SOAR là gì?

SOAR (Security Orchestration, Automation and Response) là các công nghệ cho phép các tổ chức thu thập các thông tin được giám sát bởi đội ngũ hoạt động bảo mật, bao gồm:

- Quản lý sự cố;
- Phản hồi lại sự cố;
- Tự động hóa các hoạt động.

Ví dụ như cảnh báo từ hệ thống SIEM và các công nghệ bảo mật khác - nơi phân tích và phân loại sự cố có thể được thực hiện bằng cách kết hợp sức mạnh của con người và máy móc - giúp xác định, đánh giá ưu tiên và thúc đẩy các hoạt động phản ứng sự cố tiêu chuẩn hóa. 


Lợi ích của SOAR - Hợp lý hóa quy trình

Bằng cách tích hợp các công cụ bảo mật và tự động hóa các tác vụ, nền tảng SOAR có thể hợp lý hóa các quy trình bảo mật chung, bao gồm:

- Xử lý nhiều cảnh báo hơn trong thời gian ngắn hơn.

SOAR có thể làm cho các cảnh báo trở nên dễ quản lý hơn bằng cách tập trung hóa dữ liệu bảo mật, làm phong phú thêm các sự kiện và tự động hóa các phản hồi. 

- Kế hoạch ứng phó sự cố phù hợp hơn.

SOC có thể sử dụng cẩm nang SOAR để xác định quy trình ứng phó sự cố tiêu chuẩn, có thể mở rộng cho các mối đe dọa phổ biến. 

Thay vì xử lý các mối đe dọa theo từng trường hợp cụ thể, các nhà phân tích bảo mật có thể kích hoạt cẩm nang thích hợp để khắc phục hiệu quả.

- Tăng cường ra quyết định SOC.

SOC có thể sử dụng bảng điều khiển SOAR để hiểu rõ hơn về mạng của họ và các mối đe dọa mà họ gặp phải. 

Thông tin này có thể giúp SOC phát hiện các thông báo sai, ưu tiên cảnh báo tốt hơn và chọn quy trình phản hồi chính xác.

- Cải thiện cộng tác SOC.

SOAR tập trung dữ liệu bảo mật và quy trình ứng phó sự cố để các nhà phân tích có thể làm việc cùng nhau trong quá trình điều tra. 

SOAR cũng có thể cho phép SOC chia sẻ các số liệu bảo mật với các bên bên ngoài, chẳng hạn như nhân sự, pháp lý và thực thi pháp luật.

null

Ứng dụng SOAR ở các tổ chức lớn - Hỗ trợ theo dõi và ứng phó các mối đe dọa trong bảo mật thông tin

Trong các tổ chức lớn, các trung tâm điều hành bảo mật (SOC) dựa vào nhiều công cụ để theo dõi và ứng phó với các mối đe dọa trên mạng. 

Trong Nghiên cứu tổ chức có khả năng phục hồi mạng năm 2021 của IBM, 29% tổ chức được khảo sát đã triển khai 31–50 công cụ và công nghệ bảo mật khác nhau và 23% đã triển khai 51–100. 

Các công cụ này không phải lúc nào cũng được thiết kế để hoạt động cùng nhau, vì vậy SOC cần tích hợp chúng theo cách thủ công để ứng phó với từng sự cố bảo mật.

Việc tích hợp các công cụ này thủ công rất phức tạp, vì vậy các nền tảng SOAR cung cấp cho SOC bảng điều khiển trung tâm để tự động hóa các tác vụ cấp thấp và quản lý tất cả các cảnh báo bảo mật. 
SOAR giúp giảm thời gian trung bình để phát hiện (MTTD) và thời gian trung bình để phản hồi (MTTR), cải thiện tình hình bảo mật tổng thể. 
Các vi phạm được giải quyết trong vòng chưa đầy 200 ngày khiến các công ty mất trung bình 1,12 triệu USD so với các vi phạm mất hơn 200 ngày để giải quyết.


Lời kết

Có thể thấy, các giải pháp điều phối, tự động hóa và phản hồi bảo mật (SOAR) giúp các nhóm bảo mật tích hợp các công cụ bảo mật, tự động hóa các tác vụ lặp đi lặp lại và tối ưu hóa các quy trình ứng phó sự cố.

Đây là một giải pháp các doanh nghiệp cần tìm hiểu và vận dụng.

Lược dịch có bổ sung từ bài viết của IBM.