SOAR (ang. Security Orchestration, Automation and Response) to funkcja lub rozwiązanie, które automatyzuje odpowiedzi na cyberataki i usprawnia prace zespołów SOC. Zmniejsza obłożenie pracą operatorów poprzez automatyczne przetwarzanie procesów roboczych, kiedy zostaną spełnione określone warunki, na podstawie reguł wstępnie określonych przez dostawcę lub według podręczników definiowanych przez użytkownika.
SOAR przetwarza dane na podstawie reguł zdefiniowanych przez dostawcą lub według podręczników wskazanych przez użytkownika (listę przepływów wykonujących szereg działań określonych skryptem, gdy spełnione są dane warunki). Wspiera prace zespołów SOC, automatyzując reakcje na wstępnie założone sytuacje. Na przykład odcina łączność po wystąpieniu w danym czasie określonej liczby prób połączenia z nieznanego numeru z serwerem, na którym przechowywane są ważne informacje. Automatycznie podejmuje też czynności, takie jak blokowanie terminali zainfekowanych złośliwym oprogramowaniem lub uzyskiwanie dostępu do serwerów zarządzania (C&C) w celu objęcia sieci kwarantanną.
SOAR reaguje natychmiast po wykryciu oznak cyberataku i pomaga odciążyć pracowników.
Operatorzy nie muszą samodzielnie odsiewać ważnych informacji od nieważnych i mogą skupić się na tym, co wymaga ręcznej interwencji, a niedoświadczeni pracownicy mogą łatwo realizować działania z podręczników. Jest to szczególnie ważne teraz, w obliczu niedoborów wykwalifikowanych operatorów.
Cyberataki mogą zdarzyć się o każdej porze dnia i nie da się przewidzieć, kiedy dokładnie nastąpią
Cyberataki mogą zdarzyć się o każdej porze dnia, przez cały rok. Nie da się przewidzieć, kiedy dokładnie nastąpią. W niektórych organizacjach są zespoły SOC monitorujące otoczenie pod katem oznak cyberataków, jednak preferowanym rozwiązaniem, tak z punktu widzenie bezpieczeństwa, jak i operacyjnego, jest automatyzacja reakcji na zagrożenia. Na przykład podstawowa zasada zamykania terminali, o których wiadomo, że są zainfekowane, lub uzyskiwania dostępu do serwerów zarządzania (C&C) w celu objęcia kwarantanną sieci, ograniczy ryzyko rozprzestrzeniania się ataku na inne obszary danych organizacji. Ponadto utworzenie i zautomatyzowanie podręcznika na podstawie symptomów wcześniejszych cyberataków wymierzonych w firmę pozwoli przyspieszyć reagowanie na próby infiltracji w przyszłości.
Z badań przeprowadzonych przez Trend Micro wynika, że obłożenie pracą w działach bezpieczeństwa rośnie.
W ciągu zaledwie siedmiu dni z 1000 urządzeń zbieranych jest 1,25 miliarda dzienników*, a część z nich przypomina pliki, które zostały użyte do cyberataków wymierzonych w inne firmy lub tą samą branżę, lub w podobnych cyberatakach wymierzonych w Twoją firmę w przeszłości. Jeśli na przykład znajdziesz około 10 punktów końcowych zainfekowanych złośliwym oprogramowaniem w ciągu około miesiąca, wybranie i zrealizowanie odpowiednich działań zajmie pracownikom mnóstwo czasu. Automatyzacja reakcji na kolejne ataki w oparciu o pierwszych kilka incydentów pozwala odciążyć personel.
* Obliczono na próbce danych z 1000 urządzeń z okresu 7 dni zweryfikowanej przez Trend Micro.
Jak z tą wiedzą możemy podnieść wydajność, korzystając z posiadanych zasobów? SOAR pozwala poprawić wydajność działów bezpieczeństwa, korzystając z istniejących zasobów.
SIEM gromadzi dzienniki i zdarzenia z komputerów osobistych, serwerów, proxy, zapór sieciowych, produktów zabezpieczeń itp. i przedstawia ich wizualną interpretację; SOAR automatyzuje działania (np. jeśli w danym czasie wystąpi wiele prób dostępu do danego serwera) w oparciu o zdefiniowane reguły i przy użyciu informacji zebranych przez SIEM. XDR wykrywa i wizualizuje ślady ataków, by podjąć dochodzenie, wykryć przyczynę i odpowiadać na incydenty po wykryciu cyberataku, jeżeli zagrożenie pojawi się w środowisku użytkownika. SOAR cieszy się w ostatnich latach coraz większym zainteresowaniem głównie ze względu na możliwości mechanicznego przetwarzania ogromnych zbiorów danych z dzienników, ignorując nieistotne informacje i wyodrębniając tylko te alerty, które wymagają uwagi.
SOAR może być skuteczny tam, gdzie występuje szeroka gama produktów i usług używanych w połączeniu z interfejsami API i szczegółowymi ustawieniami skryptów, a doświadczeni operatorzy systemów bezpieczeństwa mogą utrzymywać rozwiązanie w ruchu. Niektóre XDR można też zintegrować z SOAR. XDR wtedy może służyć do gromadzenia wiedzy specjalistycznej potrzebnej do wykrywania cyberataków, a SOAR umożliwia integrację szerokiej gamy produktów i automatyzację reakcji.