Datanet » NOUTĂȚI ȘI EVENIMENTE » Știri și noutăți » Webinar Datanet: Gestionarea eficientă a incidentelor de securitate cu ajutorul sistemului Palo Alto SOAR
SOITRON GROUP
Menu
Datanet » NOUTĂȚI ȘI EVENIMENTE » Știri și noutăți » Webinar Datanet: Gestionarea eficientă a incidentelor de securitate cu ajutorul sistemului Palo Alto SOAR
Webinar Datanet: Gestionarea eficientă a incidentelor de securitate cu ajutorul sistemului Palo Alto SOAR

Procesarea alertelor de securitate, identificarea riscurilor reale și remedierea lor consumă tot mai mult din timpul și resursele Centrelor Operaționale de Securitate (Security Operations Center- SOC). Cortex XSOAR – platforma Palo Alto de Security Orchestration, Automation and Response – reduce cu 75% volumul de incidente care trebuie investigate în SOC și crește cu 90% viteza de răspuns la amenințări. Modalitățile practice prin care companiile pot obține aceste rezultate folosind XSOAR au fost detaliate în cadrul webinarului organizat recent de Datanet Systems, partener strategic Palo Alto în România.

  • Depistarea rapidă a incidentelor reale de securitate,
  • Prioritizarea alertelor în funcție de nivelul lor de severitate,
  • Aplicarea automată a măsurilor de remediere,

sunt trei obiective majore pentru orice industrie, greu de atins însă de organizațiile care încă mai procesează manual incidentele și răspund la amenințări folosind soluții de securitate izolate. O propunere concretă de eliminare a acestor limitări utilizând platforma Cortex XSOAR a fost prezentată și demonstrată în cadrul webinarului „Gestionarea eficientă a incidentelor de securitate cu ajutorul sistemului Palo Alto SOAR“, organizat recent de Datanet Systems.

Urmăriţi mai jos înregistrarea completă a webinar-ului Datanet Systems.

 

Avantajele competitive ale Cortex XSOAR

Tudor Cristea, Regional Sales Manager Cortex Eastern Europe Palo Alto Networks, a detaliat avantajele competitive ale platformei XSOAR și modul în care componentele acesteia cresc viteza și eficiența măsurilor de răspuns la amenințări:

  • Orchestrare prin intermediul playbook-urilor – XSOAR permite echipelor din SOC să răspundă la incidente rapid și scalabil, astfel încât activitatea lor să nu fie afectată de volumul de evenimente care trebuie procesate. Motorul de orchestrare al platformei folosește sute de integrări cu produse de securitate terțe și o serie extinsă de playbook-uri – organizări logice ale planurilor de acțiune. XSOAR vine cu sute de playbook-uri predefinite, pentru celor mai întâlnite scenarii de lucru la nivel global. „Avem mii de clienți din toate industriile – atât din sectorul public, cât și din cel privat –, iar experiența acumulată astfel ne-a ajutat să dezvoltăm și extindem continuu numărul de playbook-uri care pot fi folosite out-of-the-box sau pot fi personalizate foarte ușor, fără a fi nevoie de scriere de cod, pentru a răspunde la cerințele specifice“, a explicat reprezentantul Palo Alto.
  • Automatizarea măsurilor de remediere – Cortex XSOAR integrează un motor de automatizare a workflow-urilor, prin care asigură un răspuns rapid și scalabil la incidente. Platforma permite automatizarea scripturilor și integrarea prin intermediul Open APIs a întregii infrastructuri de cybersecurity, inclusiv a componentelor de rețea (routere și switch-uri).
  • Răspuns coordonat la incidente – modulul de Case Management integrat este responsabil de partea de analiză și raportare. Modulul include dashboard-uri personalizabile și unelte de raportare, utile mai ales în contextul noilor reglementări (GDPR, NIS etc.), un motor de comunicare în timp real (care se bazează pe Slack), precum și funcționalitatea „War Room“, un spațiu virtual în care membriii echipelor NOC și SOC pot colabora, coordonându-și acțiunile pentru a fi rapizi și eficienți în răspunsul dat atacurilor. Toate playbook-urile și acțiunile echipelor SOC sunt documentate automat – un avantaj imediat atunci când este necesară emiterea de rapoarte.)
  • Integrarea fluxurilor de Threat Intelligence„O a patra componentă-cheie a platformei, care face ca platforma SOAR de la Palo Alto să devină «Extended SOAR», XSOAR“, este reprezentată de integrarea și controlul complet al tuturor fluxurilor de informații de tip Threat Intelligence utilizate de o organizație. Toate aceste feed-uri sunt unificate, automatizate și gestionate eficient dintr-o singură interfață, aceeași cu a platformei SOAR. Palo Alto a fost prima companie din piață care a introdus în aceeași interfață componenta de Threat Intel Management“, a mai precizat Tudor Cristea. XSOAR integrează propriul flux de Threat Intelligence, AutoFocus, dar pot fi incluse și alte feed-uri de informații, gratuite sau contra-cost.

Ce justifică investiţia în platforma Palo Alto

Cortex XSOAR asigură companiilor o rentabilizare rapidă al investiției prin faptul că adresează procesele repetitive, le definește prin intermediul playbook-urilor și le automatizează. Standardizarea proceselor permite eliminarea muncii manuale, iar cu ajutorul playbook-urilor – predefinite sau personalizate – partea de Incident Response Execution devine modulară și ușor de executat.

Un alt câștig important este asigurat de faptul că platforma permite realizarea de automatizări la nivelul întregii infrastructuri. De exemplu, dacă o a soluție de management al vulnerabilităților identifică o vulnerabilitate, prin intermediul unui playbook din XSOAR poate fi automatizat end-to-end procesul de remediere a acelui risc – plaforma realizează toate procesele, de la deschiderea unui tichet în modulul de Case Management și emiterea automată a unei alerte pe mail, până la executarea masurilor de răspuns predefinte, fără a fi necesară intervenția factorului uman. O astfel de abordare unifică procesele și workflow-urile în SOC și crește nivelul de eficiență și viteza de reacție a echipelor operaționale, eliminând muncă manuală și oprind amenințările înainte că acestea să își atingă scopul.

Totodată, prin numărul mare de integrări posibile – ecosistemul Palo Alto este unul dintre cele mai avansate din industria IT – și posibilitățile variate de automatizare a proceselor de răspuns, prin intermediul playbook-urilor, XSOAR facilitează rentabilizarea investițiilor existente în infrastructura de securitate, precum și îmbunătățirea nivelului de protecție la nivelul întregii organizații.

Rezultate și demonstrații practice

Pentru a ilustra concret câștigurile obținute cu ajutorul platformei Cortex XSOAR, au fost prezentate rezultatele obținute de SOC-ul Palo Alto, operat de 8 specialiști:

  • Din 1,5 trilioane de evenimente analizate pe parcursul a 90 de zile, 1,5 miliarde au fost prevenite în mod automat;
  • Din cele 1,49 de trilioane de evenimente rămase au fost identificate ca legitime și emise alerte pentru doar 6.000 de incidente;
  • Din cele 6.000 de alerte legitime, 5.200 au fost remediate automat, fără a necesita intervenția unui specialist;
  • Cele 800 de evenimente rămase au fost blocate și rezolvate complet, nefiind consemnat niciun eveniment major de securitate.

În completare, Teodor Iacob, Systems Engineer Palo Alto Networks, a prezentat cum poate fi realizată gestionarea efectivă a incidentelor de securitate, insistând asupra valorii adăugate generate de integrarea platformei cu alte soluții de securitate: „În prezent XSOAR beneficiază de peste 600 de integrări, care facilitează interacțiunea cu soluții terțe din infrastructura de securitate existentă. Integrările sunt folosite pentru comunicații bidirectionale – cum este cazul sistemelor de tip SIEM –, pentru a acționa asupra unor sisteme terțeprin playbook-uri și automatizări pentru a răspunde la incidente sau pentru a trimite notificări și rapoarte.“

Specialistul Palo Alto a efectuat o demonstrație practică, exemplificând cum poate fi alocat și personalizat un playbook dedicat pentru depistarea și remedierea unui atac de Phishing, unul dintre cele mai comune tipuri de incidente de securitate.

Demo-ul poate fi vizionat accesând înregistrarea completă a webinar-ului Gestionarea eficientă a incidentelor de securitate cu ajutorul sistemului Palo Alto SOAR“.