Управление инцидентами
Почему управление безопасностью, автоматизация и реагирование (SOAR) являются основополагающими для платформы безопасности - ICORE

Почему управление безопасностью, автоматизация и реагирование (SOAR) являются основополагающими для платформы безопасности

Сегодня службы безопасности сталкиваются с возросшими проблемами из-за увеличения числа удаленных и гибридных сотрудников в связи с привычками и процессами, оставшимся после COVID-19. Командам, которые и без того сталкивались со слишком большим количеством инструментов и данных, становится еще труднее сотрудничать и взаимодействовать, поскольку сотрудники перешли на модель виртуального Оперативного центра информационной безопасности (ОЦИБ), одновременно сталкиваясь с растущим числом угроз.

Разобщенные команды повышают потребность в открытом и взаимосвязанном платформенном подходе к обеспечению безопасности. Применение такого подхода позволяет максимально увеличить инвестиции за счет объединения новых и существующих средств обеспечения безопасности, повысить производительность аналитиков ОЦИБ за счет переноса рабочего процесса в одно место и обеспечить гибкость организаций по мере изменения их программ в области ИТ и безопасности. Наше видение открытой и интегрированной платформы безопасности нового поколения основано на трех ключевых принципах:

  1. Открытая архитектура: Учитывая растущее число различных инструментов и облачных платформ, которые организации используют сегодня, платформа безопасности нового поколения должна быть достаточно открытой, чтобы можно было легко работать с различными инструментами от разных поставщиков. Объединение существующих инструментов или перенос данных часто являются слишком дорогостоящими и сложными мероприятиями, но внедрение платформы, основанной на технологии с открытым исходным кодом и поддерживаемой органом по открытым стандартам, позволяет командам максимально увеличить существующие инвестиции за счет объединения всех инструментов стандартизированным образом.
  2. Централизованный центр: аналитики ОЦИБ могут повысить свою производительность, используя единую систему учета для управления рабочими процессами. Централизованный ОЦИБ на базе открытой архитектуры позволяет объединить людей, процессы и технологии. Это позволяет аналитикам отказаться от использования отдельных инструментов и оптимизировать свою работу в одном месте, сохраняя при этом ценные данные из существующих инструментов и уменьшая необходимость в обучении всего персонала по всем используемым инструментам. Цель состоит в том, чтобы автоматически предоставить нужную информацию нужному человеку в нужное время для принятия эффективных и решительных решений.
  3. Гибкость развертывания. Большинство организаций используют несколько облаков и локальных решений для управления своей безопасностью и ИТ-средами. И каждая из них, как правило, находится на своем собственном уникальном пути к облаку. Платформа безопасности нового поколения, которую можно развернуть в любом месте, дает предприятиям возможность гибко выбирать то, что лучше всего использовать сейчас и в будущем, избегая привязки к определенной модели развертывания.

SOAR лежит в основе платформы безопасности нового поколения

Решения для управления безопасностью, автоматизации и реагирования (SOAR) основаны на четырех столпах, определенных Gartner: документооборот и совместная работа, управление заявками и обращениями, согласование и автоматизация, а также управление аналитическими данными об угрозах. Объединение этих возможностей повышает производительность ОЦИБ и время реагирования на инциденты ИБ за счет объединения усилий сотрудников, процессов и технологий. Таким образом, эти модули также обеспечивают идеальную основу для создания надежного стека безопасности. Действительно, возможности SOAR, основанные на открытой архитектуре и гибком гибридном облачном развертывании, являются идеальным подходом для платформы безопасности, которая соответствует этому видению.

Использование SOAR в качестве основы платформы безопасности помогает командам расширять и максимизировать ценность экосистемы и любого процесса обеспечения безопасности, работая централизованно и скоординировано. Включение возможностей SOAR в платформу безопасности нового поколения обеспечивает основу, которая обеспечит ряд преимуществ.

Улучшение коммуникации внутри службы безопасности и за ее пределами

Любой ОЦИБ, особенно виртуальный, требует слаженной совместной работы для управления ответами и организации задач — это ключевая возможность платформы SOAR. Вместо того, чтобы начинать с нуля, команды могут работать разумно, следуя рабочим процессам, встроенным в сценарии реагирования (dynamic playbooks). Кроме того, службы безопасности могут использовать механизм документооборота и совместной работы SOAR для взаимодействия с ключевыми игроками в различных областях, таких как ИТ, юриспруденция, отдел кадров или PR, что способствует скоординированному и эффективному реагированию.

Повышенная эффективность благодаря централизованному управлению обращениями

Аналитики ОЦИБ повышают эффективность благодаря возможностям управления обращениями, которыми можно управлять из централизованного центра решения SOAR, устраняя необходимость переключения между несколькими инструментами и информационными панелями. Когда управление обращениями выходит за рамки решения SOLAR и превращается в более широкую платформу безопасности, это предоставляет аналитикам общий формат для использования во всех подключенных возможностях. Мощная функция управления обращениями также будет включать в себя панель мониторинга и возможности создания отчетов для отслеживания показателей и ключевых показателей эффективности, выявления тенденций и пробелов, а также повышения ценности социальной сети для бизнеса.

Максимальная глубина и широта охвата экосистемы

Команды безопасности могут максимально расширить свои экосистемы благодаря открытой архитектуре. Открытый подход, основанный на стандартах, позволяет командам ОЦИБ использовать возможности разнообразной экосистемы за счет интеграции широкого спектра источников данных и инструментов и извлекать выгоду из существующих инвестиций. Объединение этих технологий расширяет возможности SOAR, одновременно обеспечивая аналитикам безопасности более полное представление об экосистеме. Использование SOAR в качестве основы платформы нового поколения позволяет заказчикам расширять преимущества SOAR, выходя за рамки процесса реагирования на инциденты, для которого SOAR был создан, и включать в него любые процессы обеспечения безопасности, такие как управление уязвимостями, управление идентификационными данными, DevSecOps и другие. Это не только логически расширяет инвестиции для получения дополнительной рентабельности инвестиций, но и позволяет получить ключевые показатели эффективности этих процессов, которые могут быть использованы для постоянного совершенствования и преобразования взаимоотношений службы безопасности с остальной частью организации.

Источник:
https://securityintelligence.com/posts/why-security-orchestration-automation-and-response-soar-is-fundamental-to-a-security-platform/
https://icore.kz/upravlenie-inczidentami/ibm-security-qradar-soar/

Автор:
Ted Julian, VP Product Management and Co-Founder of Resilient, IBM
Chris Meenan, VP, Product Management, IBM Security

Редактор:
Лебедев А.