Показаны сообщения с ярлыком SOAR. Показать все сообщения
Показаны сообщения с ярлыком SOAR. Показать все сообщения

вторник, 6 августа 2024 г.

Gartner не разобрался в SOAR


Цикл хайпа по Gartner. Где SOAR многие разочарованы.

SOAR жив: Развенчиваем мифы о судьбе Security Orchestration, Automation and Response

В мире кибербезопасности появились слухи о "смерти" 😱SOAR (Security Orchestration, Automation and Response) после некоторых заявлений Gartner. Давайте разберемся, что происходит на самом деле и почему SOAR остается важным инструментом для специалистов по безопасности.

Что на самом деле сказал Gartner о SOAR

😱Странные слухи, что Gartner чуть ли не убил весь класс продуктов SOAR. С чего вы взяли? 🚫 Gartner всего лишь не планирует публиковать Magic Quadrant для SOAR. Исследование Gartner по IT-услугами (ITSM) указывает на неудовлетворенность специалистов по безопасности и устаревшими продуктами и решениями SOAR. А с тем же SIEM такого никогда не было? Я помню тех людей, которые покупали SIEM и потом ждали что у них сами люди обучатся инциденты расследовать и процессы наладятся сами - а оказалось, что это тоже работа менеджмента.

Критика ограничений SOAR: Насколько она обоснована?

В отчете Gartner отмечены следующие критические ограничения SOAR:

  • Высокие первоначальные затраты на установку и внедрение. А SIEM или NGFW прямо с полпинка внедряется? ;)
  • Высокие затраты на поддержку и обслуживание. Даже так? ) По сравнению с чем? ) А переписывать питон скрипты при смене API - это прямо совсем недорого? )
  • Требование наличия специалистов с обширными навыками программирования. А они вообще пробовали SOAR или что-то из области No-Code? )
  • Проблемы интеграции и совместимости с инструментами третьих сторон. Это да, согласен, но это общая проблема рынка, а не только продуктов SOAR. Так ведь SOAR и создан, чтобы эту проблему решать. 
  • Нереалистичные ожидания, что SOAR может решить все проблемы безопасности как автономное решение. А от других продуктов значит ожидания реалистичные? )

Мое понимание, что в Gartner просто не нашлось специалиста, который смог адекватно оценить и сравнить продукты этого класса, как это смог сделать Антон Чувакин для SIEM в свое время. Я почитал их отмазку "Недостаточная зрелость рынка: SOAR как категория технологий находится на стадии формирования. Gartner предпочитает дождаться более четкой картины для создания качественной и информативной оценки" ЧТО?! ) ДА ЛАДНО! 😆 

История и развитие SOAR: От инновации до зрелого решения

Я прекрасно настраивал людям Cortex XSOAR и это был прекрасно сформировавщийся продукт и его сделала изначально компания Demisto. Людям было удобно подключать молодых сотрудников к процессам, на основе готовых плейбуков, и которые молодежь даже не знала как работают, и они учились по этим плейбукам старших товарищей - это позволяет быстрее адаптировать нового сотрудника в SOC. Спасибо, SOAR.

Я прекрасно помню как на конференции RSA я был под впечатлением от выступления компании Phantom, которая и придумала идею SOAR - цеплять всех вендоров через API и управлять ими через плейбуки. Удобная автоматизация и оркестрация - это мечта любого специалиста.

Phantom выступал на RSA Conference еще в 2016 году 🔥, где был назван "Самым инновационным стартапом" конференции. Это признание было получено в результате конкурса, в котором участвовало 10 финалистов, и Phantom был выбран победителем жюри, состоящего из венчурных капиталистов и экспертов в области безопасности.

И Splunk потом купил Phantom.

Будущее автоматизации кибербезопасности: SOAR vs AI

Gartner считает, что нужно смотреть на более зрелые решения класса AI. Да, пусть AI угадывает параметры XML для новой версии API вендора - ведь проблема то в этом.

Инструменты автоматизации рабочих процессов должны преобразовывать события в оповещения для администраторов, создавать каналы связи между разными типами устройств защиты, обновлять статус инцидента в реальном времени. В общем очередная мечта об одной красной кнопке "сделать все" умерла....

Ну так это не проблема класса продуктов, это работа человеческой психологии. Могут ли сегодняшние средства защиты устранять проблемы в один клик для сценария, например, когда все Windows лежат в синем экране от CrowdStrike бага? Нет.

Несмотря на критику, SOAR продолжает играть важную роль в современной кибербезопасности.

Что вы думаете о будущем SOAR? Поделитесь своим опытом использования этих инструментов в комментариях.


on
Ярлыки: ,

суббота, 11 декабря 2021 г.

Чем отличается XDR от SIEM+Sysmon

На прошедшей недавно конференции SOC Forum активно обсуждались новинки на рынке: SOAR, XDR, MDR. Я выбирал что принести нового: Autonomous Digital Experience Monitoring  или External Attack Surface Management и выбрал EASM. Об этом напишу позже.


Я вдруг осознал на лекциях, что многие заказчики воспринимают новые технологии, лишь как переименование старых. Например, сейчас попробуйте сами ответить на вопрос: чем XDR отличается от SIEM?

И на конференции как раз прозвучал такой вопрос: а если я поставлю Sysmon и буду отправлять логи sysmon и NGFW в SIEM,  то получу ли я такой же функционал как в XDR?
Если отвечать коротко, то основное различие простое: XDR блокирует атаки, а SIEM+Sysmon детектирует. И это самое важное. Также давайте рассмотрим подробнее и другие аспекты.

Для начала приведу часть вопросов, которые задаю заказчикам и они мне про функционалу XDR )

Функционал

У вас есть шифрование дисков?
У вас защищаются флешки?
Сколько у вас консолей управления защитой рабочих станций?
Можете определить имеющиеся уязвимости на Windows, MacOS, Linux?
Можете делать форенсику удаленно?
Поддерживаете ipv6?
Блокируете эксплойты для Linux?
Отправляете файлы в песочницу?
Можете ли вы собрать в единую цепочку события от хостов и сетевых устройств?
Получаете события от сторонних источников?
Инциденты связаны с базой TI?

Containment

Как вы изолируете Windows, MacOS, Linux?
Куда вы шлете команды на блокировку на NGFW или на хосты?
Можете ли вы найти в своей сети устройство, на котором нет агента? Как?
Можете ли вы хранить данные больше 6 месяцев? Среднее время обнаружения инцидента 300 дней. Это 10 месяцев.
Можно редактировать IoA? BIOC?
UEBA есть на основе событий NGFW?
Инвентаризация есть: пользователей, групп, дисков, сервисов, драйверов, автозапуска, демонов, точек монтирования?
Инциденты можно забрать по API?
Умеете запускать скрипт на питоне на всех операционках?

До появления XDR, на все эти вопросы можно было ответить имея в наличии несколько разных систем: SOAR, TIP, SIEM, EPP, сканер безопасности, правильно настроенные системы защиты операционных систем. В общем это все решить можно в комплексе. Если у вас только SIEM+Sysmon - вряд ли вы решите перечисленные выше задачи.

С появлением XDR у вас появился единый интерфейс, в котором вы можете ответить на все эти вопросы и быстро расследовать инциденты, заблокировать распространение угроз. И тут уже нужно констатировать, что XDR продукты сильно сложнее: в них интегрированы агенты, которые защищают хосты, в них работают все ранее известные техники защиты и добавлены поведенческие техники. Причем, если в SIEM поведенческие техники и индикаторы поведения вы отрабатываете отдельно от хоста, то в XDR они работают на каждом хосте, даже когда он отключен от системы управления. И именно на этом основаны техники своевременного предотвращения распространения шифровальщиков, руткитов и другого вредоносного кода.

Пример behaviour indicator of compromise правил внутри Cortex XDR


Итак, какие проблемы вашей службы безопасности призваны решить решения XDR?

1. Слишком много событий => вы упускаете из виду атаки или вы не успеваете их расследовать.

2. Слишком много утилит безопасности => аналитику не хватает экспертизы пользоваться всеми сразу, чтобы понять что же явилось причиной возникшей проблемы.

Зачем переходят на XDR:

Автоматически создавать и расследовать инцидент: для этого требуется собирать не только события безопасности, но и обычные события: создание процессов, файлов, соединения через NGFW. В SIEM тоже можно начать отправлять вообще все события на хостах и в сети. Но готов ли ваш SIEM и его движок корреляции? Сколько событий в секунду он может коррелировать? (не принимать, а коррелировать).

Ускорить время расследования инцидента. Различные производители показывают фантастические результаты: почти мгновенно аналитик SOС получает готовый расследованный инцидент в виде картинки следующих друг за другом событий: root cause analysis.

Сгруппировать поток событий в один инцидент автоматически и показать только самые важные автоматически. Надо отдать должное SIEM - это в них тоже заложено. Но сравнить как это сделано в SIEM и как это сделано в XDR - очень советую.




Схема объединения событий с хоста и из сети в событие XDR.








on
Ярлыки: ,

вторник, 27 апреля 2021 г.

Конференция: как обойти межсетевой экран и как автоматизировать первую линию SOC

Присоединяйтесь к конференции Palo Alto Networks Digital Day 28 апреля в 11 утра. Мероприятие традиционно пройдет в онлайн-формате.


Программа:
o 11:00 – 11:10 - Открытие конференции
o 11:10 – 11:30 - Как обходят межсетевые экраны
o 11:30 – 11:50 - Что появилось нового в сетевой защите
o 12:00 – 12:20 - Как автоматизировать первую линию SOC
o 12:20 – 12:35 - Мнение заказчика и опытный взгляд от SOC эксперта
o 12:35 – 13:05 - Кто должен отвечать за безопасность DevOps
o 13:05 – 13:30 - От NGFW к NG SD-WAN. Почему Network SLA плохо работает и что с этим делать
o 13:25 - 14:00 - QUIZ с призами
Подробная информация о мероприятии и регистрация доступны по ссылке
on
Ярлыки: , ,

понедельник, 18 марта 2019 г.

Доступна запись Palo Alto Networks Security Summit 2019 в Москве


27:00 "To Cloud or not to Cloud", Alexandre Delcayre 43:10 "Что является важным критерием в проектах ИБ", Александр Парамонов 44:30 "Ваши проекты 2019-2020 года: SDN, SD-WAN, SOAR, NG SOC, UEBA, XDR, HTTP 2.0, DNS Security, SSL Decrypt", Денис Батранков 1:24:38 Cсылки на прошлые вебинары Palo Alto Networks https://safebdv.blogspot.com/p/blog-page.html 1:28:10 Круглый стол по облакам с участием Ангара (Сергей Шерстобитов, Дмитрий Пудов), Сбербанка (Сергей Валуйских), Яндекс.Облако (Григорий Отребьев), Северсталь (Сергей Гусев) 2:23:40 "Arista и Palo Alto Networks - как улучшить безопасность ядра сети", Андрей Нуштаев 2:38:57 Опыт выбора NGFW в компании EPAM, Дмитрий Чернобай, ИТ директор EPAM Systems 2:50:00 Cortex XDR - English language 3:49:49 Cortex XDR - ответы на вопросы 4:59:17 "New Buzzwords, SOC, CSIRT, PSIRT, Next Gen SOC, Red/Blue Team, Shadow IT, Air GAP, Mimikatz, DFIR", Денис Батранков 5:11:10 "Интеграция Autofocus в SOC и автоматизация IoC через EDL и MineMeld", Денис Батранков 5:21:55 "Что такое TTP - Tactics, Techniques and Procedures", Денис Батранков 5:26:40 "Что делает бесплатная утилита MineMeld", Денис Батранков 5:30:18 Palo Alto Networks как источник аналитики в Big Data, Юрий Бутузов, ICL 5:52:40 "В фокусе пользователь, а не IP адрес" Игорь Булатенко, QIWI 6:19:38 RedLock и Aperture, Илья Осадчий, Tiger-Optics 6:44:50 Global Protect Cloud Service Palo Alto Networks и методики защиты удаленных офисов и мобильных устройств, Денис Батранков 7:35:35 SD-WAN, Сергей Козлов, Riverbed 8:06:10 Бесплатные утилиты SANS, Expedition, Migration Tool, UTD, Best Practice Assesment, SLR, Machine Learning для улучшения вашей безопасности, Денис Батранков 8:27:50 Награждение партнеров Palo Alto Networks, команда Palo Alto Networks
on
Ярлыки: , , , , , , , , , , , , , , , , , ,
Подписаться на: Сообщения (Atom)