Problematika automatizace procesů v SOC (Security Operations Centre) vypadá jednoduše, je za tím spousta práce, testování a implementace inovativních technologií a ladění různých bezpečnostních scénářů. S přibývajícím množstvím různých bezpečnostních hrozeb a událostí vně i uvnitř organizací, se zvyšuje množství vygenerovaných a zpracovávaných ticketů z bezpečnostního monitoringu na všech úrovních IT zákazníka (koncové stanice, síťová infrastruktura a aplikační vrstva). Zrychlení vyhodnocování a automatizace na SOC tak přispívá k rychlejšímu odhalení závažných bezpečnostních hrozeb a ke zvýšení efektivity práce odborných pracovníků na bezpečnostním dohledu.
AXENTA dlouhodobě a systematicky pracuje na projektu automatizace procesů v SOC . Aplikuje automatizační nástroje a procesy jak na svém CyberSOC (Bezpečnostní dohledové centrum), kde poskytuje své služby zákazníkům, tak umí navrhnout řešení dodávky a implementace SOC pro zákazníky případně pomoci s automatizací v již provozovaném SOC dané organizace.
Zkušenosti v této oblasti a výsledky aplikace těchto inovativních technologií a postupů byli hlavním tématem rozhovoru s odborníky ze společnosti AXENTA, konkrétně s Lukášem Novákem vedoucím analytikem a Petrem Vychodilem manažerem Security Operations Center (SOC). Zajímali nás jejich zkušenosti v této oblasti a výsledky aplikace těchto inovativních technologií a postupů.
Automatizace v kontextu Security Operations Center (SOC) zahrnuje využití technologií pro automatizaci rutinních a opakujících se úloh, jako je detekce hrozeb, reakce na incidenty nebo reporting. Je klíčová z důvodu zvýšení efektivity, snížení chybovosti způsobené lidským faktorem a zrychlení reakcí na hrozby, což umožňuje SOC týmům zaměřit se na komplexnější a strategičtější úkoly.
Automatizovat lze například detekci hrozeb, třídění, prioritizaci a konsolidaci alertů, incident response (např. izolace infikovaných zařízení), reporting a správu logů. Přínosy zahrnují rychlejší zpracování dat, zlepšení přesnosti detekce, snížení pracovní zátěže pro analytiky a zkrácení doby reakce na incidenty. Současně umožňuje zachovat nebo lépe rozšiřovat množinu dohledovaných dat / systémů. Další oblastí, kde lze významně pocítit automatizaci, jsou každodenní úkoly, jako například urgence na odpovědi v rámci tiketovacího nástroje nebo podobné.
Nejčastější výzvy zahrnují integraci různých nástrojů, přizpůsobení automatizačních procesů specifickým potřebám organizace, být odolní vůči false positive detekcím (falešné detekce). . S tím se pojí, nedostatek odborníků na správu automatizačních nástrojů. Velká výzva je zároveň udržování nástroje ve stavu, kdy odráží a reaguje na aktuální stav prostředí. Nekončící proces je tedy hledání rovnováhy mezi mírou automatizace (jejího rozsahu a pokrytí) a zároveň efektivní údržby (jinak řečeno náklady na její údržbu a rozvoj).
Mezi nejnovější trendy patří využívání umělé inteligence a strojového učení pro pokročilou analýzu hrozeb, dále potom automatizace základní analýzy, zpracování událostí s následným incident response prostřednictvím SOAR (Security Orchestration, Automation, and Response) platforem. SOAR platformy jsou potom integrované s nástroji jako je SIEM (Security Information and Event Management) a XDR (kombinací eXtended Detection and Response nástrojů), případně s dalšími systémy obohacujícími a zjednodušujícími práci pracovníků bezpečnostního dohledu, jako jsou tiketing, asset management nástroje, threat intelligence.
Nejčastěji využívané technologie zahrnují SIEM systémy (Splunk, IBM QRadar), SOAR platformy (Palo Alto Cortex XSOAR, IBM Resilient), nástroje pro automatizaci workflow (Ansible, Puppet), a systémy pro automatickou detekci hrozeb pomocí AI, jako jsou Darktrace nebo Vectra AI.
Role bezpečnostního analytika se posouvá od rutinních úkolů směrem k činnostem s vyšší přidanou hodnotou, jako je tvorba strategií, komplexní analýza a vylepšování automatizačních procesů. Analytici se více zaměřují na interpretaci výstupů z automatizovaných systémů a rozhodování na základě pokročilých analýz nebo součinnost s dalšími pracovníky CSIRT nebo IR týmů.
Ekonomické dopady zahrnují snížení provozních nákladů díky menšímu počtu potřebných lidských zdrojů, snížení doby reakce na incidenty a efektivnější využití stávajících bezpečnostních technologií. Automatická reakce na incidenty také pomáhá minimalizovat finanční ztráty zákazníka spojené s kybernetickými útoky. Zároveň vznikají náklady na implementaci a údržbu nástrojů zajišťujících automatizaci. Jak bylo zmíněno výše, opravdu je třeba citlivě udržovat tento poměr.
Investice do automatizace SOC se vrací prostřednictvím zlepšení efektivity a rychlosti bezpečnostních operací, zvýšení detekčních schopností a snížení nákladů na reakci na incidenty. Rychlejší a přesnější reakce na hrozby také zlepšují celkovou bezpečnostní pozici organizace, což může vést ke snížení pojištění kybernetických rizik.
Dlouhodobé náklady zahrnují správu a údržbu automatizačních nástrojů, školení zaměstnanců, náklady licenční a zajištění kompatibility s ostatními bezpečnostními technologiemi. Přestože počáteční investice mohou být vysoké, dlouhodobé úspory zefektivněním procesů tyto náklady často převáží.
Nejúčinnějšími metodami jsou strojové učení, behaviorální analýza a korelace dat v reálném čase. Tyto technologie dokážou identifikovat odchylky od normálního chování a neobvyklé vzorce, což umožňuje detekci nových a dosud neznámých hrozeb, které by jinými nástroji byly velmi obtížně detekovatelné.
Umělá inteligence (dále jen AI) může analyzovat obrovské objemy dat z různých zdrojů, učit se z historických incidentů a poskytovat doporučení v reálném čase. AI také pomáhá s prediktivní analýzou, která identifikuje potenciální hrozby dříve, než se plně projeví.
Úspěšně lze automatizovat kroky jako je izolace napadených systémů, blokování IP adres, odstranění malwaru nebo obnovení souborů ze záloh. Automatizace také zrychluje notifikaci relevantních týmů.
Výhody zahrnují rychlost reakce a minimalizaci lidských chyb. Nevýhody mohou zahrnovat nedostatečnou flexibilitu při řešení složitějších incidentů, riziko provedení response kroků při false positive detekci a potřeba pravidelné údržby automatizačních skriptů a nástrojů.
Automaticky lze generovat reporty o stavu bezpečnosti, přehledy incidentů, metriky efektivity SOC a compliance reportů. Tyto reporty mohou být přizpůsobeny pro potřeby různých úrovní managementu. Možnosti automatizace jsou velmi široké a to zejména při využití AI.
Automatizovaný reporting poskytuje managementu aktuální informace v čase, snižuje administrativní zátěž bezpečnostního dohledu a umožňuje rychlejší rozhodování na základě generovaných dat. Umožňuje také snadnou sledovatelnost klíčových metrik SOC a jeho zákazníků.