System SOAR – do czego jest potrzebny? | Biznes Netia
Menu główne

SOAR – do czego jest potrzebny? Czym się różni od SIEM?

22 maja 2023, Autor: Tomasz Łużak, Product Manager, Cybersecurity - Netia S.A.
SOAR to obecnie jedno z najważniejszych narzędzi, które wspiera procesy bezpieczeństwa. Usprawnia i automatyzuje powtarzalne zadania wykonywane dotąd przez sztab specjalistów oraz pozwala skrócić czas reakcji na incydenty. Nie jest w stanie jednak zastąpić wiedzy i doświadczenia analityków IT.
 
 
 
   

Co właściwie oznacza SOAR?

 

SOAR (ang.: Security Orchestration, Automation and Response) to platforma bezpieczeństwa agregująca informacje zebrane z innych systemów i automatyzująca pracę zespołów IT. Termin został stworzony przez firmę Gartner w 2015 roku, a obecny kształt tej technologii znamy od 2017 roku. Dzięki AI oraz uczeniu maszynowemu SOAR pozwala szybciej reagować na incydenty i unikać podatności, wykonując powtarzalne czynności, jak analiza logów czy skanowanie podatności i przez to oszczędzać czas specjalistów. Jest to jednocześnie łatwe do skalowania narzędzie, w razie zwiększonego nakładu pracy czy rozrastającej się sieci firmowej.

 

Trzy kluczowe zadania SOAR to:

 
  • orkiestracja systemów bezpieczeństwa, czyli automatyzacja wielu powiązanych ze sobą zadań związanych z bezpieczeństwem,

  • automatyzacja procesów bezpieczeństwa,

  • reagowanie na incydenty i alerty z innych systemów.


Dużą zaletą platform SOAR jest dostarczanie gotowych wyników z monitoringu bezpieczeństwa w przejrzystym interfejsie. Prezentowany jest bardzo szeroki kontekst danych, który ułatwia analitykom w czasie rzeczywistym podejmować kluczowe decyzje lub śledzić trendy w obrębie sieci. SOAR nie jest jednak narzędziem w pełni zastępującym wykwalifikowany zespół. Automatyzacja ma za zadanie jedynie wspierać kompetentnych analityków.

 

Jak działa system SOAR? Czym różni się od SIEM?

 

Zarówno SIEM, jak i SOAR są platformami do centralnego zarządzania systemami bezpieczeństwa. Odgrywają jednak różne role w infrastrukturze i doskonale uzupełniają się wzajemnie, dając zespołom Security Operations Center pełen wgląd w sieć przy jednoczesnej automatyzacji procesów.

 
  1. Systemy SIEM pozwalają na dokładne monitorowanie stanu urządzeń i aplikacji w obrębie sieci w stanie rzeczywistym. Analizując ruch, wykrywają anomalie, a następnie informują specjalistów o potencjalnym niebezpieczeństwie za pomocą alertów bezpieczeństwa, które następnie są przez nich weryfikowane osobiście.

    Systemy SIEM mają jednak tendencję do generowania wielu alertów (wynika to z ich kluczowej cechy, czyli możliwości analizowania dużej ilości danych w czasie rzeczywistym), w tym wielu fałszywych. Biorąc pod uwagę, że oprócz systemów SIEM w firmowych systemach wykorzystuje się także inne technologie dostarczające informacje o stanie sieci (w tym systemy IPS, WAF czy DLP), analizowanie wszystkich sygnałów mogłoby być czasochłonne, a ponadto usypiające czujność kadry IT. Wynika z tego naturalna potrzeba automatyzacji i zwiększenia wydajności pracy zespołów IT.

  2. SOAR, oprócz samej informacji o ataku lub podatności, pozwala na automatyzację procesów bezpieczeństwa i reagowanie na incydenty według ustalonych wcześniej procedur. Systemy bezpieczeństwa, zagregowane w ramach platformy SOAR, wykrywają przykładowy atak na sieć firmową, a SOAR przeprowadza analizę zdarzenia, zbierając dodatkowe dane (np. źródłowe adresy IP), ustalając wzorzec ataku i kończąc na ocenie zagrożenia. W rażących przypadkach platforma może zablokować potencjalnie niebezpieczne adresy IP, pakiety danych lub zmienić reguły innych zabezpieczeń. Powiadomi też zespół IT o zaistniałym incydencie i wygeneruje raport.


Koegzystencja obu systemów daje świetne rezultaty w obszarze bezpieczeństwa. SIEM zajmuje się przetwarzaniem danych i generowanie alertów, które następnie są przetwarzane przez SOAR. Platforma, wykorzystując uczenie maszynowe i pracę analityków, może w pewnym stopniu automatycznie reagować na incydenty.

 

Jak SOAR wspiera procesy SOC?

 

Platformy SOAR wspierają zespoły Security Operations Center w ich najważniejszych zadaniach, czyli monitorowaniu sieci, szukaniu zagrożeń i reagowaniu na incydenty. Dzięki zastosowaniu orkiestracji i automatyzacji procesów, przy pomocy SOAR spada średni czas wykrycia i odpowiedzi, a dzięki bardzo szerokiemu kontekstowi danych przedstawionych w centralnym interfejsie analitycy zyskują dokładny wgląd w stan sieci i zabezpieczeń.

 

W praktyce SOAR dostarcza i przetwarza ilość danych niemożliwą do przeanalizowania przez nawet duży zespół specjalistów, zajmując się automatycznie mniej wymagającymi zajęciami. Dzięki temu kadra IT może skupić się na trudnych zadaniach z największym priorytetem dla bezpieczeństwa firmy oraz rozwiązywaniu wielu problemów jednocześnie.

 

Netia SOC to jeden z nielicznych zespołów w Polsce, który do zabezpieczenia interesów swoich klientów wykorzystuje platformę SOAR, agregującą wydajne systemy SIEM oraz inne rodzaje zabezpieczeń dostosowane do potrzeb klienta. Decydując się na współpracę, zyskujesz pełne, całodobowe wsparcie wykwalifikowanych i doświadczonych specjalistów, wspomaganych przez narzędzia od wiodących producentów, a także gwarancję w ramach umowy SLA.

 

Formularz kontaktowy

Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą

Formularz kontaktowy

Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą

Inne formy kontaktu

  • alt1

    Infolinia dla nowych klientów
    (Codziennie 8:00 - 18:00)
    +48 22 35 81 550

  • alt2

    Obsługa klienta i wsparcie techniczne
    (Dostępne 24/7)
    801 801 999
    biznes@netia.pl

  • alt3

    Adres korespondencyjny Netia S.A.
    skr. pocztowa nr 597
    40-950 Katowice S105

Polecane treści:

Wybierz swój język ×