IBM Security SOAR Platform

Zároveň zajišťují bezpečnostní analýzy logů pořizovaných těmito a dalšími provozními technologiemi. Hlavním cílem implementace SIEMu bývá kromě ulehčení činností IT týmu doplnění, běžné administrační činnosti o komplexní analýzy a interpretace bezpečnostních dat.

Implementace SIEM dohledu však obvykle nestačí. Na tento systém navazuje další řada procesů prevence, zjišťování, kategorizace a remediace bezpečnostních hrozeb a incidentů. Reakční tým potřebuje dokonalý přehled o stavu jak jednotlivých systémů, tak globální pohled na bezpečnost v organizaci. Takový přehled poskytuje právě platforma IBM Security SOAR Platform, dříve známá jako IBM Resilient.

Jednou z našich největších referencí platformy SOAR v je instalace u klienta z oblasti městské správy, který primárně implementoval SIEM technologii využitou ke správě rozsáhlé a distribuované infrastruktury.

Po úvodní detailní konfiguraci bezpečnostního dohledu SIEM/IBM Security QRadar jsme provedli prvotní analýzu bezpečnostních procesů (zejména reakce / zvládání bezpečnostních incidentů) a na základě jejích výsledků připravili nasazení SOAR.

Hlavními očekávanými přínosy řešení byla optimalizace a zvýšení schopností reakčního týmu reagovat rychle a efektivně na stále se zvyšující komplexitu bezpečnostních hrozeb a incidentů.

Čím jsme toho dosáhli?

• Využitím scénářů automatizace tvorby, eskalace a řízení incidentů uvnitř platformy, a to včetně opakovaných úkolů.
• Přirozenou integrací s IBM Security QRadar SIEMem
• Snadnými, dynamicky generovanými návody (playbooks) pro zvládání hrozeb a incidentů – jedná se o step by step návody pro reakční tým, které popisují konkrétní řešení a kontext dané hrozby či incidentu.
• Vhodným nastavením přehledových obrazovek (Dashboards), které v sobě integrují i veřejně dostupné zdroje o globálních bezpečnostních hrozbách. Správná vizualizace je klíčovým faktorem zrychlujícím celý proces zvládání bezpečnostních incidentů.
• Využitím automatického přiřazování úkolů jednotlivým členům týmů – každý člen týmu tak získává správné informace ve správný čas pro danou relevantní událost či incident. Tvoří se tak dynamické reakční týmy pro efektivnější řešení incidentů.
• Automatizací některých reakcí na incidenty– systém vyhodnocuje vhodné mitigační procesy a je schopen na ně sám reagovat (např. zablokování maligní IP adresy apod.)
• Zavedením správných statistických výstupů a metrik, včetně KPI’s a zhodnocení dopadu hrozeb či incidentů na jednotlivá aktiva či celý business klienta.

S klientem pravidelně procházíme konfiguraci a hodnotíme výkon dohledu. Klient má k dispozici náhled v reálném čase na fungování a efektivitu řešení.

Dalším logickým krokem bylo napojení SIEM a SOAR výstupů do 24/7 služby bezpečnostního dohledu NGSS SOC a reakčního teamu CSIRT.

Celé řešení pravidelně testujeme pomocí útoků simulovaných naší službou bezpečnostního testování. V tomto testování pokračujeme každého čtvrt roku, výsledky testů bezpečnosti skvěle doplňují informace o výskytu zranitelností na sledovaných i jiných systémech klienta. Nyní je informace o stavu bezpečnosti sledovaných systémů úplná.

V rámci provozu bezpečnostního dohledu nezapomínáme ani na revize stávajících a na návrhy nových opatření v systému řízení bezpečnosti informací (tedy bezpečnosti procesů a postupů v organizaci) a to zejména  v oblasti analýzy rizik a zvládání bezpečnostních incidentů.

Podobným způsobem uvádíme v život SIEM systémy i u jiných našich klientů. Společným jmenovatelem a cílem je zvýšení bezpečnostního přehledu nad technologiemi a minimalizace vzniku bezpečnostních incidentů a prevence kybernetických útoků.