Турбина для SOC: как системы SOAR ускоряют реагирование на киберинциденты

Турбина для SOC: как системы SOAR ускоряют реагирование на киберинциденты

Security Orchestration, Automation and Response / система оркестрации, автоматизации и реагирования (SOAR) – один из наиболее эффективных инструментов ускорения работы SOC. Она избавляет специалистов от рутинных задач, систематизирует работу с инцидентами, наполняя их необходимыми данными и контекстом.

image

Автор: Станислав Скусов, пресейл-архитектор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар»

Именно поэтому SOAR становится важным помощником для специалистов SOC (как корпоративных, так и внешних). Её можно сравнить с воздушной турбиной в двигателе внутреннего сгорания. Турбина нагнетает дополнительный воздух и обогащает им топливную смесь в цилиндрах, повышая производительность двигателя. Это прибавляет мощности двигателю, а автомобилю – скорости. Так и SOAR отстраивает и автоматизирует рутинные процессы SOC, увеличивая скорость реакции на инцидент и повышая качество реагирования. Ниже мы рассмотрим, как именно SOAR ускоряет работу SOC, а также какие неочевидные задачи помогает решать.

SOAR ускоряет реагирование

В чем сложность сейчас?

Основным и, пожалуй, главным назначением SOAR является возможность управления жизненным циклом инцидентов и автоматизации процесса реагирования на них. Сейчас эта задача актуальна, как никогда, ведь последние годы мы наблюдаем тенденцию роста числа киберпреступных группировок, совершенствования и усложнения их инструментария, а также увеличение скорости эксплуатации обнаруженных уязвимостей. Стоит понимать, что это уже не те хакеры-самоучки из далёких нулевых. Подход к атаке современных злоумышленников существенно отличается от подхода их «коллег» из прошлого. Раньше хакеры стремились как можно быстрее реализовать свои цели, долго не задерживаясь в инфраструктуре жертвы. Сегодня же они нацелены на длительное присутствие в инфраструктуре, её изучение, поиск уязвимых мест и нанесение точечного, максимально болезненного удара. Инструментарий современного злоумышленника эффективен и технологичен, а используемые уязвимости свежи и пока нигде не описаны.

Не стоит забывать и про человеческий фактор:

- Люди выгорают, поэтому критически важно избавить их от рутинной работы;
- Информации становится слишком много, и без автоматизации обработать весь поток данных практически невозможно;
- Простые инструменты атакующих становятся все доступнее, поэтому на компании обрушивается миллион массовых атак. Из-за них один единственный критический инцидент может остаться без внимания.

Примечательно, что по данным исследования Ponemon Institute, проведенного еще в 2019 году, в ТОП-5 ключевых сложностей для аналитиков SOC входят:

  • постоянно нарастающая нагрузка;
  • отсутствие прозрачности ИТ-инфраструктуры;
  • большое количество срабатываний;
  • сложности приоритизации угроз;
  • слишком большой объем данных.

При этом процесс реагирования на инциденты во многих компаниях далек от совершенства. Он может выглядеть так:

  • его нет вовсе;
  • аналитикам приходится вручную разбирать весь поток инцидентов;
  • процесс выстраивается с помощью Service Desk систем и т.п.

Первый случай мы рассматривать не будем, так как не верим в удачу и обереги от хакеров. Остановимся на двух других.

Ручной разбор инцидентов будет справедлив только для компаний с очень маленькой инфраструктурой и очень квалифицированными сотрудниками ИБ. В противном случае такой подход приводит к быстрому выгоранию аналитиков. А они, как известно, самый ценный кадровый ресурс подразделений ИБ.

В случае с Service Desk надо помнить, что система не предназначена для решения специфических задач ИБ. Ее, конечно, можно доработать, но на это уйдет слишком много времени и сил. И даже после выполненных доработок нет гарантии, что Service Desk будет отвечать ИБ-специфике.

В такой ситуации эффективное реагирование становится практически невозможным без применения дополнительных, современных технологий, таких как SOAR. Основным и, пожалуй, главным ее назначением является управление жизненным циклом инцидента и автоматизация процесса реагирования на него.

Как помогает SOAR?

В арсенале SOAR есть широкий набор инструментов, позволяющих существенно увеличить скорость и качество реагирования. Настройка этих инструментов всегда производится с учетом особенностей и нужд компании.

К таким инструментам относятся:

  1. Автоматизация действий – позволяет осуществлять сбор контекстной информации, связанной с инцидентами и выполнить автоматизированные операции по противодействию на оборудовании.
  2. Агрегация инцидентов – позволяет уменьшить обрабатываемый поток инцидентов, объединив схожие срабатывания коррелятора SIEM. Агрегация особо эффективна против бесконечных внешних сканирований, перебора паролей и прочего «массового шума».
  3. Приоритизация инцидентов – позволяет скорректировать критичность инцидентов на основании дополнительно собранной информации.
  4. Карта рабочего процесса по инциденту - позволяет контролировать текущий статус обработки инцидента (что сделано, какие действия выполняются в данный момент, требуются ли изменения).
  5. Сценарии реагирования (плейбуки) – позволяют объединить в единой логике все возможности вышеописанных инструментов.

В свою очередь Плейбуки могут содержать следующие наборы действий:

  • постановка задач, отправка уведомлений, принятие решений;
  • действия, направленные на блокировку атаки и минимизацию возможных последствий;
  • сбор ключевой информации для расследования инцидента, отправка запросов, запрос событий по инциденту в SIEM;
  • запуск необходимых коннекторов и сценариев реагирования.

Использование плейбуков позволяет сократить время реагирования на инциденты автоматизировать большой объем рутинных процессов SOC, а также упростить взаимодействие между аналитиками и эксплуатирующими подразделениями.

Все описанные выше возможности помогают определить критичность инцидентов, основываясь на данных, недоступных в процессе корреляции на SIEM.

In-house или аутсорсинг?

Итак, SOAR — это эффективный помощник в части реагирования на инциденты. Но когда компания решает приобрести то или иное ИТ- или ИБ-решение, она встает перед выбором: заниматься установкой самостоятельно или отдавать эту задачу на аутсорсинг. Вернёмся к аналогии с воздушной турбиной ДВС. Согласитесь, вы вряд ли станете самостоятельно её устанавливать и настраивать, а доверите это профессионалам. Также и с SOAR. Для тонкой настройки системы и разработки качественного контента необходимо понимание ИБ в целом и работы с инцидентами в частности. Хорошо, если в штате компании есть квалифицированные ИБ-специалисты, которые могут корректно настроить систему. А если нет, то компании пригодится опыт и экспертиза сервис-провайдера. С одной стороны, он понимает специфику отрасли и особенности своего клиента. С другой – знает текущий ИБ-ландшафт и может поддерживать актуальность плейбуков.

Сервис-провайдер может предоставить не только свою экспертизу, но и аренду самой платформы из облака. В этом случае конечный пользователь помимо контента получает преднастроенную SOAR-систему, а ее эксплуатация полностью ложится на плечи провайдера. Контент платформы уже выстроен под инцидентную базу сценариев SOC, и остается только скорректировать процессную часть реагирования под реалии конкретной организации.

SOAR помогает с инвентаризацией ИТ-активов

Ускорение реагирования – не единственный полезный функционал системы. В ведущих SOAR-решениях российского производства присутствует очень полезная функциональная возможность - модуль инвентаризации. Он позволяет существенно ускорить процессы, связанные с локализацией инцидента, сбором дополнительной информации и ликвидацией последствий кибератаки.

Как показывает практика, довольно часто в компаниях учет ИТ-активов осуществляется с помощью нескольких не связанных между собой систем. Причем часто их эксплуатируют разные подразделения, которые могут даже не взаимодействовать друг с другом и не относиться к ИБ. И чем больше организация, тем интереснее и экзотичнее этот «системный зоопарк».

С точки зрения ИБ, это сильно замедляет и усложняет процессы реагирования, ведь у специалистов нет полноценного представления о защищаемой инфраструктуре. Каждый раз аналитикам приходится отправлять запросы в другие подразделения и ждать ответа коллег. При том, что реагирование довольно часто требует оперативной реакции со стороны всех вовлечённых в процесс подразделений.

А с помощью функционала инвентаризации в SOAR в режиме единого окна можно получать и агрегировать сведения об ИТ-активах. В качестве источников могут быть использованы ITSM-системы, сканеры уязвимостей, антивирусы, базы, содержащие сведения об инфраструктуре, и даже таблицы Excel.

Если более детально, то используя систему, можно:

  • вести реестр материальных и нематериальных (домены, ПО и т.п.) ИТ-активов организации;
  • выявлять и вести учет связей между всеми цифровыми активами;
  • сделать полноценную инвентаризацию ИТ-инфраструктуры;
  • сформировать перечень критических ИТ-активов и провести оценку их ценности.

А если системой управляет сервис-провайдер, то компании не нужно искать дополнительные ресурсы или увеличивать нагрузку на действующие подразделения. Кроме того, интеграция SOAR в разрозненную инфраструктуру требует специфичного опыта:

  • знания большого количества разнородных систем;
  • понимания необходимой информации и мест её хранения;
  • умения объединить эти данные и встроить их в процесс реагирования.

Этими знаниями обладают эксперты сервис-провайдера.

SOAR обеспечивает сompliance

Ещё одним бонусом от производителей систем класса SOAR является модуль SGRC (Security Governance, Risk, Compliance). С этим модулем связан блок процессов, которые довольно часто обеспечиваются по остаточному принципу. Я говорю про управление рисками, аудитами и соответствием.

Кажется, что этот блок не так важен, как, например, выявление и реагирование на киберинциденты. Однако многие забывают, что любой compliance основан не на прихотях регуляторов, а на своде лучших практик специфичных для индустрии. То есть эти требования имеют вполне обоснованные причины для выполнения.

Являясь частью SOAR, программная платформа SGRC обеспечивает управление информационной безопасностью с применением интегрированного подхода. С использованием платформы можно автоматизировать следующие процессы:

  • управление рисками;
  • моделирование угроз;
  • оценку соответствия требованиям информационной безопасности (как местным, так и международным);
  • контроль информационных активов;
  • мониторинг состояния информационной безопасности в организации.

Вывод

В самом начале я не просто так привёл сравнение SOAR и воздушной турбины ДВС. В умелых руках специалистов, обладающих достаточным уровнем экспертизы в области мониторинга и реагирования на киберинциденты, платформа способна увеличить мощность и добавить скорости процессам ИБ, делая их более качественными.

SOAR позволяет значительно ускорить и автоматизировать процесс реагирования. Это особенно важно на фоне роста киберугроз, повышения квалификации злоумышленников и постоянного увеличения нагрузки на ИБ-подразделения. В итоге специалистов появляется больше времени и ресурсов на обработку действительно значимых и потенциально более опасных угроз. Кроме этого, SOAR помогает с инвентаризацией ИТ-активов, давая возможность в режиме единого окна получать и агрегировать сведения об всей инфраструктуре компании.

А если компания выбирает подключение SOAR через сервис-провайдера, это еще больше снижает нагрузку на действующие подразделения, ведь установку, обслуживание и экспертизу обеспечивают специалисты провайдера.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!