Clico 2020

74_SOAR_Gartner_fig02.jpg
Forrás: ITB
SIEM, SOAR

Incidenskezelés a felhőben

A biztonsági rendszereket üzemeltetők legnagyobb kihívása, hogy megbirkózzanak a különböző alrendszerekből származó, nagy mennyiségű információval: a legkülönbözőbb eszközök (szerverek, tűzfalak, switchek, kliens OS-ek, biztonsági eszközök vagy alkalmazások) által küldött normál felhasználói logok, riasztások, audit-információk, rendszerüzenetek. Ebből a tömegből kell kiszűrniük a valóban fontos eseményeket, megkülönböztetni a valós riasztást a téves pozitívtól, összerakni egy felfedezett támadás minden elemét, hogy megtalálják a forrást és felderítsék a lehetséges további érintetteket.

Az egyszerű keresésnél hatékonyabb incidensazonosításra jöttek létre a SIEM- (security incident and event management, biztonsági incidens- és eseménykezelő) rendszerek. Ezek már képesek arra, hogy a különböző forrásokból érkező naplóadatokból valós időben tudnak incidensekre utaló riasztásokat generálni. Ezek történhetnek egyszerű szabályok által megfogalmazott korrelációk segítségével, vagy észreveszik, ha valamilyen eltérés jelentkezik a normál működéstől.

A legutóbbi fejlesztések részeként pedig megjelentek az egyre fejlettebb gépi tanulási, MI-algoritmusok is. A SIEM-rendszerek jelentős előrelépést jelentettek az incidenskezelés még hatékonyabbá tételében, de vannak problémáik. Finomhangolásuk idő- és munkaigényes, nagy felkészültséget és kiterjedt termékismeretet igényel integrátor-üzemeltetői oldalról, de ügyféloldalról is szükséges a nagyon pontos igénydefiníció.

Jelentős a számítási és tárolási kapacitásigény, ami folyamatosan növekszik: bővítést igényel. A bekötött logforrások számának és a támadások fajtáinak növekedésével a korrelációs szabályok is egyre bonyolultabbak lesznek, és karban kell tartani azokat, újakat kell létrehozni, és erre csak részben jelentenek megoldás a különböző előfizetéses és community alapú feed-ek, valamint a már említett MI-technológiák. Ezenkívül a keletkező nagyszámú incidens kezelése is jelentős kihívást jelent a véges számú üzemeltető személyzet részére.


Így logikusan a következő lépcsőt a SOAR- (security orchestration automation and response, automatikus biztonsági eseményfigyelő és válaszadó) rendszerek jelentették, amelyek elsősorban automatizálással nyújtanak segítséget az üzemeltetésben: úgynevezett forgatókönyv (playbook) alapokon lehet folyamatokat létrehozni bennük, ahol a nagy számban előforduló, ismétlődő incidensek automatikus kezelése jelentős terhet vesz le a biztonsági szakemberek válláról, így több idejük marad az egyedi, nagyobb odafigyelést igénylő esetekre.
Ezen folyamatok során különböző gyártók legkülönfélébb biztonsági és egyéb termékei köthetők össze és vezérelhetők a szervezet biztonsági szabályai alapján. Például létrehozható olyan folyamat, hogy ha egy sérülékenység-menedzsmentrendszer sérülékeny hostot talál, akkor a patchmenedzsment-rendszer telepítse a szükséges frissítéseket. Vagy egy malware felfedezése esetén automatikusan érvényesítsen tűzfalszabályt, korlátozva az érintett eszköz hálózati kapcsolatait, illetve hozzon létre a ticketing rendszerben egy taskot az elhárításra.

A Rapid 7 InsightConnect

Ez a SOAR-megoldás már többszáz elérhető pluginnel rendelkezik különböző rendszerekhez. A forgatókönyvek a grafikus felületen kész template-ek testre szabásával összeállíthatók (közel 1800 lehetséges akcióból lehet választani), több Intel thread is felhasználható a folyamatokban (gyanús IPk, HASH-ek, URL-ek listája stb.), amelyek igény szerint vegyíthetők emberi döntési folyamatokkal is ( Slack vagy akár MS Teams környezettel is integrálhatók), így bonyolult programozási munka nélkül is összetett folyamatok hozhatók létre. A nyílt API felület segítségével egyedi rendszerek is beköthetők, ezt a feladatot SDK, nyílt forráskódú példák, fejlett comunity támogatja, de elérhető egy marketplace is, ahol más felhasználók által megosztott fejlesztéseket lehet újrahasznosíteni, illetve természetesen PS szolgáltatást is támogatja.

Rapid 7 Insight felhőplatform

De ezeknek a rendszereknek a telepítése, beállítása és folyamatos üzemeltetése is jelentős erőforrásokat igényel, ami kisebb szervezeteknél nehezen kivitelezhető. Az Insight platform egyrészt számos szolgáltatást nyújt integrált módon, ezek egymás működését segítik, kiegészítik. Ezek közül az InsightIDR (SIEM) szolgáltatást és az InsightConnect (SOAR) rendszert emelnénk ki. De a platform többek között sérülékenység-menedzsmentrendszert (InsightVM), valamint webalkalmazás biztonsági megoldást is tartalmaz (InsightAppSec).

A Rapid7 által (EU-s adatközpontban) hostolt SaaS-szolgáltatás nem igényel jelentős kezdeti infrastruktúra-beruházást, a számítási kapacitás adott, az adatok tárolása a felhőben történik és ezen erőforrások az igények fejlődésével növekedhetnek, mert ennek biztosítása nem a felhasználó feladata. Így mindig csak az aktuális használat utáni szolgáltatási költség terheli a felhasználót (ez a „pay as you grow” modell).


Az Insight platformon futó szolgáltatások dinamikusan frissülnek, ezért nincs szükség bonyolult helyi update folyamatok megszervezésére. A felhős InsightIDR SIEM-szolgáltatás bevezetése is sokkal egyszerűbb, mint egy hagyományos SIEM-rendszer megvalósítása az előre megírt log-konnektorok és a korrelációs motor révén, ezeket a vendor folyamatosan fejleszti.

Nem szabad megfeledkeznünk az InsightIDR-be integrált, fejlett UEBA (felhasználói viselkedésvizsgálat) képességről sem, amely a felhasználói szokásokban képes gyanús folyamatokat észrevenni és figyelmeztetni. Említésre méltó továbbá, hogy az InsightIDR rendelkezik néhány előre definiált playbookkal is, így rögtön kipróbálhatók az előnyei.

Ezeket a képességeket immár a Gartner is a SIEM Magic Quadrantban Leader kategóriával ismerte el az idén.