Micro Focus: Dlaczego cyfryzujące się firmy i gospodarka potrzebują nowej generacji SOC?

Na czym polega koncepcja NextGeneretion SOC według Micro Focus? To postawienie na rzetelny kanon efektywności cyberbezpieczeństwa w logice biznesowej i zarazem otwartość na nowe technologie, brak ograniczeń w modelu architektury, scyfryzowane procesy biznesowe.

Dynamika cyfryzacji gospodarki, szybki proces transformacji firm mają bezpośrednie przełożenie na sytuację i wyzwania jakie stają przed nimi w cyfrowym świecie zagrożeń. Im bardziej zanurzone są w świecie cyfrowym, im bardziej przybywa kanałów cyfrowych, scyfryzowanych procesów, tym bardziej rośnie ryzyko ekspozycji na cyberzagrożenia. Zagrożenia te zresztą także szybko mutują, pojawiają się nowe strategie i metodyki konstrukcji ataków. Swoim zasięgiem obejmują – “demokratycznie i sprawiedliwie” – całe spektrum gospodarki oraz wszystkie jej segmenty: od małych i średnich firm po wielkie przedsiębiorstwa i korporacje, od graczy e-commerce’owych, przez logistykę, transport czy administrację, aż po przemysł wytwórczy.

Dlaczego potrzeba Nextgen SOC?

Możliwość reakcji na zbliżające się zagrożenia, szybkość detekcji i szybkość działania to kluczowe parametry określające efektywność rozwiązań Security Operations Center (SOC). Podstawowym kryterium pozostaje bowiem w tej koncepcji czas, w którym organizacja jest wystawiona na cyberzagrożenia. Przy dynamiczniej rosnącej i mutującej szybko liczbie zagrożeń, wobec zawsze niedostatecznego w opinii menedżerów SOC budżetu oraz bardzo ostro rysującego się deficytu kompetencji i talentów na rynku pracy, jasnym stało się, że także ewolucja SOC i systemów SIEM, które je wspierają, musi przyspieszyć.

Wszyscy słyszeliśmy takie terminy jak nowej generacji SOC, nowej generacji SIEM, ale zrozumienie, na czym ta generacyjna zmiana ma polegać, często bywa niepełne.

Przyjrzyjmy się bliżej, co kryje się pod tym terminem.

Skala technologii potrzebnej do zabezpieczenia dzisiejszych zasobów cyfrowych oznacza, że zespoły SOC w większym stopniu polegają na narzędziach, aby skutecznie wykonywać swoją pracę. Zespoły analityków mają do czynienia z rosnącą liczbą połączonych urządzeń, natężonym szumem danych i większą liczbą wektorów zagrożeń. Pojedyncze produkty bezpieczeństwa mogą pomóc, ale cyberprzestępcy wciąż mają dostęp do martwych, niezabezpieczonych punktów, które wykorzystują przy coraz bardziej złożonych atakach. Presja na SOC tylko się pogłębia wraz ze wzrostem oczekiwań i przepisów dotyczących zgodności, podczas gdy przestępcy stale wyprzedzają go o krok.

Jak rozwiązujesz te problemy? Możesz nałożyć więcej rozwiązań zabezpieczających, ale jest to kosztowne i zmusza analityków do tracenia czasu na przełączanie się między rozwiązaniami. Często jest to też nieefektywne, a co gorsza, może pozostawić Cię z martwymi punktami narażonymi na ataki. Dzisiejsze SOC borykają się więc z problemem wydajności. Analitycy muszą chronić rosnącą powierzchnię za pomocą nieefektywnych narzędzi, które często nie komunikują się ze sobą, a szybka reakcja na zagrożenia przy ograniczonych zasobach personelu często jest niewykonalna.

Micro Focus tworzy nowy standard NextGen SOC

Nowoczesne firmy potrzebują rozwiązania, które zwiększy ich pole widzenia zagrożeń, dopasowujące się przy tym do rosnącej liczby źródeł danych. Potrzebują go, aby:
• efektywnie monitorować kluczowe obszary biznesu okrojonym zespolem specjalistów
• posiadać interfejs zabezpieczeń, który jest bardziej intuicyjny i skuteczniejszy.
• natychmiastowo i skutecznie reagować na zagrożenia.

Krótko mówiąc, NextGen SOC jest potrzebny, aby ubiec i zatrzymać cyber złoczyńców, zanim ci zniszczą Twoją firmę.

SOC nowej generacji wymaga SIEM nowej generacji.
Nowa generacja SIEM musi sprostać dzisiejszym i przyszłym potrzebom charakteryzując się:
1. Otwartą i zintegrowaną platformą: wykorzystuje wszystkie dane, które gromadzi Twoja firma, dzięki platformie danych, która może wszystko zrozumieć i jest dostępna w jednej scentralizowanej lokalizacji;
2. Intuicyjną i prostą w obsłudze warstwą analizy: współczesne cyberzagrożenia są trudne do wykrycia i wymagają wielowarstwowej analizy;
3. Szybką i inteligentną reakcją na zagrożenia dzięki połączeniu niezawodnego i bardzo wydajnego silnika korelacyjnego z uczeniem maszynowym;
4. Elastycznym silnikiem automatyzacji procesów obsługi SOAR;

Mając na uwadze te cele, Micro Focus oferuje platformę ArcSight Security Operations i łączy ją z UEBA Interset. Potężny silnik korelacyjny rozwiązania SIEM firmy ArcSight w połączeniu z uczeniem maszynowym UEBA firmy Interset zapewnia najlepszą ochronę, jednocześnie zapwniając analitykom gromadzenie przydatnych informacji.

Taką koncepcję NextGen SOC w oparciu o Nową Platformę SIEM ArcSight wprowadził Micro Focus. Można w zasadzie mówić o podwójnie nowej generacji: rozwiązania Next Gen SIEM i działającego w oparciu o nią, w nowy sposób, SOC. Rozwijane od 20 lat, dojrzałe rozwiązanie ArcSight nabrało w wyniku przeprowadzonej od 2018 r. transformacji nowych cech, które sprostają współczesnym wyzwaniom związanym z bezpieczeństwem.

Platforma jest odpowiedzią do działania w warunkach powszechnej cyfryzacji i wymienionych trzech wyzwań: powrotu do kanonicznej i zakorzenionej w logice biznesowej miary efektywności SOC, dynamicznego wzrostu scyfryzowanych procesów eksponowanych na cyberzagrożenia oraz deficytu kompetencji i talentów z zakresu bezpieczeństwa.

Na czym polega istotna różnica w sformułowanym przez Micro Focus standardzie NextGen SOC? W skrócie, sprowadza się do czterech wektorów: uproszczenie, otwartość integracyjna , automatyka oraz inteligencja.

Skomunikowana, zautomatyzowana i zespolona

Minimalizacja lub eliminacja zagrożeń poprzez skuteczną detekcję i natychmiastową reakcję musi opierać się na zastosowaniu wielowarstwowej, zespolonej analityki obejmującej zarówno warstwę silnika korelacji zdarzeń w czasie rzeczywistym, oraz warstwę opartą na uczeniu maszynowym (AI), Bardzo wydajny silnik korelacyjny bazuje na mierzalnych zjawiskach i zagrożeniach wykorzystując m.in. framework MITRE ATT&CK.

Cechą wyróżniającą podejście MicroFocus jest to, że działania poszczególnych warstw nie znoszą ani nie unieważniają nawzajem swoich wyników, ale poprzez komunikację – uzupełniają, zasilają i umożliwiają wieloaspektowy ogląd. Tym samym pozwalają automatycznie dokonać lepszej i dokładniejszej selekcji zdarzeń, które powinny kwalifikować się do podjęcia działania. Poszczególne warstwy analityczne platformy są skomunikowane i zintegrowane, ArcSight znosi tym samym silosowe podejście, które przy zastosowaniu różnych technologii owocowałoby chaosem informacyjnym.

W najnowszej platformie Arcsight w nowy sposób potraktowane zostały również interakcje system- system, ale także człowiek-system, szeroko zastosowana automatyzacja – dzięki wbudowanemu rozwiązaniu Security Orchestation, Automation and Response (SOAR). Dbając o detale i uspójnienie tych wszystkich elementów nowa platforma Arcisght zapewnia optymalizację interakcji, pozwala na szybsze i trafniejsze, często zautomatyzowane reakcje w odpowiedzi na zidentyfikowane zagrożenie.

Powrót do kanonu efektywności, wyjście naprzeciw nowej architekturze

Prostota nowej platformy MicroFocus wyraża się właśnie w uzyskanym skróceniu czasu dostarczania informacji, wyeliminowaniu natłoku informacyjnego, co wspiera także wysokiej jakości nowy interfejs platformy UI i UX rozwiązania. Prostota ma jednak także inny wymiar – dostosowania do całego wachlarza rodzajów środowiska i architektury technologicznej, w której przyjdzie mu pracować, w szczególności ze względu heterogeniczność środowisk oraz wsparcie dla ekosystemu chmury publicznej, prywatnej i podejścia hybrydowego. To zarazem cecha otwartości ArcSight na instalację on-premise czy SaaS, wsparcie cloud native realizowanego w oparciu o AWS czy Azure, nie wspominając o wsparciu dla konteneryzacji oraz podejściu bazującym na braku tolerancji na jakichkolwiek ograniczeń wydajności. Skalowalność rozwiązania zadowoli najbardziej wymagających użytkowników, którzy posiadają ponad milion EPS w swojej infrastrukturze. Warto podkreślić, że do dostarczania NextGen SIEM zastosowano prosty model licencyjny a część komponentów/modułów systemu, takich jak np. SOAR, wysoka dostępność czy środowisko non-production nie wymagają dodatkowych opłat.

SOC będzie się upowszechniał, o ile będzie stawał się dostępny i efektywny na miarę wyzwań przed którymi stają firmy. Tym samym, w ocenie Micro Focus, NextGen SOC realizowany w oparciu o platformę Nextgen SIEM jaką jest ArcSight, staje się rozwiązaniem nie tylko dla firm klasy enterprise, ale dla wszystkich firm, które zdefiniują u siebie potrzebę odpowiedniego zarządzania bezpieczeństwem. Można zastanawiać się, dlaczego firmy miałyby się zainteresować posiadaniem SIEM/SOC, czy to w formie usługi czy jako instancja on-prem, jeśli planują „transformację” chmurową. Taka migracja do chmurowego ekosystemu gwarantuje przecież “bezpieczeństwo w pakiecie”.

Czy trend NextGen SIEM / SOC nie jest na kursie kolizyjnym z trendem chmurowym? Firmy, które dały się przekonać, że migracja do chmury “załatwia” temat bezpieczeństwa. Dość szybko przekonały się, że jest to tylko pozorne zamknięcie tematu. Nic nie zastąpi posiadania własnych kompetencji i narzędzi rozwijania indywidualnego, sprawnego, efektywnego cyberbezpieczeństwa. Tym bardziej, że za bezpieczeństwo chmury odpowiada dostawca, ale za bezpieczeństwo naszych danych w chmurze – odpowiadamy my.

Trend NextGen SOC, dostępnych, dynamicznych, efektywnych ma więc głębokie uzasadnienie i powinien zaowocować poprawą cyberbezpieczeństwa całych sektorów gospodarki i ogólnym poziomem cyberbezpieczeństwa. A to przecież – warunek sine qua non rozwoju cyfrowej gospodarki.

Janusz Sawicki, odpowiada w Polsce za obszar Security w firmie Micro Focus