SIEM i SOAR: dwustopniowa budowa procesu cyberbezpieczeństwa

Z Piotrem Uzarem, szefem Departamentu Systemów IT w Averbit, rozmawiamy o modelu wdrożeń systemów SIEM (Security Information and Event Management) i SOAR (Security Orchestration, Automation and Response) oraz ich miejscu w procesie CyberSec.

Czy zgodziłby się Pan, że dziś cyberbezpieczeństwo dużych organizacji koncentruje się wokół współpracy rozwiązań SIEM i SOAR?

W pewnym uproszczeniu jakość doświadczenia i efektywność współpracujących ze sobą systemów SIEM oraz SOAR rzeczywiście określa poziom dojrzałości i bezpieczeństwa wielkich firm i instytucji. Skutecznie działający SIEM, którego pracę wykorzystuje SOAR, to przy określonej skali działania kwestia zdrowego rozsądku biznesowego.

Czy firmy są dobrze przygotowane do tych wdrożeń, skoro jakość platform SIEM i SOAR ma takie znaczenie dla ich bezpieczeństwa? Dopytuję o te kwestie, ponieważ dla części firm podstawowym powodem wdrożeń SIEM były wymogi prawne…

Z reguły klienci wdrażający SIEM są świadomi, że to rozwiązanie jest im niezbędne i zdecydowanie dojrzeli do jego wykorzystania. To konieczność przetworzenia bardzo dużej ilości informacji o bezpieczeństwie jest bowiem podstawowym powodem implementacji SIEM – a bez automatyzacji to niemożliwe.

Drugim powodem, dla którego firmy interesowały się systemami SIEM była chęć dopełnienia wymogów ustawy o Krajowym Systemie Cyberbezpieczeństwa, wprowadzającej dyrektywę NIS w zakresie zarządzania ryzykiem i informowania o istotnych incydentach. Jako środek realizacji tych obowiązków może służyć właśnie platforma SIEM.

Problemem jest natomiast często sposób, w jaki tego dokonano. Deklaruje się wypełnienie wymogów na podstawie zakupu systemu, ewentualnie instalacji lub nawet wdrożenia, a nie faktu jego rzeczywistego działania. Są to tzw. martwe systemy SIEM. Takie wdrożenia świadczą o niedojrzałości i niegotowości tych firm w zakresie cyberbezpieczeństwa.

Z kolei platforma SOAR jest rozwiązaniem, na które klient musi się przygotować w toku użytkowaniu systemu SIEM. To wówczas zyskuje bezcenne doświadczenie, buduje kompetencje oraz procesy. SOAR powinien „wejść” na przygotowany teren, na którym SIEM pozwolił zbudować topologie, opracować reguły parsowania, określić indywidualną sytuację infrastruktury danej firmy. To proces wymagający minimum pół roku na dopracowanie działania systemu i nauczenie wykorzystywania go przez operatorów. Dopiero na tak solidnym fundamencie można rozpocząć wdrożenie SOAR.

SOAR sprawdza się w dużych organizacjach, w których operatorzy Security Operation Center potrzebują odciążenia w swojej pracy. Tam, gdzie liczba incydentów i czasochłonność ich obsługi wymagają automatyzacji.

Można więc podsumować, że poziom dojrzałości niezbędny do implementacji SIEM jest inny, ale jest ona także niezbędna. Z kolei wdrożenie SOAR, a w konsekwencji stworzenie w firmie efektywnie współdziałającego tandemu cyberbezpieczeństwa, wymaga pogłębienia tej dojrzałości. Jest to zarazem powód, dla którego rynek w Polsce dopiero otwiera się na to rozwiązanie.

To jednoznaczna rekomendacja dwustopniowej implementacji tych rozwiązań?

Równoczesne wdrażanie SIEM i SOAR to zły pomysł pod każdym względem – spójności i efektywności cyberbezpieczeństwa, ekonomicznym, organizacyjnym.

Pomimo, że SOAR posiada predefiniowane scenariusze?

Jest to tylko pewnego rodzaju framework, który posiada wbudowane bazowe scenariusze. Biblioteka scenariuszy adekwatnych dla danej firmy powinna powstać w odniesieniu do kontekstu, poprzez integrację z działającymi w firmie systemami.

Instalacja platformy SIEM jest powtarzalna. Infrastruktura jest zwykle standardowa, jeśli chodzi o urządzenia sieciowe, serwery i systemy operacyjne. Jednak klienci posiadają szereg baz i systemów wspomagających. Oczywiście istnieją gotowe wtyczki integracyjne do najbardziej popularnych systemów, ale często trzeba skorzystać z udostępnianych API lub dedykowanych elementów dostępowych.

W zależności od tego, jak dany scenariusz jest wykonywany, wchodzi w interakcje, wpływa na relacje pomiędzy nimi. Procedury, które wynikają z wykonywanych scenariuszy są różne w każdej instytucji. W tym sensie każde wdrożenie jest indywidualne.

Wracając do wpływu legislacji na rynek SIEM/SOAR; czym poskutkuje wdrożenie NIS2?

Bez wątpienia przyniesie kolejną falę zainteresowania wdrożeniami systemów SIEM. Natomiast nie rozwiąże problemu efektywności tych wdrożeń. A jest to problem palący. Potrzeba pilnie rzeczywistej weryfikacji, czy wdrożone systemy spełniają swoje zadanie. Najlepszym rozwiązaniem byłyby odpowiednio egzekwowane audyty.

Firmy powinny być rozliczone z efektów wdrożenia, a nie samego faktu wdrożenia. Jak wspominałem, wiele firm zakupiło SIEM, ale nie przejmowały się wdrożeniem czy nawet instalacją.

Czy zadania audytowania efektywności cyberbezpieczeństwa mogłaby – powinna podjąć się instytucja państwowa?

To zadanie mogłoby rzeczywiście znajdować się w gestii osobnego Urzędu Ochrony Regulacji Cyfrowych. Jeżeli obowiązuje prawo, to trzeba weryfikować jego realizację. Weryfikacja nie powinna dotyczyć samego zakupu i amortyzacji, ale faktycznego działania. Wykwalifikowana osoba powinna sprawdzić, czy system działa, np. na podstawie prostego, 5-punktowego testu, czy SIEM i SOAR faktycznie wspomagają bieżące działania operatorów.

Na rynku działają przecież firmy audytorskie – zatrudniane przez wielkich dostawców – które potrafią błyskawicznie, posługując się skryptami, zweryfikować, czy firma wykorzystuje oprogramowanie zgodnie z umowami licencyjnymi. Nic nie stoi na przeszkodzie, aby zaprojektować dużo prostszy schemat weryfikacji wdrożenia i działania nawet tak złożonego systemu, jak SIEM i SOAR.

Jakie znaczenie będzie z kolei miała dla efektywności CyberSec adaptacja AI przez rozwiązania SIEM/SOAR?

W przyszłości algorytmy AI będą odgrywały główną rolę, choćby po to, aby – na podstawie logów przetwarzanych przez SIEM – zaproponować możliwe do realizacji przez SOAR scenariusze.

Logi przekazywane do analizy i nauki silników AI to oczywiście dane wrażliwe. Odpowiednia warstwa pośrednicząca pozwoli zanonimizować je np. w zakresie adresacji IP, czy nazewnictwa. To pozwoli uniknąć problemów dotyczących na przykład poufności danych.

Model sztucznej inteligencji może być zasilany w dane przez społeczność, np. grupę firm z różnych sektorów rynku, które w ten sposób kontrybuują do doskonalenia rozwiązania, z którego same korzystają.

Bardziej prawdopodobny wydaje mi się jednak model, w którym dane pozyskiwane są od firm, które – w czasie korzystania z subskrypcji danej usługi – udostępniają swoje dane np. poprzez instalowaną wtyczkę.

W jaki sposób wpłynie to na rynek cyberbezpieczeństwa? Czy należy spodziewać się konsolidacji?

Konsolidacja odbywa się na poziomie dostarczenia usługi. Już teraz działają w Polsce co firmy oferujące SOC w modelu as-a-service, tzw. globalny SOC. Posiadają komplet licencji na rozwiązania cyberbezpieczeństwa właściwie w nieograniczonym wolumenie. Ich klienci mogą zostać w nie wyposażeni w trybie usługowym, poprzez interfejs użytkownika. Informacje z sieci lokalnej trafiają do globalnego SOC. Jest to jeden z wymiarów konsolidacji rynku.

Jak to rzutuje na sytuację Averbit?

Na pewno część rynku zostanie przejęta przez dostawców usług.

My jesteśmy integratorem, wdrażamy rozwiązania on-premise, ponieważ przy takim modelu pozostanie spora gama naszych klientów. Ta część rynku ma przed sobą jeszcze wiele lat rozwoju.

Wiele firm zbudowało wewnętrznie wysokie kompetencje. Wówczas z większością kwestii radzą sobie w pełni samodzielnie. Ponieważ jednak mamy dostęp do szerszego spektrum praktyki, nawet takie firmy – w niektórych sytuacjach – odwołują się do naszego doświadczenia. Zamiast tracić czas na rozwiązanie problemu, posiłkują się naszą wiedzą.

Zakres Waszej współpracy z klientem bywa jednak szerszy. Często ma charakter utrzymywania i rozwoju całego rozwiązania CyberSec w danej instytucji. Taki rodzaj Platform Engineering dla firmowego SIEM/SOAR.

Przede wszystkim wykonujemy podstawowe usługi, np. aktualizację posiadanego systemu SIEM czy SOAR. Nie są to proste procesy, zwykle w trakcie pojawia się szereg problemów, np. związanych z koniecznością podniesienia platformy sprzętowej czy udostępnienia większych zasobów obliczeniowych. Wymaga to dużej wiedzy nie tylko na temat rozwiązań, ale także znajomości warstwy sprzętowej, sieciowej czy systemów operacyjnych.

Ze względu na dynamikę otoczenia, taka współpraca przeradza się to w proces z cotygodniowymi spotkaniami statusowymi, podczas których planujemy dostosowania do zmian w systemach biznesowych, w sieci, wgranie nowych scenariuszy obsługi incydentów, aktualizacje rozwiązań dostawców, itd. Musimy także reagować na incydenty lub awarie. Wsparcie często musi więc mieć charakter całodobowy.

Od początku dużo czasu poświęcamy wówczas także na planowanie rozwoju kompetencji i komunikacji. Dążymy do wyrównania wiedzy po obu stronach, abyśmy posługiwali się wspólnym językiem oraz mogli wspólnie planować i określać cele, do których dążymy. Tak więc zespół po stronie klienta poznaje lepiej technologię, jej specyfikę, a także nasze podejście. My z kolei poznajemy firmę, jej uwarunkowania, kulturę.

Można by powiedzieć, że to w IT komfortowa sytuacja, kiedy obie strony tak angażują się we współpracę.

Możemy sobie pozwolić na komfort solidnego przygotowania do pracy z wybranymi, dojrzałymi organizacjami przy wdrożeniach najbardziej zaawansowanych rozwiązań. To zawęża liczbę projektów, w które możemy się zaangażować. Mamy bazę klientów, z którymi współpracujemy i którzy bardzo chwalą sobie jakość świadczonych przez nas usług.

Czy w Averbit nie przytrafiają się wobec tego projekty ad-hoc?

Jedno nie wyklucza drugiego. Najchętniej podejmujemy się projektów, które są trudne i skomplikowane, ponieważ na bazie takich wdrożeń mamy najwięcej okazji do pozyskania doświadczenia i kompetencji, naszego podstawowego kapitału. Są to zwykle wdrożenia nie posiadające referencji, pionierskie, kiedy trzeba zaczynać od nakreślenia całej koncepcji docelowego rozwiązania.

Nie stronimy jednak od udziału w działaniach sanacyjnych, kiedy mierzymy się z historią wcześniejszych wdrożeń, np. gdy poprzedni partner nie posiadał wystarczającej wiedzy i doświadczenia w danej kwestii. Kiedy indziej wdrożone i działające rozwiązanie traci wsparcie firmy wdrożeniowej i wówczas szybko ulega degradacji. Bywa, że ponownie wdrażamy SIEM czy SOAR, albo ożywiamy martwe instalacje.

To stwarza pole i pretekst do rozmowy z zarządami o efektywności cyberbezpieczeństwa, wymiernej dla biznesu.

Chętnie szukamy okazji do omawiania projektów CyberSec w języku wartości biznesowej. Bazujemy w tym przypadku na doświadczeniach projektowych i obserwacjach u innych klientów. Na tej podstawie dowodzimy, że wdrożenie SOAR może przynieść określone oszczędności czasu pracy operatorów. Jest to obecnie benchmarkiem efektywności wdrożeń Averbit.

Podczas spotkania CXO HUB Bogusław Święcicki wspominał, że jako CIO najchętniej do oceny efektywności cyberbezpieczeństwa wykorzystuje jego wpływ na ciągłość działania, ponieważ tym najbardziej zainteresowany jest zarząd.

To bardzo dobre podejście, pozwalające wyliczyć, ile kosztuje niedostępność poszczególnych elementów infrastruktury. Wtedy wdrożenie SIEM/SOAR można ukierunkować na zapobieżenie tej niedostępności, która najmocniej uderzy w biznes. Ta konstrukcja przekłada się na dobór scenariuszy, działanie systemów, zakres i sposób zbierania danych, zaangażowanie operatorów itd. W efekcie, jeśli powstanie awaria bądź incydent, firma dowie się o tym szybciej niż jej klienci czy użytkownicy, a automatyczne scenariusze uruchomią działania naprawcze i profilaktyczne z myślą o przyszłości. .

Efektem procesu, który pojawia się dzięki współpracy systemów SIEM/SOAR, jest więc stała optymalizacja cyberbezpieczeństwa.

Jest to możliwe, ale trzeba podkreślić, że nie jest to droga, której kres wyznacza osiągnięcie jakiegoś hipotetycznego punktu 100% bezpieczeństwa firmy. Takiego punktu nie ma. Jego osiągnięcie nie jest więc możliwe. Przy pomocy SIEM mapujemy wrażliwe elementy infrastruktury. Na podstawie informacji budujemy wnioski dotyczące pożądanego schematu architektonicznego, wykorzystywanych rozwiązań, swoiste Predictive Maintenance dla cyberbezpieczeństwa. Opieramy się jednak na szerszej wiedzy o technologii i cyberbezpieczeństwie. Poza SIEM/SOAR, które są w tej rozmowie centralnym punktem odniesienia, mamy mocne kompetencje i doświadczenia w takich obszarach, jak Fault Management, Discovery Management, Configuration Management i Performance Management. Dopiero taka całość składa się na stale uczący się i doskonalący proces CyberSec.

Rozmowa odbyła się po spotkaniu społeczności CXO HUB CyberSec Chapter „Ewolucja CyberSec, jak rozszerzają się możliwości rozwiązań cyberbezpieczeństwa?”, którego partnerem był Averbit, podczas którego przedstawiono projekty wdrożeń SIEM i SOAR w polskich firmach energetycznych.