BLOG

SOC360: Dlaczego nie korzystamy z systemu SOAR

Krzysztof Majchrzak
Krzysztof Majchrzak
23/08/2024
Dlaczego nie korzystamy z systemu SOAR

W dzisiejszym świecie cyberbezpieczeństwa, gdzie liczba alertów i incydentów stale rośnie, wiele organizacji poszukuje rozwiązań, które pomogą im efektywniej radzić sobie z tymi wyzwaniami. Jednym z takich rozwiązań są systemy SOAR (Security Orchestration, Automation, and Response).

Jako zespół SOC360 otrzymujemy wiele zapytań od klientów dotyczących SOARa, jednak co do zasady nie pracujemy na tym systemie. W dzisiejszym artykule wyjaśnimy, dlaczego.

Czym jest SOAR?

SOAR to rozwiązanie, które ma na celu automatyzację i orkiestrację procesów związanych z bezpieczeństwem. Jego głównym zadaniem jest integracja różnych narzędzi i systemów bezpieczeństwa, takich jak SIEM, EDR czy systemy antywirusowe, oraz automatyzacja reakcji na incydenty.

SOAR pozwala na tworzenie tzw. playbooków, czyli zdefiniowanych sekwencji działań, które system wykonuje automatycznie w odpowiedzi na określone zdarzenia. Może to obejmować takie czynności jak zbieranie dodatkowych informacji, eskalację incydentu, powiadamianie odpowiednich osób czy nawet automatyczne blokowanie podejrzanych aktywności.

Dlaczego nie korzystamy z systemu SOAR

SOC360 to zespół specjalistów ds. bezpieczeństwa, który świadczy usługi typu SOC as a Service oraz Managed Detection and Response(MDR). Zajmujemy się monitorowaniem systemów 24/7, reagowaniem na incydenty oraz wsparciem klientów po atakach.

Oto, dlaczego nie korzystamy z systemu SOAR:

  1. SOAR nie rozwiązuje problemu nadmiaru alertów Wiele alertów generowanych przez systemy bezpieczeństwa to tzw. false positives, czyli fałszywe alarmy. Automatyzacja reakcji na takie alerty mogłaby prowadzić do niepotrzebnych działań i zakłócać pracę. Ponadto, automatyzacja obsługi incydentu wymaga całkowitego przewidzenia jego przebiegu, co w przypadku nowoczesnych cyberataków jest praktycznie niemożliwe. Zamiast playbooków, postawiliśmy na wysokie kompetencje naszych analityków. Nasz zespół koncentruje się na eliminacji przyczyn fałszywych alarmów i dostosowywaniu systemów detekcji do zmieniającego się środowiska. Dzięki temu analitycy mogą skupić się na analizie najbardziej skomplikowanych i krytycznych zdarzeń, zamiast tracić czas na reagowanie na nieistotne alerty.

  2. Większość klientów nie posiada wypracowanych procesów reagowania na incydenty Większość naszych klientów rozważających wdrożenie SOARa nie ma jeszcze odpowiednio wypracowanych procedur reagowania na incydenty. Tymczasem, aby system SOAR mógł działać efektywnie, takie procesy muszą być jasno zdefiniowane. Bez tego, nawet najlepsze narzędzie nie będzie w stanie przynieść oczekiwanych rezultatów.

  3. SOAR to kosztowna inwestycja z niskim ROI Zakup i wdrożenie SOARa to znacząca inwestycja, jednak samo posiadanie systemu nie gwarantuje sukcesu. Aby SOAR mógł efektywnie działać, konieczne jest zaangażowanie wysoko wykwalifikowanych specjalistów, którzy będą w stanie tworzyć i utrzymywać workflowy. To z kolei generuje dodatkowe koszty i wymaga nakładów czasowych, na które klienci często nie mogą sobie pozwolić.

Alternatywy dla systemu SOAR

Choć uważamy, że SOAR nie jest odpowiedzią na dużą ilość alertów, nie oznacza to, że nie doceniamy wartości automatyzacji. Wykorzystujemy na przykład systemy EDR (Endpoint Detection and Response) do automatycznego reagowania na incydenty związane z punktami końcowymi, serwerami i komputerami.

Automatyczne reakcje w EDR ustawiamy na niskim poziomie agresywności, tak aby w razie potrzeby można było łatwo je cofnąć. Bardziej zdecydowane działania, takie jak np. izolacja zainfekowanego hosta, podejmujemy ręcznie po dokładnej analizie sytuacji.

Niezależnie od tego, czy zdecydujesz się na wdrożenie SOARa czy nie, najważniejsze jest, aby stale dostosowywać procesy do zmieniającego się krajobrazu cyberzagrożeń i rozwijać kompetencje swojego zespołu SOC. Tylko w ten sposób będziesz w stanie skutecznie chronić swoją organizację przed cyberzagrożeniami.

Więcej na temat systemów SOAR dowiesz się z webinaru “Czy SOAR rozwiąże Twoje problemy z nadmiarem alertów?”.

Zespół SOC360 monitoruje systemy cyberbezpieczeństwa 24/7, analizuje zdarzenia, wykrywa i reaguje na incydenty, aby organizacje mogły bezpiecznie realizować swoje misje. Do grupy naszych klientów należą największe polskie firmy komercyjne z różnych sektorów gospodarki. Zapewniamy bezpieczeństwo środowisk rozproszonych w 10 krajach w Europie i Azji. Pracujemy z systemami EDR/XDR, NDR i SIEM od wiodących producentów oraz monitorujemy środowiska w chmurze.

Autor tekstu:
Krzysztof Majchrzak
Krzysztof Majchrzak , Head of Implementation Department, SOC360 , 4Prime Group
Krzysztof od lat specjalizuje się w projektowaniu i wdrażaniu rozwiązań bezpieczeństwa w środowiskach klientów korporacyjnych. Obecnie kieruje zespołem wdrożeniowym SOC360, odpowiadając za nadzór techniczny nad realizacją projektów oraz zapewnienie spójnej, wysokiej jakości współpracy z organizacjami korzystającymi z usług NG MDR+ / SOC as a Service.

Atak na Twoją firmę mógł się zacząć już miesiąc temu.

Sprawdź, jak możesz zapewnić bezpieczeństwo swojej organizacji już dziś.