Od začiatku roka sme v našom dohľadovom centre kybernetickej bezpečnosti (SOC) spracovali približne 80 000 upozornení. Až 60 800 z nich uzavreli automatizované systémy úplne bez zásahu človeka. Zvyšných 19 200 unikátnych alertov, ktoré si naozaj vyžadovali ľudské rozhodovanie, sa mohlo “tešiť“ naozaj intenzívnej pozornosti našich analytikov. Automatizácia v SOC prináša kľúčovú zmenu v práci bezpečnostných tímov. Neberie ľuďom prácu, ale odstraňuje rutinu, ktorá by ich zbytočne spomaľovala a profesionálne ničila.
Každý október si viaceré popredné krajiny sveta pripomínajú mesiac povedomia o kybernetickej bezpečnosti. Jeho neodmysliteľnou súčasťou je aj upozorňovanie na únavu pracovníkov v IT sektore, ktorá je spôsobená okrem iného aj neustálym bombardovaním ticketmi, alertmi a požiadavkami. Rôzne nástroje dokážu výrazne zlepšiť ochranu a viditeľnosť v prostredí. Častou daňou je, že pritom zároveň generujú obrovské množstvo upozornení.
V momente, keď analytici čelia záplave potenciálnych útokov, môžu byť veľmi rýchlo zahltení. Mnohé útoky pritom uspejú nie preto, že by bezpečnostný nástroj zlyhal a nevygeneroval alert, ale preto, že analytik ho prehliadol alebo dokonca nechtiac ignoroval. Ako sa tomu vyhnúť? Toto sú naše tipy na to, ako vyhodiť tony tzv. “monkey work“ doslova von oknom a venovať sa reálnym incidentom a hrozbám.
SOAR dáva analytikovi komplexný servis
Každá firma má inú infraštruktúru, nástroje aj iné procesy. Jeden klient používa Entra ID, ďalší Intune, iný má špecifické SIEM riešenie alebo vlastné interné systémy. Očakávať od L1 analytika, že sa bude dokonale orientovať vo všetkých konzolách a rozhraniach každého klienta, by bolo nereálne.
My v Binary Confidence tieto technológie integrujeme do SOAR-u. Je základom celej efektivity a centrálnym prostredím, ktoré prepája bezpečnostné technológie klienta do jedného miesta. Celý systém je navrhnutý tak, aby analytik nemusel prepínať medzi desiatkami systémov a mohol sa sústrediť na samotnú investigáciu.
Pri každom alerte je k dispozícii okamžitý kontext, ktorý mu pomáha rozhodovať sa efektívne a bez zdržania. Ponúkajú ho technológie ako IPAM, LDAP, Lansweeper, či spomínané Entra ID a Intune, ale aj Threat Intelligence platformy. Vďaka tomu môže už na prvý pohľad zhodnotiť reputáciu IP adresy alebo hashu. K dispozícii sú informácie o tom, o aké zariadenie či používateľa ide, či je zariadenie spravované a aký má stav v infraštruktúre klienta.
Ak neviete, čo sa deje v sieti vášho klienta, je to recept na častú paniku. V našom SOAR má analytik k dispozícii prevádzkové poznámky o klientskom prostredí. Nachádzajú sa tam informácie o plánovaných zmenách, údržbových oknách, známych výnimkách, špecifických detekciách alebo napríklad o plánovaných pentestoch. Vďaka tomu vie analytik rýchlo rozlíšiť, či ide o očakávanú aktivitu alebo potenciálny bezpečnostný incident.
SOAR ponúka prehľadne a na jeden klik dôležité prístupy do Kibana dashboardov, SIEMu, knowledgebase s kartou klienta alebo ku konkrétnym udalostiam. Náš analytik nemusí nič manuálne dohľadávať ani sa prihlasovať do viacerých systémov. Práve toto považujeme za dôležitý faktor, ktorý výrazne skracuje čas investigácie.
Automatizované triedenie zásadne znižuje únavu z alertov
Je úplne bežné, že sa v praxi opakovane generuje rovnaká detekcia s identickými parametrami. Ak na to nemáte vytvorené postupy, neostáva nič iné, len detekciu zakaždým otrocky uzavrieť. V prípade, že sa to opakuje desiatky alebo stovkykrát, záťaž na analytika je enormná a jeho práca je neefektívna.
Náš systém automatizovanej triáže alertov pomocou SOAR playbookov vyhodnocuje známe scenáre vrátane deduplikácie upozornení. Tie, ktoré neprinášajú žiadny ďalší kontext o útoku, sa automaticky uzavrú ako duplicita k už existujúcemu incidentu. Výsledkom je výrazne nižší “alert fatigue“ a viac priestoru na riešenie reálnych hrozieb.
SOAR je zároveň neoceniteľným asistentom aj pri samotnej reakcii na incident. Vďaka integráciám s bezpečnostnými technológiami klientov dokážeme priamo z jedného prostredia vykonávať celú škálu krokov.
Analytik vie priamo v SOAR “vypnúť“ používateľa v Entra ID, zrušiť reláciu u všetkých aktívnych prihlásení, zablokovať konkrétnu IP adresu alebo vykonať akciu v EDR riešení klienta. Nemusí sa pritom prihlasovať do viacerých konzol a systémov. Reakcia na incident je vďaka tomu rýchlejšia a efektívnejšia.
Neustále meranie procesov zlepšuje priemerný čas detekcie aj reakcie
Bez merania a porovnávania je každý proces odsúdený na postupné strácanie efektivity. Kladieme naozaj veľký dôraz na auditovateľnosť celého životného cyklu incidentu. Každé upozornenie prechádza jasne definovanými fázami, od vzniku na endpointe, cez “naliatie” jeho dát do SIEM-u, vytvorenie incidentu v SOAR-e, priradenie analytikovi až po jeho uzavretie.
Každú fázu meriame pomocou viacerých dôležitých metrík:
Time to Own – ako dlho trvá, kým si analytik alert priradí
Time to Work – čas do začiatku investigácie
Time to Investigate – samotné trvanie investigácie
Každý alert má navyše priradenú tzv. “close note“ a “close reason“, kde sa dozviete, čo sa s ním dialo a prečo bol uzavretý. Auditujeme aj eskalácie smerom ku klientovi, kde SOAR automaticky dopĺňa šablóny a relevantné dáta o incidente, alebo interne smerom na L2 vrátane kompletnej komunikácie.
Tieto dáta nám pomáhajú identifikovať priestor na zlepšenie. Výsledkom je rýchlejšia investigácia a výrazné znižovanie priemerných časov na detekciu (Mean Time To Detect) a reakciu (Mean Time To Respond). Pravidelné znižovanie “false alerts” dosahujeme neustálou optimalizáciou detekčných pravidiel. Ak sú close notes presne zadefinované, môžete ľahko identifikovať opakujúce sa vzory a eliminovať ich v detekčných pravidlách.
Komunikácia s klientom ale aj s analytikmi je základ kvality
Kombinácia optimalizácie a automatizácie v SOC má priamy vplyv na to, že si môžeme dovoliť mať zapnutých výrazne viac detekčných pravidiel, než by bolo možné zvládnuť manuálne. Celý SOC je tak škálovateľnejší, no zároveň si zachováva vysokú kvalitu bez toho, aby vytváral neúmerný pracovný tlak na analytikov.
Jedným z kľúčových faktorov je dobre vyladená technológia. Ani najlepšie riešenie ale nevie dosiahnuť svoj plný potenciál bez komunikácie a intenzívnej spolupráce s klientom. Spoločne priebežne vytvárame výnimky a ladíme logiku pravidiel tak, aby čo najlepšie reflektovali reálne prostredie klienta a v konečnom dôsledku mu priniesli lepšiu a efektívnejšiu bezpečnosť.
Na konci, ale v skutočnosti na začiatku, sú tu samotní analytici. Bez ich vstupov by sme nemohli napredovať, a väčšina kvalitných inovácií prichádza práve od nich. Najlepšie totiž vedia a vidia čo funguje a čo sa dá robiť efektívnejšie.
Projekt financovaný cez grantovú zmluvu číslo 101145856 je podporovaný Európskym kompetenčným centrom pre kybernetickú bezpečnosť.
