Giải pháp SOAR – Điều Phối An Ninh, Tự Động Hoá và Phản Hồi
Hoạt động giám sát an ninh an toàn thông tin trong các hệ thống ngày càng được chú trọng và đầu tư lớn. Khi các mối đe dọa trên không gian mạng ngày một lớn đồng thời hệ thống của các tổ chức/doanh nghiệp ngày càng được mở rộng theo xu hướng phát triển của thế giới dẫn đến những thách thức trong lĩnh vực đảm bảo an toàn thông tin cho hệ thống công nghệ thông tin. Để giải quyết các vấn đề trên các Trung tâm SOC cần phân tích và điều phối tự động khi xảy ra các sự kiện/ sự cố an toàn thông tin. SOAR là giải pháp thu thập thông tin về các mối đe dọa an ninh từ nhiều nguồn khác nhau và thực hiện xử lý các sự cố cấp thấp mà không cần con người
SOAR thuật ngữ trong an toàn an ninh thông tin mạng mô tả giải pháp thu thập dữ liệu về các mối đe dọa bảo mật và chống lại các cuộc tấn công bảo mật nhỏ mà không cần sự sự giúp đỡ, điều khiển của con người. Mục dịch của SOAR là nâng cao hiệu quả của các hoạt động bảo mật. Thuật ngữ SOAR được công ty nghiên cứu Gartner tạo ra, được áp dụng cho các sản phẩm và dịch vụ giúp xác định, ưu tiên, tiêu chuẩn hóa và tự động hóa các chức năng ứng phó sự cố.Giải pháp SOAR, hay còn được biết tới với tên Endpoint Detection and
Response như 1 quy trình bao gồm sự
điều phối an ninh, tự động hoá và phản hồi; đây là một giải pháp cho phép
các tổ chức, doanh nghiệp hoặc các trung tâm an ninh mạng tối ưu hóa các hoạt động
bảo mật bên trong hệ thống và liên quan đến ba lĩnh vực chính sau đây:
- Quản lý các sự cố
- Phản hồi lại sự cố
- Tự động hóa các hoạt động.
SOAR cho phép việc tổng hợp các giải
pháp bảo mật an ninh và các công cụ bảo mật, giúp người quản trị có thể tự
động thu thập dữ liệu từ các thiết bị, sản phẩm hoặc giải pháp nào đó mà được
được giám sát bởi một bộ phận vận hành bảo mật và có thể xác định được các sự cố,
rủi ro và đưa ra các phản hồi đối với các sự kiện tương ứng, có thể là tự động
hoặc thủ công.
Tầm quan trọng của SOAR
Hầu hết ở các tổ chức và doanh nghiệp, hạ tầng CNTT
luôn phát triển mỗi ngày mỗi khi có sự thay đổi về hệ thống, khi một máy chủ, một
công cụ hoặc một phần mềm mới được tích hợp thêm vào. Do đó, hàng trăm sản phẩm
công nghệ, các
giải pháp bảo mật từ nhiều nhà cung cấp khác nhau được đưa vào hoạt động và
tất cả đã tạo ra một “nền tảng bảo mật” riêng biệt.
Trong trường hợp này, các nhân sự thuộc đội bảo mật thường
xuyên phải đối mặt với các sự cố 1 cách thủ công, các công cụ an ninh không được
hợp nhất với nhau, thao tác rườm rà, hoạt động từ phân rã từ nhiều bộ phận, vận
hành không theo quy trình cụ thể, tốn nhiều thời gian phát hiện, quá trình xử
lý kéo dài, thiệt hại nặng nề, năng suất bảo mật kém hiệu quả.
Do vậy, cần phải đầu tư một giải pháp có thể cải thiện
và khắc phục các vấn đề như trên, và SOAR có khả năng giải quyết được.
Một số tính năng chính của giải pháp SOAR
· Hợp lý hóa và chuẩn hóa các quy trình, thiết lập tự động
hóa và điều phối, hoặc tận dụng sức mạnh của các nền tảng cao cấp (ví dụ MITRE
ATT & CK, …)
· Phối hợp với bảo mật, tự động hóa và phản hồi được
tích hợp đầy đủ.
· Khả năng quản lý theo từng sự cố mạng (Case
Management), và hỗ trợ công cụ tạo chuỗi làm việc hiệu quả cho quản trị viên
(Work-flow).
· Hỗ trợ đo lường và báo cáo thời gian phát hiện, thời
gian phản ứng, thời gian xác nhận và thời gian điều tra (Mean-Time-To-Detect
(MTTD), Mean-Time-To-Respond (MTTR), …)
· Khả năng quản lý sự cố tập trung, cung cấp khả năng cập
nhật theo thời gian thực các trạng thái của sự cố đang tức thời diễn ra trong hệ
thống (Đang hoạt động, Đã đóng, …)
· Kết hợp các phản ứng với sự cố, tự động hoặc thủ
công, ví dụ cách ly thiết bị cuối, ngăn chặn người dùng, thu thập dữ liệu máy
tính (trong trường hợp mã độc, hỗ trợ khả năng thu thập dữ liệu điều tra từ những
thiết bị cuối đáng ngờ), ngăn chặn truy cập mạng bằng các kết hợp với tường lửa
thế hệ mới, ngắt tiến trình đáng ngờ đang chạy trên thiết bị người dùng, …
Nhận xét
Đăng nhận xét