Wykrywanie i reakcja na zagrożenia
Jak zautomatyzować i przyspieszyć pracę SOC?
Wyzwanie
Wiele organizacji zmaga się z problemem przeciążenia pracy działu bezpieczeństwa. W jednej z firm z branży energetycznej produkt klasy SIEM odnotował nawet 2 000 000 000 zdarzeń w ciągu tygodnia. Przejrzenia wymagało ponad 12 000 z nich. Zespół bezpieczeństwa był w stanie w tym czasie obsłużyć tylko 700 – a to zdecydowanie za mało względem zapotrzebowania.
Co więcej, okazało się, że od momentu wypłynięcia informacji o zdarzeniu do jego zamknięcia mijało ponad 200 godzin. Jednak sam czas wymagany na jego obsługę wynosił zaledwie 20 minut.
Jak automatyzować i przyspieszać pracę SOC w przypadku takich sytuacji? Jakie są powody, że tak niewielki procent prac jest obsługiwany?
Wynika to z:
- Przeciążenia zespołu zadaniami.
- Braku priorytetyzacji zadań.
- Zbyt długiego czasu od zaistnienia incydentu do podjęcia działań.
- Długiego czasu obsługi powtarzalnych incydentów.

Rozwiązanie
Sztuczna inteligencja jest ratunkiem dla organizacji narażonych na dużą liczbę ataków. Automatyzacja powtarzalnych procesów odciąża zespoły SOC od wykonywania żmudnych czynności i tym samym przyspiesza oraz usprawnia ich pracę. Wdrożenie rozwiązania klasy SOAR – Security Orchestration, Automation and Response pomaga uporządkować procesy reagowania na incydenty oraz lepiej kontrolować ich przebieg. Wspiera także skuteczniejsze zarządzanie zdarzeniami bezpieczeństwa w organizacji.
Nowoczesny SOC wymaga automatyzacji zadań i kierunkowania priorytetów w obsłudze incydentów oraz celniejszego odróżniania ich od false positive’ów na wczesnym etapie obsługi. Rozwiązaniem SOAR, które kompleksowo realizuje potrzeby dzisiejszych działów cybersec jest Cortex XSOAR od Palo Alto Networks.
Efekty
Udało się zwiększyć wydajność zespołu bezpieczeństwa przekierowując jego energię z prostych, powtarzalnych zadań na obsługę bardziej wymagających incydentów.
Skróceniu uległ także czas obsługi incydentu. Tym samym integracja narzędzia z architekturą rozwiązań informatycznych organizacji znacząco przyczyniła się do zwiększenia jej bezpieczeństwa cybernetycznego.
0 min
obniżenie czasochłonności obsługi nawet do zera dla 80% zdarzeń - z uwagi na ich powtarzalność i małą istotność
10 min
obniżenie czasochłonności obsługi 19% zdarzeń do 10 minut - z uwagi na usprawnienie i udrożnienie procesów
5 min
Skrócenie średniego czasu życia incydentu z 200 godzin do 5-30 minut dzięki priorytetyzacji zadań.