Palo Alto SOAR, patru scenarii de lucru uzuale

Companiile fac tot mai greu față creșterii exponențiale a volumului de alerte de securitate care trebuie investigate. Procesarea manuală consumă timp şi ocupă o bună parte din activitatea departamentelor de profil. Palo Alto SOAR (Security Orchestration, Automation, and Response) elimină acest neajuns prin corelarea indicatorilor de compromitere cu informații cotextuale si automatizarea masurilor de remediere. Datanet Systems este partener autorizat Palo Alto şi oferă toate serviciile necesare implementării unui sistem SOAR.

Peste 90% din echipele de securitate își concentrează în prezent eforturile pe îmbunătățirea capacităților de răspuns la incidente prin dezvoltarea capacităților de orchestrare și automatizare. (1) Motivele sunt evidente: creșterea cu 125% a volumului de atacuri (2) generează o explozie a numărului de alerte ce trebuie procesate de Centrele de Operațiuni de Securitate (Security Operations Center, SOC). Gestionarea manuală a unui asemenea volum – care a ajuns să depășească 11.000 de alerte pe zi pentru unele companii mari (3) – este dificilă din cauza resurselor umane limitate și a soluțiilor de securitate neintegrate, accesarea surselor izolate de informații complicând și mai mult lucrurile.

SOAR, un acronim polivalent

Sistemele SOAR – Security Orchestration, Automation, and Response – pot fi în acest context răspunsul de care au nevoie echipele SOC. Soluțiile de acest tip sunt special concepute pentru a furniza rapid răspunsuri eficiente la evenimentele de securitate prin:

  • Orchestrare – SOAR face legătura între funcționalitățile de securitate ale mai multor sisteme de securitate, agregă și corelează informațiile furnizate de acestea, livrând echipelor SOC notificări, analize detaliate, alerte și informații acționabile.
  • Automatizare – SOAR elimina activitățile repetitive și operațiunile manuale, gestionând în mod automat anumite aspecte ale incidentelor de securitate și numeroase operațiuni uzuale ale echipei de specialiști de securitate IT din cadrul companiei. Prin scenariile de răspuns predefinite, sistemul SOAR aplică secvențe de acțiuni (Playbooks) specifice anumitor categorii de riscuri, crescând eficiența și viteza de aplicare a măsurilor de remediere.
  • Raportare și vizualizare – folosind sistemele SOAR, SOC beneficiază de un mod intuitiv și eficient de a identifica, corela, tria și documenta modul în care se desfășoară incidentele de securitate, precum și etapele proceselor de răspuns și rezultatele acestora.

Palo Alto SOAR, recomandarea Datanet

Cortex XSOAR, sistemul livrat de Palo Alto și recomandat de specialiștii Datanet, se remarcă prin faptul că este prima platforma SOAR din industrie care unifică gestiunea incidentelor de securitate, automatizarea măsurilor de răspuns și managementul surselor de informații despre amenințări.

Este un diferențiator important, pentru că în majoritatea cazurilor echipele SOC se bazează doar pe surse de informații izolate pentru a beneficia de vizibilitate asupra amenințărilor și pentru a depista potențialele riscuri. Platformele SOAR clasice agregă mai multe surse de date, însă fără a livra informațiile contextuale și automatizarile necesare pentru a acționa rapid.

Pentru a depăși aceste limitări, Cortex XSOAR integrează nativ o tehnologie proprie de Threat Intelligence Management care unifică agregarea informațiilor despre amenințări cu sistemele de scoring – pentru evaluarea și ierarhizarea nivelului de criticitate al incidentelor – și metodele de automatizare a masurilor de răspuns și remediere prin aplicarea automată a unor suite de acțiuni predefinite (playbooks). Astfel, sistemul SOAR de la Palo Alto depistează rapid amenințările critice adăugând informații contextuale despre incidentele interne la datele privind amenințările agregate din surse externe. La rândul ei automatizarea realizată prin folosirea de playbooks crește viteza și eficiența proceselor de corelare, verficare, deduplicare, analiză și management a milioane de indicatori de compromitere (IOCs) colectați.

 

Scenarii de lucru uzuale cu Cortex XSOAR

Palo Alto SOAR facilitează depistarea incidentelor de securitate, prioritizarea alertelor și aplicarea automată a măsurilor adecvate. Iată câteva dintre cele mai utilizate aplicații:

  • Atacuri de phishing – Cortex XSOAR identifică e-mail-urile cu potențial de risc și lansează un playbook prin care automatizează executarea sarcinilor repetitive, precum trierea și izolarea utilizatorilor finali afectați, extragerea și verificarea indicatorilor de compromitere, identificarea alertelor fals-pozitive.
  • Infecții malware la nivel de utilizator final – sistemul SOAR extrage datele de pe terminale și le îmbogățește cu informații din surse externe, le analizează prin referențierea încrucișată a fișierelor/hash-urilor, trimite notificări către echipa SOC, lansează automat playbook-ul pentru măsurile prestabilite, precum blocare acces, carantinare, restaurare.
  • Tentative eșuate de conectare – după un număr predefinit de încercări eșuate de conectare, Cortex XSOAR lansează automat un playbook pentru a evalua dacă tentivele de autentificare sunt legitime sau nu, chestionează utilizatorii, analizează răspunsurile acestora și verifică integritatea parolelor, apoi permite sau blochează accesul.
  • Gestionarea vulnerabilităților – sistemul SOAR colectează automat informații despre vulnerabilități pe care le îmbogățește prin accesarea de surse externe de tip baze CVE (Common Vulnerabilities and Exposures) și agregarea de informații contextuale, calculează nivelul de criticitate al vulnerabilităților pe care le semnalează ulterior către echipa SOC pentru investigare și remediere.

Plusvaloare prin colaborarea cu Datanet

Utilizând scenarii de lucru precum cele de mai sus, companiile pot obține creșterea cu până la 90% a vitezei în luarea măsurilor de remediere și reducerea cu 75% a numărului de incidente investigate. Scenariile prezentate reprezintă însă doar o mică parte din cele puse la dispoziție de Cortex XSOAR. Sistemul SOAR de la Palo Alto vine cu peste 680 de playbook-uri automate, pe care companiile locale le pot utilliza adapta la cerințele proprii apelând la serviciile Datanet.

Specialiști noștri pot asigura integrarea Cortex XSOAR cu mai mult de 700 de aplicații și produse de la alți producători hardware și software. Serviciile livrate de Datanet permit atât personalizarea playbook-urilor, cât și a tablourilor de bord și a rapoartelor, pentru simplificarea proceselor de investigare, creșterea vizibilității și îmbunătățirea suportului furnizat echipelor SOC în luarea deciziilor.

Dacă doriți să aflați mai multe informații tehnice și comerciale despre Cortex XSOAR precum și despre serviciile livrate de Datanet Systems, contactați-ne la adresa sales@datanets.ro .

______________________

1 – The State of SOAR Report 

2 – Triple digit increase in cyberattacks: What next? 

3 – „How SOAR Is Transforming Threat Intelligence