Ostatnie artykuły z naszej stajni, odnoszą się głównie do usług SOC. Idąc za tym trendem, dziś na tapet bierzemy kolejny, pokrewny temat.
Jakie trendy będą rządzić SOC w nadchodzących latach?
Nie ma co się oszukiwać, że na przestrzeni ostatnich lat zespoły SOC przeszły prawdziwą ewolucję. Czasy, gdzie analitycy przeglądają logi ręcznie i polegają wyłącznie na statycznych regułach, zaczynają mijać bezpowrotnie. Dzisiaj SOC zaczyna iść w stronę skomplikowanych zintegrowanych ze sobą ekosystemów, składających się z mechanizmów automatyzacji oraz, sztucznej inteligencji.
Jakie technologie będą dominować w SOC w najbliższych latach? Przyjrzyjmy się kilku.
1. Sztuczna Inteligencja (AI) – Nie ma wątpliwości, że sztuczna inteligencja to topowy kierunek. Najdynamiczniej z tej dziedziny kształtuje się uczenie maszynowe oraz analiza behawioralna. Ich mechanizmy pozwalają systemom na wykrywanie anomalii poprzez analizę wzorców zachowań użytkowników i systemów. Niejednokrotnie pisaliśmy o tym na naszym blogu.
Komercyjne systemy SIEM i XDR coraz częściej wykorzystują algorytmy AI np. do redukcji liczby fałszywych alarmów, blokowania konsekwencji incydentów lub ogólnej priorytetyzacji alertów. Niewątpliwym jest, że w nadchodzących latach zespoły SOC będą jeszcze bardziej polegać na tych technologiach, ponieważ ułatwia to życie analitykom.
2. SOAR, czyli Security Orchestration, Automation and Response – to technologia, która naszpikowana jest mechanizmami automatyzacji i która w najbliższych latach stanie się fundamentem nowoczesnych SOC. Każda firma dąży do optymalizacji kosztów oraz czasu, co za tym idzie, ręczne przetwarzanie incydentów przestaje być po prostu wydajne, gdy lawinowo rośnie liczba alertów.
Dzięki SOAR zespoły SOC mogą automatyzować powtarzalne zadania jak wysyłanie powiadomień, co sumarycznie pozwala przenieść zasoby na bardziej wymagające rzeczy. Na pewno kluczowa będzie dalsza integracja SOAR z AI, celem dalszego rozwoju automatyzacji.
3. Technologia XDR (Extended Detection and Response) – Na rynku można usłyszeć głosy, że mogą one zastąpić tradycyjne SIEMy. Twierdzenie będzie prawdą, jeśli powiemy, że nie tyle co ustępują one miejsca XDR, co są przez niego uzupełniane i rozszerzane. Systemy SIEM,
to podstawa do świadczenia SOC, aby kolekcjonować i dokonywać analizy logów, celem korelacji i uzyskania odpowiedzi czy dane zdarzenie jest tylko zdarzeniem, czy może przerodzić się w incydent.
Integrując system XDR z systemem SIEM, dokładamy funkcjonalności na poziomie detekcji i odpowiedzi na incydent. W skrócie taki ekosystem lepiej radzi sobie z wykrywaniem i neutralizowaniem aktywnych zagrożeń w czasie rzeczywistym. XDR pozwala integrować dane z wielu źródeł – nie tylko końcowych jak w przypadku EDR, ale także sieci, chmury, aplikacji itp. zapewniając pełniejszy obraz danego ataku i tym samym, ułatwiając jego szybkie zneutralizowanie.
W kolejnych latach systemy XDR na pewno będą rozwijać się w kierunku jeszcze większych możliwości aspektu „response”.
4. Threat Intelligence – Biorąc pod uwagę, to jak zaawansowane są dziś cyberataki, zespół SOC nie może oczywiście polegać jedynie na detekcji incydentów w obrębie infrastruktury własnych klientów. Tutaj pojawia się wykorzystanie tzw. threat intelligence – czyli danych o zagrożeniach zbieranych na poziomie globalnym.
Nowoczesne systemy SIEM/XDR posiadają moduły platform threat intelligence. Zespoły SOC dzięki integracji z nimi, posiadają informację o nowych technikach ataków, podejrzanych adresach IP, nowościach na rynku malware itp.
W przyszłości rola threat intelligence wzrośnie w kontekście kompleksowym przygotowaniu zespołów SOC na każdy scenariusz analizy zagrożeń.
5. Zero Trust – jest bardzo prawdopodobne, że zespoły SOC w przyszłości będą opierać się na koncepcji zero trust, czyli zasadzie „nigdy nie ufaj, zawsze weryfikuj”.
Z racji wprowadzenia bardzo rygorystycznych regulacji, zwłaszcza dla sektora publicznego, tradycyjne podejście do bezpieczeństwa, zakładające istnienie zawsze zaufanej strefy wewnętrznej i niezaufanej strefy poza organizacją, już się nie sprawdzi. Polityka zero trust wymaga ciągłej, nieustannej autoryzacji i monitorowania każdej aktywności, niezależnie od jej źródła.
SOC będzie musiał dostosować swoje mechanizmy do wprowadzanych przez rządy regulacji, tak, by działały zgodnie z tą filozofią.
Na sam koniec,
Zawsze warto to przypomnieć – nawet najlepsze systemy nie zastąpią doświadczonych analityków, którzy potrafią myśleć kreatywnie i przewidywać zagrożenia w sposób, w jaki AI nigdy (a przynajmniej jeszcze bardzo długo) nie będzie w stanie.
Wróć
