Linkedin-in
Управление инцидентами
SOAR, SIEM, SASE и Zero Trust как они сочетаются друг с другом - ICORE
_

SOAR, SIEM, SASE и нулевое доверие: как они сочетаются друг с другом

Обеспечение кибербезопасности в современных условиях не является линейным процессом. Организации не могут просто внедрить один инструмент или стратегию, чтобы быть защищенными от всех угроз и вызовов. Вместо этого они должны внедрять стратегии и технологии, соответствующие конкретным потребностям организации и уровню принимаемых рисков. Однако, как только начинается погружение в лучшие современные практики и стратегии, можно быстро оказаться перегруженным понятиями SOAR, SIEM, SASE и Zero Trust – тем более что почти все они начинаются на букву S.

На первый взгляд кажется, что эти понятия очень похожи. Однако, несмотря на некоторое дублирование, эти стратегии работают вместе, управляя или контролируя различные части кибербезопасности. Некоторые из них накладываются друг на друга, а другие работают совместно. Большинство организаций считают, что наиболее эффективно защитить свою инфраструктуру можно, объединив эти четыре технологии.

Давайте рассмотрим эти четыре общие концепции кибербезопасности и то, как они работают.

Нулевое доверие

В условиях, когда удаленная работа стала постоянным явлением, организации не могут защитить физический периметр – потому что его не существует. Zero trust – это общеорганизационная философия, предполагающая, что сеть всегда подвержена риску как внутренних, так и внешних угроз. При таком подходе можно проактивно защищать организацию независимо от физического расположения инфраструктуры, пользователей и устройств. По умолчанию все ресурсы недоступны, а для доступа к ним требуется подтверждение учетных данных.

При нулевом доверии к каждому аспекту ИТ применяется принцип наименьших привилегий. Это означает, что каждый сотрудник имеет только тот доступ, который ему необходим для выполнения своих рабочих задач. При предоставлении доступа система исходит из того, что пользователь, приложение или устройство, запрашивающее доступ, является неавторизованным и должно подтвердить свои учетные данные. Сети нулевого доверия всегда регистрируют/проверяют весь трафик корпоративной сети, ограничивают/контролируют доступ к сети и проверяют/защищают сетевые ресурсы.

Нулевое доверие стоит на первом месте в этом списке, поскольку это основа кибербезопасности, обеспечивающая наибольшую защиту и снижение рисков в современной среде кибербезопасности. В то время как другие технологии обеспечивают различные преимущества, SOAR и SIEM работают поверх нулевого доверия, а SASE работает бок о бок с нулевым доверием.

SOAR

Защита организации от угроз кибербезопасности требует совместной работы людей и инструментов. Для решения этой задачи многие организации обращаются к технологиям оркестровки, автоматизации и реагирования на угрозы безопасности (SOAR). Gartner определяет продукты SOAR как платформы для управления угрозами и уязвимостями, реагирования на инциденты безопасности и автоматизации операций безопасности.

Благодаря единой платформе для управления всеми процессами безопасности команды кибербезопасности получают все необходимые данные и инструменты для упреждающего предотвращения атак и минимизации ущерба в случае их возникновения. Кроме того, автоматизация задач кибербезопасности позволяет организациям высвободить время, чтобы сотрудники могли сосредоточиться на задачах, требующих человеческого подхода.

Многие считают, что “нулевое доверие” – это отдельная технология. Однако “нулевое доверие” – это система, включающая в себя различные стратегии, которые обычно реализуются средствами автоматизации и инструментами кибербезопасности. SOAR представляет собой платформу, которая управляет различными стратегиями, такими как PAM и микросегментация, создающими структуру нулевого доверия. В рамках перехода к “нулевому доверию” администрация Байдена требует от государственных учреждений использовать технологию SOAR, чтобы помочь соединить компоненты “нулевого доверия”.

SIEM

В условиях круглосуточной работы киберпреступников организациям необходима возможность постоянного мониторинга своей инфраструктуры на предмет выявления признаков потенциальных угроз или рисков. Программное обеспечение для управления информацией о безопасности и событиями (SIEM) использует искусственный интеллект для отслеживания изменений и закономерностей, соответствующих текущим угрозам, и проактивно выдает предупреждения о потенциальных проблемах кибербезопасности. Поскольку каждое оповещение отвлекает ИТ-команду от других задач, очень важно иметь инструмент, который позволяет определять приоритеты оповещений, чтобы команда знала, на что направить свое ограниченное время и ресурсы. Кроме того, средства SIEM должны интегрироваться с другими инструментами и технологиями.

Создание среды “никогда не доверяй, всегда проверяй” может легко превратиться в подавляющую ситуацию для пользователей и сотрудников. А ИТ-команды могут быстро оказаться перегруженными, когда речь заходит об управлении такими средами. Использование SIEM в рамках системы “нулевого доверия” позволяет организациям обеспечить необходимую видимость и безопасность без ущерба для удобства работы.

Хотя SIEM и SOAR являются инструментами кибербезопасности, они выполняют разные функции по защите инфраструктуры и данных. SIEM фокусируется на выявлении и регистрации событий, в то время как SOAR управляет всеми инструментами кибербезопасности, включая SIEM. Например, если SIEM обнаруживает потенциальную проблему, SOAR может предпринять автоматические действия на основе искусственного интеллекта, например, удалить доступ подозрительного пользователя или изолировать вредоносный файл. Без SOAR система SIEM может создавать дополнительную ручную работу для ИТ-команды и затруднять принятие быстрых мер, необходимых для защиты сети.

SASE

В условиях быстрого изменения требований безопасности и бизнеса организациям необходима возможность быстрого масштабирования усилий по обеспечению кибербезопасности. Используя сервис безопасного доступа (SASE), организации получают облачную архитектуру, объединяющую функции сети и сервиса безопасности как услуги. Gartner поясняет, что возможности SASE “основаны на идентификации субъекта, контексте реального времени и политиках безопасности/соответствия”.

На первый взгляд, SASE и zero trust очень похожи. Однако SASE помогает поставщикам разрабатывать решения безопасности на перспективу, в то время как “нулевое доверие” снижает бизнес-риски в рамках всей инфраструктуры. Эти технологии совместно управляют разрешениями, которые подвергают риску приложения, системы и данные, используя технологии микросегментации и программно-определяемого периметра (SDP). Кроме того, они совместно защищают программное обеспечение браузера от вредоносных веб-сайтов: технология zero trust защищает программное обеспечение браузера конечной точки, а технология SASE удаленно изолирует код подозрительного веб-сайта.

Объединение усилий

Переход от традиционного подхода к защите периметра к проактивной стратегии, обеспечивающей защиту современной инфраструктуры данных, требует наличия соответствующих инструментов. Приступая к разработке системы кибербезопасности, подумайте о том, чтобы начать с концепции “нулевого доверия”, а затем добавить SOAR, SIEM и SASE для поддержки принципов “нулевого доверия”. Каждый из них играет ключевую роль в защите инфраструктуры, приложений и данных. Если создать экосистему, которая будет сотрудничать и работать вместе, можно получить максимальную отдачу и защиту от технологий кибербезопасности.

Источник:
https://securityintelligence.com/articles/soar-siem-sase-zero-trust-fit-together/
https://icore.kz/upravlenie-inczidentami/ibm-security-qradar-siem/
https://icore.kz/upravlenie-inczidentami/ibm-security-qradar-soar/
https://icore.kz/upravlenie-inczidentami/ibm-cloud-pak-for-security/

Автор:
Jennifer Gregory – Технический писатель

Перевод и дополнения:
Лебедев А.В.