A "jó" és a "rossz" oldal egyaránt használja már a mesterséges intelligencia lehetőségeit. Ahhoz, hogy a védekezésben fel lehessen venni a kesztyűt, szükség van magas szintű automatizációra, melynek kézenfekvő eszköze a SOAR (Security Orchestration and Automated Response). Varázsütésre azonban nem működik, meg kell teremteni a helyes implementáció belső feltételeit.

Ismerni kell a pillanatnyi helyzetet

Mindjárt a legelején tisztáznunk kell valamit: habár az automatizáció nagy terheket képes levenni a szervezet IT-biztonsági csapata válláról, annak létét nem fenyegeti. Elsősorban az egyszerűbb, könnyen automatizálható incidensek önműködő elhárítására és az összetettebb fenyegetések gyors észlelésére használható, illetve hasznos támaszt ad ezek kivédéséhez.

A humán erőforrás tehát továbbra is nélkülözhetetlen marad, ráadásul ahhoz, hogy sikeres lehessen az implementáció, birtokolni kell a megfelelő tudást és képességeket. Például biztonsági eszközök integrálása és playbookok készítése közben előfordulhat, hogy bizonyos SOAR-megoldásokhoz programozási nyelvek – Python, Ruby, Perl – készségszintű ismerete szükséges. Ezek hiányában előfordulhat, hogy a szervezet nem tudja kibontakoztatni teljes mértékben az automatizáció nyújtotta lehetőségeket.

Csak úgy, "bele a vakvilágba" nem lehet SOAR-t sikeresen bevezetni – azt is tudni kell, hogy mik azok a biztonsági célok, amiket el akar érni a szervezet. Emellett ismerni kell a vállalat IT-biztonsági érettségét, annak szintje ugyanis alapvetően befolyásolja az implementációs lépéseket. Ugyancsak elengedhetetlen a vezetői támogatás a sikerhez.

Hogyan kerülhetők el a tipikus hibák?

Érdemes megismerni a SOAR-implementáció buktatóit, és azt is, hogyan lehet elkerülni ezeket az akadályokat. Mint említettük, a megfelelő szakértelem hiánya gondot okozhat; ebben az esetben kész, kvázi azonnal működő (out of the box) megoldásokban lehet gondolkodni. Emellett segíthet, ha a szervezet belső készségeihez igazodó terméket vagy szolgáltatást választ az IT-biztonságán javítani akaró szervezet.

A harmadik utat a SOAR szolgáltatásként való használata jelenti, melynek során meg kell határozni, hogy milyen feladatokat vesz át a szolgáltató és mit kell a szervezetnek elvégeznie. Munkamegosztás zajlik: a hálózatát, adatait magasabb szinten védeni vágyó vállalatnak tisztában kell lennie a saját céljaival. A hatékony védelemhez szükséges playbookok létrehozásának bementét a szervezetnek kell biztosítania, de a szükséges adatok előállítását egyfajta interjú keretei között a SOAR-szolgáltató elősegíti. "A sebezhető pontok felmérése, a leginkább védendő adatok meghatározása, a kritikus eseteket lefedő, legjobb gyakorlatokat tartalmazó folyamatok alkalmazása – ezeken a területeken szintén támogatjuk leendő ügyfeleinket" – nyilatkozta lapunknak Vaspöri Ferenc, az Invitech IT biztonsági szolgáltatások vezetője, hangsúlyozva a két fél közötti közös munka fontosságát.

Belátható a fentiek ismeretében, hogy – akár szolgáltató segítségével, akár belső erőforrással dolgozva – ugyancsak fontos a biztonsági incidensekre adandó válaszok, eljárások lefektetése. Ennek hiányában fejtörést fog okozni annak eldöntése, hogy mit is kellene az elsők között automatizálni. Éppen ezért meg kell győződni a SOAR-implementáció előtt, hogy a szervezet rendelkezik a szabványos működési eljárásokat (standard operating procedures, SOP) leíró dokumentumokkal.

Talán az egyik legnagyobb hiba, amit el lehet követni, a rosszul összeállított vagy túlzó elvárások. Ugyan a SOAR az IT-biztonsági automatizációt hivatott megvalósítani, mindent mégsem érdemes ennek alávetni. Nincs olyan szervezet, ahol ne akadna néhány, manuális módon gyorsabban, könnyebben megoldható feladat, vagyis – egy közhellyel élve – nem érdemes túltolni a biciklit. Ráadásul a kritikus, emberi gondolkodás nem vonható ki az egyenletből; éppen ezért minden implementációnak az adott szervezet SOC-igényeihez illeszkedő, gépi és emberi elemzői képességek optimális elegyét kell(ene) elérnie. Ennek megtalálása nem triviális feladat; olyan megoldást érdemes választani, ami egy munkafolyamatban zökkenők nélkül képes vegyíteni mindkét típusú feladatot.

Neverending story

Nyugodtan kijelenthető, hogy lehetetlen mindent elsőre tökéletesen beállítani. Azt is fejben kell tartani, hogy az online fenyegetések megállás nélkül fejlődnek, vagyis a korábban létrehozott automatizmusokat időről időre felül kell vizsgálni. A már használatba vett SOAR folyamatos megfigyelést, tesztelést igényel, az automatizmusokat pedig a visszajelzések tükrében kell naprakészen tartani. Ebben a rendszer komolyan segíti a szervezeteket: lehetővé teszi, hogy teszteket végezzenek és riasztási szimulációkat futtassanak.

Nem csak azt kell tehát tudni a bevezetés során, hogy hol tart IT-biztonsági érettség szempontjából a vállalat – egyfolytában képben kell lenni az aktuális helyzettel. A SOAR implementálása egy véget nem érő feladatot indít el, amely egyúttal garantálja, hogy a védendő rendszerek a korábbinál magasabb színvonalú biztonságban részesülnek.

Ez a cikk független szerkesztőségi tartalom, mely az Invitech támogatásával készült. Részletek »