Hlavní navigace

SIEM? SOC? SOAR?

Komerční sdělení  Autor: CSO Club
Ve čtvrtek 16. prosince se uskutečnilo v pořadí již druhé setkání CSO Clubu, platformy, která slouží k výměně zkušeností a vzdělávání manažerů odpovědných za řízení, sledování a správu bezpečnosti v podnicích, společnostech a institucích.
10. 1. 2022

Sdílet

Tématem tohoto setkání, které se konalo online, byly SIEM, SOC a SOAR systémy. S touto problematikou seznámili účastníky Maroš Barabas, expert na SOC ze společnosti AEC a Marián Daníšek, člen Rady CSO Clubu a IT manažer v ProCare a Svete Zdravia. Setkání uzavřela panelová diskuse, jíž se zúčastnili i další členové Rady CSO Clubu.

Součástí každé správně uchopené podnikové informační architektury by měla být i kybernetická bezpečnost. A to nejen z pohledu využití technologií, ale také zapojení lidí a přizpůsobení procesů napříč celou organizací. Jenže u bezpečnosti v IT je potíž v tom, že může souviset s mnoha různými incidenty prakticky na všech úrovních, od virové nákazy přes náhodné průniky a odmítnutí služby až po cílené a precizně ukrývané procházení celého prostředí. Doby, kdy bylo možné bezpečnost řešit tak nějak od stolu, jsou tedy dávno pryč.

Řešte problémy v reálném čase

Základním předpokladem úspěšné ucelené ochrany je mít k dispozici přehled v reálném čase o všech aktivitách. Na úrovní síťové infrastruktury i aplikačního portfolia – jinými slovy, zdrojem informací pro potřebný vhled je široká škála prvků. Tato data je vhodné soustředit do jednoho místa, nad kterým lze v reálném čase provádět podrobná šetření včetně korelací a behaviorálních analýz. S touto koncepcí pracují tzv. SIEM (Security Information and Event Management) nástroje, které díky zpracování dat pocházejících z celé architektury (či její významné části) a hledání souvislostí umožňují odhalit i podezřelé chování, které by při osamocené analýze jednotlivých zdrojů zůstalo ukryté. 

Součástí SIEM řešení je předávání varování a zpráv dál, například do tzv. SOC (Security Operations Center). SOC nejčastěji představuje vzdálené dohledové centrum, které přebírá informace z klientské infrastruktury a umožňuje – opět v reálném čase – v dostatečné šíři analyzovat vstupní data a vedle odhalení incidentu zajistit i včasné řešení případného bezpečnostního incidentu. Významnou výhodou je to, že SOC využívají nejmodernější technologie i specialisty, kteří přesně ví nejen k čemu může dojít, ale také jak situaci řešit. Firma díky SOC získává komplexní zajištění i vysokou míru ochrany, obojí při snížení interních nákladů. Vhodné je služby SOC integrovat s tzv. NOC (Network Operations Center), které mají na starosti síťovou problematiku. 

Pomyslným vrcholem možných technologií a řešení jsou pak tzv. SOAR, tedy Security Orchestration, Automation and Response – tedy platformy, které vedle propojení široké škály informací automatizují provádění různorodých analýz i potřebných reaktivních kroků. „Na první pohled by se mohlo zdát, že jde vlastně o SIEM, nicméně není tomu tak – SOAR přináší pokročilé možnosti reakcí. Ve skutečnosti bývá SIEM jedním ze vstupů pro SOAR platformu, která díky automatizaci analýz i reakcí posouvá kybernetickou bezpečnost na zcela novou úroveň,“ dodává Marián Daníšek, člen Rady CSO Clubu a IT manažer v ProCare a Svete Zdravia.

Staňte se členem CSO Clubu i vy! Zaregistrujte se na csoclub.cz.