14.12.2021 | Турбина для SOC: как системы SOAR ускоряют реагирование на киберинциденты |
Автор: Станислав Скусов, пресейл-архитектор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» Именно поэтому SOAR становится важным помощником для специалистов SOC (как корпоративных, так и внешних). Её можно сравнить с воздушной турбиной в двигателе внутреннего сгорания. Турбина нагнетает дополнительный воздух и обогащает им топливную смесь в цилиндрах, повышая производительность двигателя. Это прибавляет мощности двигателю, а автомобилю – скорости. Так и SOAR отстраивает и автоматизирует рутинные процессы SOC, увеличивая скорость реакции на инцидент и повышая качество реагирования. Ниже мы рассмотрим, как именно SOAR ускоряет работу SOC, а также какие неочевидные задачи помогает решать. SOAR ускоряет реагированиеВ чем сложность сейчас?Основным и, пожалуй, главным назначением SOAR является возможность управления жизненным циклом инцидентов и автоматизации процесса реагирования на них. Сейчас эта задача актуальна, как никогда, ведь последние годы мы наблюдаем тенденцию роста числа киберпреступных группировок, совершенствования и усложнения их инструментария, а также увеличение скорости эксплуатации обнаруженных уязвимостей. Стоит понимать, что это уже не те хакеры-самоучки из далёких нулевых. Подход к атаке современных злоумышленников существенно отличается от подхода их «коллег» из прошлого. Раньше хакеры стремились как можно быстрее реализовать свои цели, долго не задерживаясь в инфраструктуре жертвы. Сегодня же они нацелены на длительное присутствие в инфраструктуре, её изучение, поиск уязвимых мест и нанесение точечного, максимально болезненного удара. Инструментарий современного злоумышленника эффективен и технологичен, а используемые уязвимости свежи и пока нигде не описаны. Не стоит забывать и про человеческий фактор: - Люди выгорают, поэтому критически важно избавить их от рутинной работы; Примечательно, что по данным исследования Ponemon Institute, проведенного еще в 2019 году, в ТОП-5 ключевых сложностей для аналитиков SOC входят:
При этом процесс реагирования на инциденты во многих компаниях далек от совершенства. Он может выглядеть так:
Первый случай мы рассматривать не будем, так как не верим в удачу и обереги от хакеров. Остановимся на двух других. Ручной разбор инцидентов будет справедлив только для компаний с очень маленькой инфраструктурой и очень квалифицированными сотрудниками ИБ. В противном случае такой подход приводит к быстрому выгоранию аналитиков. А они, как известно, самый ценный кадровый ресурс подразделений ИБ. В случае с Service Desk надо помнить, что система не предназначена для решения специфических задач ИБ. Ее, конечно, можно доработать, но на это уйдет слишком много времени и сил. И даже после выполненных доработок нет гарантии, что Service Desk будет отвечать ИБ-специфике. В такой ситуации эффективное реагирование становится практически невозможным без применения дополнительных, современных технологий, таких как SOAR. Основным и, пожалуй, главным ее назначением является управление жизненным циклом инцидента и автоматизация процесса реагирования на него. Как помогает SOAR?В арсенале SOAR есть широкий набор инструментов, позволяющих существенно увеличить скорость и качество реагирования. Настройка этих инструментов всегда производится с учетом особенностей и нужд компании. К таким инструментам относятся:
В свою очередь Плейбуки могут содержать следующие наборы действий:
Использование плейбуков позволяет сократить время реагирования на инциденты автоматизировать большой объем рутинных процессов SOC, а также упростить взаимодействие между аналитиками и эксплуатирующими подразделениями. Все описанные выше возможности помогают определить критичность инцидентов, основываясь на данных, недоступных в процессе корреляции на SIEM. In-house или аутсорсинг?Итак, SOAR — это эффективный помощник в части реагирования на инциденты. Но когда компания решает приобрести то или иное ИТ- или ИБ-решение, она встает перед выбором: заниматься установкой самостоятельно или отдавать эту задачу на аутсорсинг. Вернёмся к аналогии с воздушной турбиной ДВС. Согласитесь, вы вряд ли станете самостоятельно её устанавливать и настраивать, а доверите это профессионалам. Также и с SOAR. Для тонкой настройки системы и разработки качественного контента необходимо понимание ИБ в целом и работы с инцидентами в частности. Хорошо, если в штате компании есть квалифицированные ИБ-специалисты, которые могут корректно настроить систему. А если нет, то компании пригодится опыт и экспертиза сервис-провайдера. С одной стороны, он понимает специфику отрасли и особенности своего клиента. С другой – знает текущий ИБ-ландшафт и может поддерживать актуальность плейбуков. Сервис-провайдер может предоставить не только свою экспертизу, но и аренду самой платформы из облака. В этом случае конечный пользователь помимо контента получает преднастроенную SOAR-систему, а ее эксплуатация полностью ложится на плечи провайдера. Контент платформы уже выстроен под инцидентную базу сценариев SOC, и остается только скорректировать процессную часть реагирования под реалии конкретной организации. SOAR помогает с инвентаризацией ИТ-активовУскорение реагирования – не единственный полезный функционал системы. В ведущих SOAR-решениях российского производства присутствует очень полезная функциональная возможность - модуль инвентаризации. Он позволяет существенно ускорить процессы, связанные с локализацией инцидента, сбором дополнительной информации и ликвидацией последствий кибератаки. Как показывает практика, довольно часто в компаниях учет ИТ-активов осуществляется с помощью нескольких не связанных между собой систем. Причем часто их эксплуатируют разные подразделения, которые могут даже не взаимодействовать друг с другом и не относиться к ИБ. И чем больше организация, тем интереснее и экзотичнее этот «системный зоопарк». С точки зрения ИБ, это сильно замедляет и усложняет процессы реагирования, ведь у специалистов нет полноценного представления о защищаемой инфраструктуре. Каждый раз аналитикам приходится отправлять запросы в другие подразделения и ждать ответа коллег. При том, что реагирование довольно часто требует оперативной реакции со стороны всех вовлечённых в процесс подразделений. А с помощью функционала инвентаризации в SOAR в режиме единого окна можно получать и агрегировать сведения об ИТ-активах. В качестве источников могут быть использованы ITSM-системы, сканеры уязвимостей, антивирусы, базы, содержащие сведения об инфраструктуре, и даже таблицы Excel. Если более детально, то используя систему, можно:
А если системой управляет сервис-провайдер, то компании не нужно искать дополнительные ресурсы или увеличивать нагрузку на действующие подразделения. Кроме того, интеграция SOAR в разрозненную инфраструктуру требует специфичного опыта:
Этими знаниями обладают эксперты сервис-провайдера. SOAR обеспечивает сomplianceЕщё одним бонусом от производителей систем класса SOAR является модуль SGRC (Security Governance, Risk, Compliance). С этим модулем связан блок процессов, которые довольно часто обеспечиваются по остаточному принципу. Я говорю про управление рисками, аудитами и соответствием. Кажется, что этот блок не так важен, как, например, выявление и реагирование на киберинциденты. Однако многие забывают, что любой compliance основан не на прихотях регуляторов, а на своде лучших практик специфичных для индустрии. То есть эти требования имеют вполне обоснованные причины для выполнения. Являясь частью SOAR, программная платформа SGRC обеспечивает управление информационной безопасностью с применением интегрированного подхода. С использованием платформы можно автоматизировать следующие процессы:
ВыводВ самом начале я не просто так привёл сравнение SOAR и воздушной турбины ДВС. В умелых руках специалистов, обладающих достаточным уровнем экспертизы в области мониторинга и реагирования на киберинциденты, платформа способна увеличить мощность и добавить скорости процессам ИБ, делая их более качественными. SOAR позволяет значительно ускорить и автоматизировать процесс реагирования. Это особенно важно на фоне роста киберугроз, повышения квалификации злоумышленников и постоянного увеличения нагрузки на ИБ-подразделения. В итоге специалистов появляется больше времени и ресурсов на обработку действительно значимых и потенциально более опасных угроз. Кроме этого, SOAR помогает с инвентаризацией ИТ-активов, давая возможность в режиме единого окна получать и агрегировать сведения об всей инфраструктуре компании. А если компания выбирает подключение SOAR через сервис-провайдера, это еще больше снижает нагрузку на действующие подразделения, ведь установку, обслуживание и экспертизу обеспечивают специалисты провайдера. |
Проверить безопасность сайта