Blog OChK

Nowoczesne zarządzanie SOC przy użyciu IaC oraz procesów CI/CD

Linkedin logoX logo
Nowoczesne zarządzanie SOC przy użyciu IaC oraz procesów CI/CD
Nowoczesne zarządzanie SOC przy użyciu IaC oraz procesów CI/CD

Koncepcje Infrastructure as Code (IaC) oraz Continuous Integration/Continuous Deployment (CI/CD) są od dawna znane i wykorzystywane w wielu projektach, głównie tych realizowanych w chmurze obliczeniowej oraz związanych z tworzeniem oprogramowania. Czy sprawdzą się także w projektach z kategorii cyberbezpieczeństwa? Jak najbardziej – szczególnie przy wdrażaniu i zarządzaniu systemami klasy SIEM i SOAR. W tym artykule znajdziesz kluczowe informacje na temat tego, jak wspierają one nowoczesne zarządzanie Security Operations Center.

Czym są systemy SIEM i SOAR?

Systemy SIEM (ang. Security Information and Event Management) i SOAR ( ang. Security Orchestration, Automation and Response) stanowią jedne z najbardziej podstawowych narzędzi w zespołach security, zarówno w mniejszych, jak i większych organizacjach – wszędzie tam, gdzie pojawia się wątek monitoringu bezpieczeństwa lub analizy logów. SIEM pozwala gromadzić dane i, do pewnego stopnia, automatycznie je analizować w poszukiwaniu podejrzanych wzorców i korelacji (reguły detekcji), natomiast SOAR usprawnia i automatyzuje proces reagowania na wykryte zagrożenia.

Tradycyjnie systemy klasy SIEM lub SOAR wykorzystywane w zespołach SOC są zazwyczaj zarządzane ręcznie, co stwarza ryzyko wystąpienia niespójności, błędów spowodowanych czynnikiem ludzkim oraz trudności ze skalowaniem. Zastosowanie metodologii IaC oraz CI/CD znacząco przyczynia się do rozwiązywania tych problemów.

Infrastructure as Code w kontekście SOC

W kontekście SOC, Infrastructure as Code obejmuje przede wszystkim przechowywanie konfiguracji oraz elementów infrastruktury w kodzie - zgodnie z podstawową ideą IaC. Jeśli chodzi o systemy SIEM i SOAR, poza samymi zasobami (np. instancją Log Analytic Workspace oraz Microsoft Sentinel przechowywanym w formie kodu Terraform), możesz gromadzić także reguły detekcji, parsery lub playbooki SOAR-owe.

Takie podejście może okazać się szczególnie pomocne w przypadku scenariusza, w którym kod przechowywany jest w repozytorium (np. Git) z kontrolą wersji, wpisując się w ten sposób dodatkowo w ideę SCM (Source Control Management). Repozytorium stanowi wówczas pojedyncze, centralne źródło informacji, w którym łatwo zweryfikujesz każdą zmianę wprowadzoną w zasobach i/lub ich konfiguracji.

CI/CD w procesie zarządzania SOC

Kolejnym kluczowym elementem w zmodernizowanym sposobie zarządzania SOC są potoki CI/CD. Ich implementację możemy podzielić na dwie części.

Continuous Integration (CI)

CI (tłum. ciągła integracja) obejmuje rozwijanie i stałe integrowanie zasobów i konfiguracji we wspólnym repozytorium. W celu zapewnienia niezbędnych standardów oraz spełnienia zarówno wymagań formalnych, jak i technicznych (np. uniknięcie wprowadzenia niedziałającej/wadliwej konfiguracji, która mogłaby narazić system na nieplanowaną przerwę w działaniu), każda zmiana może zostać poddana zautomatyzowanym testom przed dostaniem się na gałąź produkcyjną. Ta dodatkowa warstwa kontroli pozwala większej liczbie osób z zespołów SOC jednocześnie pracować nad rozwiązaniami, bez obaw o narażenie systemów produkcyjnych na szkodę.

Continuous Deployment (CD)

CD (tłum. ciągłe wdrażanie) zakłada etap automatycznego wdrażania zmian w konfiguracji do systemów SIEM i SOAR zaraz po przejściu testów opisanych w paragrafie wyżej i potencjalnych testów akceptacyjnych prowadzonych przez zespół inżynierów SOC. Dzięki takiej budowie procesu, wszelkie zmiany, aktualizacje lub nowe reguły są szybko i w kontrolowany sposób wprowadzane do środowiska.

Kluczowe korzyści z zarządzania SOC za pomocą IaC w połączeniu z procesami CI/CD

  • Spójność i niezawodność – Zautomatyzowanie procesu wdrażania eliminuje ryzyko błędów ludzkich i zapewnia spójność w przypadku różnych środowisk.
  • Szybsze cykle wdrażania – Zmiany i aktualizacje możesz wdrażać szybko, a proces weryfikacji zmiany – częściowo lub w pełni zautomatyzować. To, na przykład, w kontekście wprowadzania nowych reguł detekcji w systemie SIEM, może przekładać się na skrócenie średniego czasu wykrycia (ang. mean time to detect, MTTD).
  • Kontrola wersji – Wszystkie zmiany są śledzone i poddawane kontroli wersji. Dodatkowo, przechowywane są w repozytoriach, co pozwala na pełny audyt, monitorowanie każdej zmiany, a – w razie potrzeby – szybki rollback oraz łatwiejszą współpracę w przypadku dużych zespołów.
  • Automatyzacja testów – Zintegrowane testowanie nowych zmian w potoku CI/CD pozwala zapobiec zakłóceniu istniejących przepływów pracy, a także może zapobiegać wprowadzaniu wadliwej konfiguracji do środowisk produkcyjnych.
  • Skalowalność – Modernizacja i automatyzacja procesu zarządzania SOC zdecydowanie ułatwia skalowalność wraz z rozwojem infrastruktury bezpieczeństwa, a także zarządzanie dużymi środowiskami – nawet wieloma w tym samym czasie.

Kluczowe korzyści z zarządzania SOC za pomocą IaC

Rys. 1: Kluczowe korzyści z zarządzania SOC za pomocą IaC w połączeniu z procesami CI/CD

Przykładowy workflow CI/CD dla wdrożenia reguł detekcji w SIEM

Najłatwiejszym sposobem na szybkie zrozumienie tego, jak w praktyce może wyglądać proces łączenia idei IaC i CI/CD, jest przedstawienie go na konkretnym przykładzie. Przyjmijmy, że w danej organizacji zespół SOC korzysta z SIEM (np. Microsoft Sentinel) i zarządza regułami detekcji poprzez wykorzystanie procesów CI/CD. W takim przypadku, cykl życia procesu wdrażania i/lub dostosowywania istniejących reguł mógłby wyglądać następująco:

1. Rozwój i kontrola źródeł

  • Opracowanie nowych reguł detekcji przez analityków z zespołu ds. bezpieczeństwa, przechowywanie ich w formie kodu i korzystanie z dedykowanej gałęzi w repozytorium Git.
  • Stworzenie pull request, który uruchamia automatyczny potok.

2. Automatyczna walidacja

  • Przeprowadzenie automatycznej, statycznej analizy kodu, w poszukiwaniu np. błędów składni.
  • Przeprowadzenie testów jednostkowych w celu walidacji logiki reguł wykrywania.

3. Testy integracyjne i akceptacyjne

  • Wdrożenie nowych reguł do środowiska testowego; przeprowadzenie symulowanego scenariusza ataków w celu zweryfikowania skuteczności reguł i upewnienia się, że nie generują fałszywych alarmów.

4. Wdrożenie produkcyjne

  • Przeprowadzenie dodatkowych testów akceptacyjnych dla zmian przez inżynierów z zespołu SOC (opcjonalnie).
  • Automatyczne wdrażanie reguł do środowiska produkcyjnego.

Przykładowy workflow CI/CD dla wdrożenia reguł detekcji w SIEM

Rys. 2: Przykładowy workflow CI/CD dla wdrożenia reguł detekcji w SIEM

Podsumowanie

Zarządzanie SOC w myśl SOC as a Code przy użyciu procesów CI/CD zwiększa niezawodność procesów, przejrzystość wprowadzanych zmian i skalowalność środowisk, co jest szczególnie zauważalne w przypadku wdrażania i utrzymania systemów klasy SIEM i SOAR. Zastosowanie takiego podejścia pozwala także na efektywną współpracę zespołów i wyeliminowanie błędów typowych dla zarządzania metodą ręczną, przy jednoczesnym monitorowaniu ryzyka wprowadzenia niepożądanej zmiany w środowisku produkcyjnym.

Przyjęcie metodologii IaC oraz CI/CD oznacza krok w stronę znaczącej modernizacji działania zespołów SOC, który pozwala nie tylko pozostawać na bieżąco z nieustannie zmieniającym się krajobrazem usług w sektorze cybersecurity/compliance, ale także zapewnia gotowość na przyszłe wyzwania.

Opublikowane:

Autor:

Mateusz Mędel

Security Analyst

Linkedin logo

Powiązane lub podobne posty

Jak budować efektywne kosztowo rozwiązania serverless z Google Cloud Run?

6 najlepszych praktyk budowania efektywnych kosztowo rozwiązań serverless z Google Cloud Run

Mateusz Mazur

blog
Jak Azure DevOps wspomaga pracę przy projektach IT

Od planowania po automatyzację, czyli jak Azure DevOps wspomaga pracę przy projektach IT

Kamil Konderak

blog
Jak zbudować skuteczne rozwiązania Machine Learning w 3 krokach?

Jak zbudować skuteczne rozwiązania Machine Learning w 3 krokach?

Michał Hakenberg

blog