SIEM SOAR XDR WTF?

W dzisiejszym świecie cyberbezpieczeństwa, terminy takie jak SIEM, SOAR i XDR są często używane, ale co one właściwie oznaczają i jak mogą pomóc w ochronie Twojej organizacji?

SIEM - Security Information and Event Management

Centralny system zbierania, przechowywania, analizy i korelacji logów oraz dzienników zdarzeń z całej organizacji. System zbiera dane z różnych źródeł, takich jak serwery, aplikacje czy urządzenia sieciowe, a następnie analizuje te dane, aby wykryć potencjalne zagrożenia i anomalie. Dzięki temu że SIEM w jednym miejscu posiada logi z wszystkich możliwych źródeł, potrafi je właściwie wiązać i interpretować, jest doskonałym narzędziem umożliwiającym na szybką analizę i korelację zdarzeń po incydencie. Dzięki SIEM administratorzy bezpieczeństwa są w stanie w sposób automatyczny wychwycić podejrzane zachowania użytkowników lub urządzeń a także wykryć zewnętrzne ataki na infrastrukturę.

SOAR - Security Orchestration, Automation and Response

Narzędzie które pomaga automatyzować i koordynować reakcje na incydenty bezpieczeństwa. W odróżnieniu od SIEM który skupia się na zbieraniu danych, oraz wykrywaniu incydentów, SOAR pozawala na automatyczną reakcję na wykryte incydenty. Systemy SOAR najczęściej integrowane są z systemami SIEM (jako źródło danych i miejsce gdzie tworzone są incydenty), systemami analizy zagrożeń jak firewall, Threat Prevention, IPS (by automatycznie blokować ruch sieciowy), systemami zarządzania tożsamością i dostępem IAM (by blokować użytkowników lub urządzenia). System wspiera także Threat Hunting, pozwala też na automatyczne patchowanie, czy rekonfigurację urządzeń. Dzięki SOAR zwiększa się efektywność operacji bezpieczeństwa eliminując rutynowe działania i pozwalając działom bezpieczeństwa skupiać się na bardziej skomplikowanych incydentach. Skraca też czas reakcji, efektywniej wykorzystuje zasoby co umożliwia lepsze skalowanie operacji bezpieczeństwa.

IAM - Identity and Access Management

System zarządzania tożsamościami i dostępem, który kontroluje, kto i w jaki sposób może uzyskać dostęp do zasobów organizacji. Pozwala na tworzenie, modyfikowanie i usuwane kont użytkowników oraz zarządzanie ich danymi osobowymi, definiowanie i egzekwowanie polityk dostępu. Systemy IAM pozwalają na autoryzację dostępu użytkowników do zasobów, autentykację czyli weryfikację przed udzielaniem dostępu a także monitorowanie i raportowanie umożliwiające śledzenie aktywności użytkowników.

SOC - Security Operations Center

Jednostka w organizacji, która zajmuje się monitorowaniem, wykrywaniem, analizą i reagowaniem na incydenty związane z cyberbezpieczeństwem. Zespół SOC sposób ciągły (24h/dobę) śledzi aktywność sieciową i systemową w celu wykrywania potencjalnych zagrożeń. Identyfikuje anomalie i podejrzane działania, bada i ocenia ryzyka wykrytych zagrożeń aby zrozumieć ich naturę i potencjalny wpływ na organizację. Ostatecznie reaguje na incydenty podejmując działania mające na celu neutralizację zagrożeń i minimalizację szkód.

PAM - Privileged Access Management

Rozwiązanie służące do zarządzania dostępem uprzywilejowanym. Chroni krytyczne zasoby IT przed nieautoryzowanym dostępem. Działają poprzez monitorowanie, kontrolowanie i ograniczanie dostępu do kont uprzywilejowanych, takich jak konta administratorów, co pomaga zapobiegać naruszeniom bezpieczeństwa.

IPAM - IP Address Management

System przeznaczony do wsparcia w planowaniu, śledzeniu i zarządzaniu przestrzenią adresową protokołu IP w sieci komputerowej. System umożliwia zespołom w organizacji zaplanowanie podziału adresaci sieciowej. Integruje się z innymi systemami jak DHCP, DNS w celu kompleksowego zarządzania i monitorowania wykorzystania adresów sieciowych.

TIP - Threat Intelligence Platform

Narzędzie, które zbiera, analizuje i dystrybuuje informacje o zagrożeniach z różnych źródeł. TIP pomaga organizacjom w identyfikacji, priorytetyzacji i reagowaniu na zagrożenia poprzez dostarczanie kontekstowych i aktualnych danych o zagrożeniach.

UEBA - User and Entity Behavior Analytics

Narzędzia analityczne, które monitorują i analizują zachowania użytkowników oraz urządzeń w sieci a ich głównym celem jest wykrywanie anomalii, które mogą wskazywać na potencjalne zagrożenia bezpieczeństwa, np. ataki wewnętrzne czy kradzież danych. Wykorzystują techniki uczenia maszynowego, dzięki czemu pomagają w szybszej identyfikacji i reagowaniu na nietypowe aktywności.

EDR - Endpoint Detection and Response

Monitoruje, wykrywa i reaguje na zagrożenia na urządzeniach końcowych, takich jak komputery, laptopy i serwery. EDR analizuje dane w czasie rzeczywistym, identyfikuje podejrzane aktywności i automatycznie podejmuje działania w celu neutralizacji zagrożeń.

NDR - Network Detection and Response

Monitoruje i analizuje ruch sieciowy w celu wykrywania i reagowania na zagrożenia. Wykorzystują techniki takie jak uczenie maszynowe i analiza behawioralna, aby identyfikować anomalie i podejrzane aktywności, które mogą wskazywać na ataki lub inne zagrożenia.

XDR - Extended Detection and Response

Integrują różne narzędzia i technologie w celu skutecznego wykrywania, analizowania i reagowania na zaawansowane zagrożenia cybernetyczne. XDR rozszerza możliwości EDR poza urządzenia końcowe, obejmując również sieci, serwery, chmurę i inne elementy infrastruktury IT.

UTM - Unified Threat Management

Kompleksowe rozwiązania bezpieczeństwa IT, które integrują różne funkcje ochrony, takie jak firewall, antywirus, filtrowanie treści, VPN i wykrywanie intruzów, w jednym urządzeniu.

TEM - Threat Emulation

Systemy które przed dostarczeniem plików do odbiorców a pobieranych z sieci Internet lub przesłanych do skrzynki e-mail uruchamiają te załączniki w wirtualnym kontrolowanym środowisku poszukując niebezpiecznych operacji w systemie jakie te pliki mogą próbować wykonać. Chroni to przed zaawansowanymi atakami celowanymi przy użyciu nieznanych podatności.

TEX - Threat Extraction

Rozwiązanie będące usprawnieniem rozwiązania TEM. W czasie gdy załączniki są poddawane testom w środowisku TEM, rozwiązanie dostarcza pozbawione potencjalnie niebezpiecznych elementów obrazy plików w formie czystych plików pdf bez aktywnej zawartości. Dzięki temu pliki takie są dostarczane bez zbędnego opóźnienia (w TEM skanowanie może trwać nawet do kilku minut) w sposób wystarczający na zapoznaje się z dokumentem.

ASM - Attack Surface Management

System, procedura lub zestaw narzędzi, które stale wykrywają, monitorują, oceniają, ustalają priorytety i korygują obszary narażone na ataki w infrastrukturze IT przedsiębiorstwa. Pozwala zarządzać ryzykiem związanym z cyberzagrożeniami, identyfikując i eliminując potencjalne luki bezpieczeństwa zanim zostaną one wykorzystane przez atakujących.

DLP - Data Loss Prevention

Rozwiązanie mające na celu zapobieganie niekontrolowanemu wyciekowi danych poprzez monitorowanie, identyfikowanie i blokowanie prób przesyłania poufnych informacji poza firmę, zarówno przez przypadkowe działania pracowników, jak i celowe próby kradzieży danych.

NAC - Network Access Control

Systemy, które kontrolują dostęp do sieci komputerowej na podstawie określonych zasad, takich jak tożsamość użytkownika, stan urządzenia i zgodność z politykami bezpieczeństwa1. NAC umożliwia organizacjom monitorowanie i zarządzanie urządzeniami oraz użytkownikami próbującymi uzyskać dostęp do sieci, zapewniając, że tylko autoryzowane i zgodne z politykami urządzenia mogą się połączyć.