Co to jest SOAR? Jak działa i dlaczego warto go wdrożyć?

Skuteczna ochrona danych wymaga błyskawicznej reakcji i pełnej gotowości.

Czy zdarzyło Ci się otrzymać alert o podejrzanym logowaniu o 3 w nocy? Albo, jako analityk bezpieczeństwa, zauważyć niepokojącą sekwencję: kilka nieudanych prób logowania – udane logowanie – zmiana hasła?

Nagle musisz podjąć szereg decyzji i działań, które będą skuteczne, szybkie i przemyślane, aby zadbać o bezpieczeństwo w firmie.

Nawet najbardziej doświadczony analityk nie jest w stanie skutecznie reagować ręcznie na wszystkie incydenty. Odpowiedzią na potrzebę przyspieszenia, ulepszenia i automatyzacji tego procesu jest SOAR (ang. Security Orchestration, Automation and Response).

Współczesne firmy codziennie muszą stawić czoła setkom, a nawet tysiącom zagrożeń w cyberprzestrzeni, a co za tym idzie – otrzymują wiele alertów dotyczących bezpieczeństwa. Zespół SOC (ang. Security Operations Center), czyli "centrum dowodzenia" cyberbezpieczeństwem firmy, bez przerwy analizuje wszelkie sygnały i dba, aby wszystko funkcjonowało poprawnie, bezpiecznie oraz bez niepożądanych działań i ataków osób trzecich.  

W tym celu specjaliści ds. cyberbezpieczeństwa wykorzystują narzędzia, takie jak SIEM (na którym skupimy się w dalszej części wpisu) oraz SOAR, który jest technologią łączącą automatyzację, integrację narzędzi i zarządzanie incydentami w jeden spójny system. Wspiera zespół bezpieczeństwa w skutecznym i ekspresowym reagowaniu na zagrożenia, często bez angażowania człowieka.  

SOAR to technologia, która koordynuje działania pomiędzy systemami bezpieczeństwa. Dzięki swoim komponentom jest w stanie identyfikować typ zagrożenia i automatycznie wykonywać określone kroki zapobiegawcze. Analizuje napotkane problemy i rozwija swoją umiejętność przewidywania przyszłych naruszeń w celu neutralizacji kolejnych incydentów. 

Nazwa SOAR nie jest przypadkowa – tworzą ją trzy filary: 

1. Orkiestracja (ang. Orchestration)
   Rozwiązanie łączy używane narzędzia i systemy bezpieczeństwa w jeden ekosystem. Integruje się z SIEM, narzędziami ticketowymi czy firewallami. Sprawia, że mogą one ze sobą współdziałać, bez potrzeby ręcznego przełączania się między nimi.
2. Automatyzacja (ang. Automation)
   SOAR automatycznie podejmuje konkretne działania, które są możliwe dzięki wcześniej przygotowanym playbook'om, czyli gotowym schematom reagowania, gdy system zidentyfikuje zagrożenie.
3. Reakcja (ang. Response)
   Reaguje na widoczne incydenty bezpieczeństwa: działa automatycznie i natychmiastowo (np. blokuje IP), jak i półautomatycznie (wymagając zatwierdzenia przez człowieka). 

SOAR korzysta między innymi z playbooków, czyli wcześniej przygotowanych scenariuszy działania. Opisują one kolejne kroki, które są wykonywane automatycznie lub prowadzą analityka przez określony scenariusz w odpowiedzi na konkretne incydenty bezpieczeństwa.  

Dzięki playbookom możliwa jest standaryzacja procesów reagowania oraz ich automatyzacja. Analitycy bezpieczeństwa zyskują dzięki temu jednolity sposób przeciwdziałania atakom typu DDoS, próbą phishingu lub innym zagrożeniom, takim jak Ransomware. Dobrze wytworzone playbooki skrojone pod dane środowisko, automatyzują reakcje na anomalie i incydenty świadczące np. o nieautoryzowanej próbie szyfrowania zasobów.  

"Po co wdrażać SOAR, skoro mamy już SIEM?" 

Ważne jest zrozumienie, że SIEM i SOAR nie są konkurencyjnymi, lecz uzupełniającymi się i współdziałającymi technologiami. 

W ramach wsparcia, zespół SOC korzysta z technologii SIEM (ang. Security Information and Event Management), czyli systemu, który zbiera oraz analizuje informacje i logi z różnych źródeł w infrastrukturze IT. Jest odpowiedzialny za wykrywanie podejrzanych działań i gromadzenie danych. Natychmiastowo wysyła alerty z informacją o potencjalnym zagrożeniu. Dzięki tej technologii zespół ma możliwość zareagować, aby zachować najwyższy poziom bezpieczeństwa w organizacji.  

SIEM wykrywa wszelkie zagrożenia, ale w głównej mierze pełni funkcję informatora, który uświadamia zespół o problemie. Co prawda może mieć wbudowaną funkcję Active response, która pozwala na doraźne reakcje zapobiegawcze np. objęcie szkodliwego pliku kwarantanną, jednak w takiej sytuacji wiele działań i tak musi ręcznie podjąć dział bezpieczeństwa.  

SOAR odpowiada za reakcję. Otrzymuje alert od SIEM, a następnie podejmuje natychmiastowe działania zgodne z playbookami, które są zautomatyzowane i pozwalają odciążyć zespół ludzi. SOAR potrafi przeprowadzić proces naprawczy na szerszą skalę i zabezpieczać środowisko przed kolejnymi atakami. Wszystko zależy od stopnia zautomatyzowania. W zależności od potrzeby mogą to być w pełni automatyczne playbooki lub półautomatyczne, czyli takie które prowadzą analityków przez określony scenariusz, ale kolejne kroki wymagają akceptacji. 

Zatem SOAR nie jest narzędziem, które ma zastąpić SIEM, ale je wspomóc.  Te dwa systemy uzupełniają się i razem tworzą skuteczniejsze rozwiązanie, które podnosi poziom bezpieczeństwa organizacji oraz funkcjonowania zespołów SOC.  

Załóżmy sytuację, że jesteś analitykiem bezpieczeństwa, pracujesz w miejscu, gdzie nie ma wdrożonego SOAR. SIEM (lub inny system bezpieczeństwa) wysyła Ci alert o podejrzanym logowaniu na konto administratora z nietypowej lokalizacji. Oto szereg działań, które musisz podjąć samodzielnie, w momencie, gdy zauważysz zgłoszenie:

Takie działanie może zająć od kilku minut do nawet kilku godzin, zwłaszcza jeśli incydent jest złożony lub gdy coś zostanie przeoczone, a osoby mogące udzielić ręcznego wsparcia są akurat niedostępne. Zwiększa to ryzyko poważnych szkód i konsekwencji ataku, dając napastnikowi więcej czasu na działanie.

Teraz przedstawimy tę samą sytuację, ale z wdrożonym narzędziem SOAR:

SIEM generuje alert, który tym razem trafia do SOAR. Ten automatycznie uruchamia odpowiedni playbook, wykonując to wszystko samodzielnie:

Dzięki zautomatyzowanym działaniom, SOAR znacznie skraca czas reakcji – cała interwencja trwa zwykle kilka minut od momentu wykrycia incydentu. Szybkość i precyzja zmniejszają ryzyko przegapienia istotnych zdarzeń, a działania są dokładne i skuteczne, co pozwala ograniczyć szkody oraz odciąża zespół bezpieczeństwa. 

Każdy incydent w SOAR obsługiwany jest z wykorzystaniem tzw. War Room, czyli wspólnej przestrzeni do pracy nad incydentem dla analityków.

W War Roomie gromadzone są wszystkie kluczowe informacje dotyczące danego zdarzenia bezpieczeństwa:

• Dane techniczne

• Informacje o jego wykryciu

• Wykonane akcje (automatyczne i manualne)

• Historia działań i decyzji

• Chat między analitykami

• Dowody, logi systemowe, komentarze i rekomendacje

Taka przestrzeń operacyjna znacząco ułatwia koordynację pracy, usprawnia analizę i zapewnia pełną widoczność sytuacji. Zebrane informacje pozwalają na wygenerowanie kompletnego raportu o incydencie i przygotowanie gotowego zgłoszenia do CSIRT.

Dla wielu organizacji, szczególnie tych objętych wymogami dyrektywy NIS2, taka dokumentacja może być nie tylko przydatna, ale wręcz obowiązkowa.

Istnieje również możliwość połączenia wielu incydentów powiązanych z tym samym zdarzeniem w jeden wspólny War Room, co pozwala analitykom pracować nad problemem całościowo i z pełnym kontekstem.

Wdrożenie narzędzia SOAR niesie ze sobą wiele korzyści. Pozwala na poprawienie ogólnego poziomu bezpieczeństwa w firmie. Jego główne zalety, o których warto pamiętać to: 

• Automatyzacja procesów – Wiele ataków jest powtarzalnych i łatwo można im przeciwdziałać w ten sam sposób. SOAR pozwala działać według ustalonych scenariuszy, eliminując tym samym powtarzalną pracę dla działu bezpieczeństwa i przyspieszając ochronę. 

• Zwiększenie wydajności – Jeden analityk może obsłużyć w tym samym momencie jedno zgłoszenie. Narzędzie SOAR pozwala reagować na wiele zgłoszeń w tym samym czasie. Wraz z rozwojem cyberprzestępczości, wzrasta liczba ataków, a zatem alertów, więc zapotrzebowanie na rozwiązanie tych problemów rośnie. SOAR priorytetyzuje zgłoszenia, dzięki czemu zespół może skupić się na tych najbardziej niebezpiecznych.  

• Wsparcie zespołu SOC – Analitycy mogą poświęcić zyskany czas na bardziej skomplikowane incydenty, które faktycznie potrzebują działań podjętych przez człowieka, a tym samym zadbać o przyszłościowy rozwój schematów dla SOAR, które pozwolą na zautomatyzowanie reakcji na coraz to poważniejsze incydenty. 

• Zmniejszenie szans na pomyłki – Przy powtarzalnych zadaniach, człowiek może coś przeoczyć lub się pomylić. SOAR działa według playbook'ów – automatycznie, dokładnie i tak samo przy danym typie zagrożenia.  

SOAR, to rozwiązanie, które zwiększa kontrolę nad procesami bezpieczeństwa i pozwala lepiej chronić kluczowe zasoby firmy.