Ostatnio coraz częściej pojawiają się postępowania przetargowe na systemy SOAR oraz coraz więcej firm integracyjnych oferuje te rozwiązania, czy warto rozważyć zakup systemu SOAR dla naszej organizacji?
Żeby odpowiedzieć na to pytanie należy przede wszystkim zdefiniować ich rolę w organizacji.
Z definicji, systemy te zapewniają możliwość automatyzacji oraz orkiestracji reakcji na zdarzenia bezpieczeństwa, zidentyfikowane poprzez posiadany przez organizację system zabezpieczeń. Najczęściej są to zdarzenia które są efektem reguł korelacyjnych systemów SIEM, wyzwalające szereg działań związanych z ich analizą, klasyfikacją oraz podjęciem niezbędnych działań naprawczych. Niewątpliwą korzyścią jest przeniesienie procedur obsługi z formy papierowej na wymuszoną formę elektroniczną, co zdecydowanie upraszcza i przyspiesza sposób obsługi. Daje też możliwość wykorzystania operatorów o mniejszych kompetencjach technicznych, zyskujących wsparcie w obsłudze zdarzeń poprzez predefiniowane scenariusze obsługi tzw. playbooki. Duża zaletą jest wykonywanie automatycznych czynności bazujących na integracji z innymi systemami w organizacji oraz rozwiązaniami chmurowymi typu Threat Intelligence. Systemy SOAR mogą również pełnić funkcję nadzorczą nad procesem obsługi zdarzeń bezpieczeństwa, wymuszając ciągłość procesu obsługi, właściwą komunikację, eskalację opóźnień oraz automatycznie gromadzić dane raportowe zapewniające zgodność z regulacjami. Patrząc jedynie przez pryzmat korzyści, dochodzimy do wniosku że są absolutną koniecznością, ale rzeczywistość niestety bywa inna.
Nie każdy system SOAR będzie się nadawał do naszej organizacji dostarczony „z pudełka”, często zawarte w nich playbooki są pisane pod specyfikację zespołów obsługi rynków na których powstały, a ich zastosowanie w polskich realiach wymaga czasochłonnego dostosowania, polegającego wręcz na przepisaniu dostępnych w rozwiązaniu scenariuszy. Kolejnym problemem może się okazać interpretacja wyników, gdzie operatorzy po prostu mogą nie rozumieć wyników im zwracanych, co w konsekwencji doprowadza do sytuacji że nie będą ich używać i okażą się nieudaną inwestycją.
W ramach usług doradczych pomagamy naszym klientom w wyborze rozwiązań dostosowanych do ich potrzeb i budżetu, które ze względu na ich zdolności operacyjne są odpowiedzią na ich rzeczywiste potrzeby.
Data artykułu: 11 październik 2019
Autor: Zespół COLTUM
