Security Orchestration, Automation and Response / система оркестрации, автоматизации и реагирования (SOAR) – один из наиболее эффективных инструментов ускорения работы SOC. Она избавляет специалистов от рутинных задач, систематизирует работу с инцидентами, наполняя их необходимыми данными и контекстом.
Автор: Станислав Скусов, пресейл-архитектор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар»
Именно поэтому SOAR становится важным помощником для специалистов SOC (как корпоративных, так и внешних). Её можно сравнить с воздушной турбиной в двигателе внутреннего сгорания. Турбина нагнетает дополнительный воздух и обогащает им топливную смесь в цилиндрах, повышая производительность двигателя. Это прибавляет мощности двигателю, а автомобилю – скорости. Так и SOAR отстраивает и автоматизирует рутинные процессы SOC, увеличивая скорость реакции на инцидент и повышая качество реагирования. Ниже мы рассмотрим, как именно SOAR ускоряет работу SOC, а также какие неочевидные задачи помогает решать.
Основным и, пожалуй, главным назначением SOAR является возможность управления жизненным циклом инцидентов и автоматизации процесса реагирования на них. Сейчас эта задача актуальна, как никогда, ведь последние годы мы наблюдаем тенденцию роста числа киберпреступных группировок, совершенствования и усложнения их инструментария, а также увеличение скорости эксплуатации обнаруженных уязвимостей. Стоит понимать, что это уже не те хакеры-самоучки из далёких нулевых. Подход к атаке современных злоумышленников существенно отличается от подхода их «коллег» из прошлого. Раньше хакеры стремились как можно быстрее реализовать свои цели, долго не задерживаясь в инфраструктуре жертвы. Сегодня же они нацелены на длительное присутствие в инфраструктуре, её изучение, поиск уязвимых мест и нанесение точечного, максимально болезненного удара. Инструментарий современного злоумышленника эффективен и технологичен, а используемые уязвимости свежи и пока нигде не описаны.
Не стоит забывать и про человеческий фактор:
- Люди выгорают, поэтому критически важно избавить их от рутинной работы;
- Информации становится слишком много, и без автоматизации обработать весь поток данных практически невозможно;
- Простые инструменты атакующих становятся все доступнее, поэтому на компании обрушивается миллион массовых атак. Из-за них один единственный критический инцидент может остаться без внимания.
Примечательно, что по данным исследования Ponemon Institute, проведенного еще в 2019 году, в ТОП-5 ключевых сложностей для аналитиков SOC входят:
При этом процесс реагирования на инциденты во многих компаниях далек от совершенства. Он может выглядеть так:
Первый случай мы рассматривать не будем, так как не верим в удачу и обереги от хакеров. Остановимся на двух других.
Ручной разбор инцидентов будет справедлив только для компаний с очень маленькой инфраструктурой и очень квалифицированными сотрудниками ИБ. В противном случае такой подход приводит к быстрому выгоранию аналитиков. А они, как известно, самый ценный кадровый ресурс подразделений ИБ.
В случае с Service Desk надо помнить, что система не предназначена для решения специфических задач ИБ. Ее, конечно, можно доработать, но на это уйдет слишком много времени и сил. И даже после выполненных доработок нет гарантии, что Service Desk будет отвечать ИБ-специфике.
В такой ситуации эффективное реагирование становится практически невозможным без применения дополнительных, современных технологий, таких как SOAR. Основным и, пожалуй, главным ее назначением является управление жизненным циклом инцидента и автоматизация процесса реагирования на него.
В арсенале SOAR есть широкий набор инструментов, позволяющих существенно увеличить скорость и качество реагирования. Настройка этих инструментов всегда производится с учетом особенностей и нужд компании.
К таким инструментам относятся:
В свою очередь Плейбуки могут содержать следующие наборы действий:
Использование плейбуков позволяет сократить время реагирования на инциденты автоматизировать большой объем рутинных процессов SOC, а также упростить взаимодействие между аналитиками и эксплуатирующими подразделениями.
Все описанные выше возможности помогают определить критичность инцидентов, основываясь на данных, недоступных в процессе корреляции на SIEM.
Итак, SOAR — это эффективный помощник в части реагирования на инциденты. Но когда компания решает приобрести то или иное ИТ- или ИБ-решение, она встает перед выбором: заниматься установкой самостоятельно или отдавать эту задачу на аутсорсинг. Вернёмся к аналогии с воздушной турбиной ДВС. Согласитесь, вы вряд ли станете самостоятельно её устанавливать и настраивать, а доверите это профессионалам. Также и с SOAR. Для тонкой настройки системы и разработки качественного контента необходимо понимание ИБ в целом и работы с инцидентами в частности. Хорошо, если в штате компании есть квалифицированные ИБ-специалисты, которые могут корректно настроить систему. А если нет, то компании пригодится опыт и экспертиза сервис-провайдера. С одной стороны, он понимает специфику отрасли и особенности своего клиента. С другой – знает текущий ИБ-ландшафт и может поддерживать актуальность плейбуков.
Сервис-провайдер может предоставить не только свою экспертизу, но и аренду самой платформы из облака. В этом случае конечный пользователь помимо контента получает преднастроенную SOAR-систему, а ее эксплуатация полностью ложится на плечи провайдера. Контент платформы уже выстроен под инцидентную базу сценариев SOC, и остается только скорректировать процессную часть реагирования под реалии конкретной организации.
Ускорение реагирования – не единственный полезный функционал системы. В ведущих SOAR-решениях российского производства присутствует очень полезная функциональная возможность - модуль инвентаризации. Он позволяет существенно ускорить процессы, связанные с локализацией инцидента, сбором дополнительной информации и ликвидацией последствий кибератаки.
Как показывает практика, довольно часто в компаниях учет ИТ-активов осуществляется с помощью нескольких не связанных между собой систем. Причем часто их эксплуатируют разные подразделения, которые могут даже не взаимодействовать друг с другом и не относиться к ИБ. И чем больше организация, тем интереснее и экзотичнее этот «системный зоопарк».
С точки зрения ИБ, это сильно замедляет и усложняет процессы реагирования, ведь у специалистов нет полноценного представления о защищаемой инфраструктуре. Каждый раз аналитикам приходится отправлять запросы в другие подразделения и ждать ответа коллег. При том, что реагирование довольно часто требует оперативной реакции со стороны всех вовлечённых в процесс подразделений.
А с помощью функционала инвентаризации в SOAR в режиме единого окна можно получать и агрегировать сведения об ИТ-активах. В качестве источников могут быть использованы ITSM-системы, сканеры уязвимостей, антивирусы, базы, содержащие сведения об инфраструктуре, и даже таблицы Excel.
Если более детально, то используя систему, можно:
А если системой управляет сервис-провайдер, то компании не нужно искать дополнительные ресурсы или увеличивать нагрузку на действующие подразделения. Кроме того, интеграция SOAR в разрозненную инфраструктуру требует специфичного опыта:
Этими знаниями обладают эксперты сервис-провайдера.
Ещё одним бонусом от производителей систем класса SOAR является модуль SGRC (Security Governance, Risk, Compliance). С этим модулем связан блок процессов, которые довольно часто обеспечиваются по остаточному принципу. Я говорю про управление рисками, аудитами и соответствием.
Кажется, что этот блок не так важен, как, например, выявление и реагирование на киберинциденты. Однако многие забывают, что любой compliance основан не на прихотях регуляторов, а на своде лучших практик специфичных для индустрии. То есть эти требования имеют вполне обоснованные причины для выполнения.
Являясь частью SOAR, программная платформа SGRC обеспечивает управление информационной безопасностью с применением интегрированного подхода. С использованием платформы можно автоматизировать следующие процессы:
В самом начале я не просто так привёл сравнение SOAR и воздушной турбины ДВС. В умелых руках специалистов, обладающих достаточным уровнем экспертизы в области мониторинга и реагирования на киберинциденты, платформа способна увеличить мощность и добавить скорости процессам ИБ, делая их более качественными.
SOAR позволяет значительно ускорить и автоматизировать процесс реагирования. Это особенно важно на фоне роста киберугроз, повышения квалификации злоумышленников и постоянного увеличения нагрузки на ИБ-подразделения. В итоге специалистов появляется больше времени и ресурсов на обработку действительно значимых и потенциально более опасных угроз. Кроме этого, SOAR помогает с инвентаризацией ИТ-активов, давая возможность в режиме единого окна получать и агрегировать сведения об всей инфраструктуре компании.
А если компания выбирает подключение SOAR через сервис-провайдера, это еще больше снижает нагрузку на действующие подразделения, ведь установку, обслуживание и экспертизу обеспечивают специалисты провайдера.