Timpul de detecție a unui incident, a unui eveniment de securitate, este de 10 secunde, timpul de răspuns – un minut, în așa fel încât să ne asigurăm că toți clienții noștri sunt protejați, a declarat Diana PATRINOIU, Regional Sales Manager, Palo Alto Networks, în cadrul celei de-a cincea ediții a FORUMULUI ROMÂNIA DIGITALĂ, în condițiile în care Palo Alto Nw are două Security Operation Center (SOC) în toată lumea, care au zilnic 36 de miliarde de evenimente.
Aceasta a explicat: “Noi putem folosi AI/machine learning în așa fel încât să ne apărăm în fiecare zi, atât în zona personală, cât și în zona de business. Şi aş vrea să aduc în discuţie SOC – Security Operation Center – despre care noi spunem că are nevoie de modernizare.
În urma unui atac de securitate, compania care a fost atacată poate ulterior să identifice destul de multe informații, cum ar fi: care au fost datele compromise, care au fost echipamentele care au fost afectate, de unde a pornit atacul, până unde a ajuns și care a fost impactul final. Dacă aceste date există, de ce să nu le folosim înainte în așa fel încât să oprim atacul, să putem să evităm pierderile?
Există bineînțeles și un răspuns – datele sunt foarte multe, sunt împărțite în foarte multe “silozuri”, foarte multe log-uri pe care le colectăm.
Din păcate, le colectăm atât în zona de SOC, cât și în alte locuri – spre exemplu toate log-urile din network ajung în network trafic analyzer, log-urile din zona de end point vor ajunge în EDR sau în XDR, log-urile de identity în altă parte, alte log-uri vor ajunge în SIEM – pentru cei care folosesc SIEM, şi zona de Cloud de multe ori nici măcar nu ajunge în același loc unde sunt centralizate celelalte log-uri. Cloud-ul, dacă îl folosim, uneori ne prefacem că nu există, alteori îl tratăm complet separat, cu toate că el de multe ori este sursa de unde vin atacurile”.
Un analist în cadrul SOC-ului trebuie să urmărească toate aceste mii de evenimente, să investigheze cauza și apoi să ofere un răspuns, să ia o decizie, să facă ceva în așa fel încât să limiteze efectele atacului respectiv, a mai spus Diana PATRINOIU.
Aceasta a precizat: “Foarte târziu apare zona de automatizare, cu toate că s-a tot discutat că înspre zona de automatizare ne îndreptăm cu toții, având în vedere că toată lumea spune că există deficit de forță de muncă. Foarte mulți dintre clienții noștri declară faptul că le ia aproximativ patru zile în cazul unui incident de securitate să identifice ce s-a întâmplat și să remedieze sau să stopeze problema, timp în care bineînțeles atacatorii pot profita de această situație.
Dar noi considerăm că sunt destul de multe lucruri care se pot face pentru a preveni atacul.
Referitor la modernizare, în cadrul securității, vedem că foarte multe arhitecturi s-au modernizat deja. Arhitectura de network a trecut deja din zona de perimetru în partea de zero trust. Infrastructura migrează deja din Data Center către Cloud, încet, în România poate mai încet decât în alte regiuni, dar într-acolo ne îndreptăm. Pe partea de end-point, veteranul antivirus s-a transformat deja în EDR sau în XDR.
SOC este nemodernizat de 20 de ani, de când a fost inventat SIEM-ul, care este un tool foarte important și foarte util. Însă problema lui, în acest moment, este că adună foarte multe evenimente pe care analiștii trebuie să le observe, să le coreleze, să le investigheze, să ia decizii. Vorbim de mii de evenimente zilnic, chiar milioane, în funcție de dimensiunea companiei, încât analiştii nu pot face față, se plictisesc, pleacă și atunci trebuie să cauţi alți analiști pe care trebuie să-i angajezi în SOC. Aşadar, încotro ne îndreptăm cu modernizarea în SOC?
Noi spunem că ne îndreptăm către o platformă care are nevoie de automatizare, să ne folosim de ce s-a inventat până acum, de machine learning, să ne folosim de AI, în așa fel încât analiștii din SOC să devină supervizori, să ia deciziile grele, incidente care poate au informații care sunt contradictorii și atunci este nevoie de intervenție umană.
În rest, atâta timp cât avem toate informațiile, de ce să nu le folosim automatizat?
Analiștii sunt baza SOC-ului, doar că ei primesc foarte multe informații pre-filtrate, pre-analizate, o informație trunchiată. Undeva, la un moment dat, s-ar putea să se piardă ceva relevant și atunci se pierde toată ideea de identificare de behavior. Eroarea umană se poate întâmpla din varii motive: oboseală, BIAS, trăiești cu impresia că aceasta este normalitatea etc.
Platforma XSIAM pe care Palo Alto Networks a dezvoltat-o și a pus-o la treabă în primul rând începând cu SOC-ul intern al companiei trebuie să respecte trei concepte:
- Intelligent data and analytics, adică să adune date, să le coreleze pentru a putea sa identifice exact cum sunt legate evenimentele, alertele, să facă un baseline cu ce înseamnă normalizarea în companie. Apoi să poată veni cu un răspuns rapid, automat.
- Automation First este al doilea concept pe care XSIAM îl propune și îl respectă și anume partea de stitching – adună date din zona de network, de end-point, de identity, orice fel de date avem, log-uri disponibile, care poate fi adus și integrat cu intel management feed, third party sau proprietar pe care apoi le corelează prin machine learning și prin AI și poate să identifice o potențială vulnerabilitate, înainte ca aceasta să se transforme într-o alertă. Adică observă că ceva nu este așa cum se aștepta și poate să ia o decizie, asta pentru a evita zero day-urile.
- Al treilea concept ar fi Proactive Security care se referă la identificarea tuturor asseturilor expuse în internet pe care o companie le deține, scanarea suprafeței de atac și minimizarea automată a acesteia, deci practic tot la automatizare ne întoarcem.
Pe scurt XSIAM modernizează modul de detecție și de răspuns prin automatizare, prin partea de stitching a tuturor datelor, le consolidează pe toate într-o singură platformă, în așa fel încât analiștii din cadrul SOC să poată să facă lucruri mult mai interesante, să nu se mai plictisească stând toată ziua cu ochii în log-uri, în evenimente, să poată să se pună la curent cu tot ceea ce se întâmplă nou și bineînțeles să poată să fie feriți de atacuri cibernetice.
În momentul aceasta avem două SOC-uri în toată lumea, unul în Europa, unul în America. Pentru 16 mii de angajați, noi avem zilnic 36 de miliarde de evenimente pe care SOC le îngurgitează, care se transformă automat, pentru că în octombrie 2022 am renunțat complet la SIEM.
SOC-ul modern nu mai are nevoie de SIEM, bineînțeles soluția face mai mult, adică e parte de SIEM cu toată partea de stitching și corelare și automat cele 36 de miliarde de evenimente se transformă în 133 de alerte, din care doar șapte sunt incidente, din cele automate – 125 automate, șase manuale și nici un incident major. Timpul de detecție a unui incident, a unui eveniment este de 10 secunde, timp de răspuns un minut, în așa fel încât să ne asigurăm că toți clienții noștri sunt protejați.
Soluția XSIAM este și modulară, asta înseamnă că mulți clienți de-ai noștri au ales să nu utilizeze toată soluția, ci, spre exemplu, să meargă doar cu bucata de automatizare, care reprezintă partea de XSOAR, deci practic chiar dacă își colectează în altă parte log-urile, automatizează în final tot ceea ce înseamnă SOC prin XSOAR, să beneficieze de servicii de incident response sau managed detection and response services.
La întrebarea dacă în timpul de răspuns pentru un incident există și un ochi uman sau absolut totul este automat, Diana PATRINOIU a spus: “Analiștii în continuare sunt în SOC, ei fac mai multe activități, pe lângă partea de analiză a log-urilor și a incidentelor. Practic, în momentul în care există un eveniment care are informații contradictorii, acestea sunt transmise ca incidente manuale și atunci intervine ochiul uman. În cazul în care AI sau machine learning nu poate să le potrivească perfect pe ceea ce știe el, poate să intervină omu în așa fel încât să rezolve problema. Nu știu unde poate fi eroarea mai mare, în cazul de robot sau eroare umană, dar oricum mixul este cel mai bun, în așa fel încât să ne asigurăm că suntem protejați”.