοποιήσεων (alert fatigue) μέσω φιλτραρίσματος ψευδών θετικών ειδοποιήσεων (false positives) και ιεράρχησης περιστατικών που χρειάζονται άμεση επέμβαση, βασιζόμενη σε ανάλυση κινδύνου και πιθανότητας, και όλα αυτά σε πραγματικό χρόνο.

  1. Προγνωστική Ανάλυση (Predictive Analytics)

Με τεχνικές Machine Learning, το FortiSOAR μπορεί και προβλέπει μελλοντικές απειλές, αναλύοντας μοτίβα επιθέσεων, παρέχοντας προληπτικές προτάσεις για την ενίσχυση της ασφάλειας.

  1. Εξατομικευμένα Playbooks με AI

Η τεχνητή νοημοσύνη προσαρμόζει και τα playbooks που χρησιμοποιεί το FortiSOAR, βελτιστοποιώντας τα βήματα αντιμετώπισης περιστατικών και βελτιώνοντας τα με την πάροδο του χρόνου μέσω εκπαίδευσης στους διαθέσιμους τύπους περιστατικών.

  1. Συνεργασία Ανθρώπου-Μηχανής

Βελτιστοποιεί και τη συνεργασία με τις ομάδες ασφαλείας, παρέχοντας προτάσεις για την αντιμετώπιση περιστατικών, υποστηρίζοντας τη λήψη αποφάσεων με βάση δεδομένα και προβλέψεις., δίνοντας τη δυνατότητα στις ομάδες να επικεντρωθούν σε πιο στρατηγικά καθήκοντα.

  1. Διαχείριση σε Πραγματικό Χρόνο

Με AI-driven αναλύσεις, εντοπίζει και αποκρίνεται σε απειλές σε real-time, προσαρμόζοντας τις ενέργειες βάσει της εξέλιξης της επίθεσης.

Η χρήση της Τεχνητής Νοημοσύνης στο FortiSOAR ενισχύει τη λειτουργικότητα της πλατφόρμας, προσφέροντας αυτοματοποίηση, προγνωστική ανάλυση, και προσαρμοστικότητα.

Outro

Τα περισσότερα πράγματα, τουλάχιστον στον κόσμο της Πληροφορικής και δει της Κυβερνοασφάλειας, είναι ένα ταξίδι (ένας μαραθώνιος στο repeat όπως συνηθίζει να αναφέρει ένα φίλος του χώρου), το οποίο οφείλουμε να το διανύσουμε τόσο με εσωτερικούς συνοδοιπόρους, αλλά και με συμμάχους αξιόπιστους Integrators, Service Providers & Κατασκευαστές, όπως τη Fortinet.