11 Октября 2023 09:14 11 Окт 2023 09:14 |

Поделиться

В России появилась отечественная SOAR нового поколения

Оборотная сторона SIEM

Развитие информационных технологий, ускоренное пандемийными эффектами, привело к общемировому росту числа кибератак, увеличению среднего размера ущерба в результате успешного кибернападения и повышенному вниманию общества к проблематике защиты информации. Одновременно значительно обострился дефицит кадров: по некоторым данным, на текущий момент мировой дефицит ИБ-специалистов характеризуется почти 3,5 миллионами незакрытых вакансий, а за 10 лет общее количество предложений для киберэкспертов увеличилось почти в 4 раза.

В подобных условиях на уже трудоустроенных работников ИБ-отрасли возлагаются повышенная ответственность и нагрузка: приходится работать с большим числом киберинцидентов, настраивать СЗИ, заниматься отчетностью и бумажной работой. При этом количество СЗИ непрерывно увеличивается для минимизации всё новых киберрисков по мере технологического развития компании и цифровой трансформации бизнес-процессов. Логичным шагом становится формирование запроса на консолидацию всех событий, оповещений, алертов от «зоопарка» СЗИ — так в компании начинают задумываться над приобретением SIEM-системы.

Современные SOC-центры и группы по реагированию на киберинциденты, также как и провайдеры MSS, обычно представляются как команда ИБ-специалистов и процессов, объединенных вокруг главного и основного инструмента — системы SIEM, которая обрабатывает данные от самых разных элементов информационной инфраструктуры, начиная с сетевых устройств и заканчивая бизнес-приложениями. Однако для небольших ИБ-отделов работа с SIEM-системой становится лишь дополнительной нагрузкой: первоначальная настройка, администрирование, написание парсеров и правил корреляции, настройка источников и их мониторинг, работа с огромным количеством ложноположительных срабатываний (особенно в первые полгода-год), непрерывный тюнинг SIEM-системы отнимают и без того дефицитные человеческие ресурсы. И в итоге, даже если все необходимые предварительные условия были успешно выполнены, и в результате SIEM-системой сформирован содержательный инцидент в релевантном контексте, аналитик ИБ остается один на один с сообщением о вероятной атаке, но без действенных инструментов по дополнительному анализу, локализации и устранению киберинцидента, снижению возможного ущерба, восстановлению после вторжения.

Кто отреагирует на инцидент

Для реализации этого функционала современные вендоры SIEM-решений предлагают дополнительный инструмент — свою фирменную SOAR-систему (разумеется, за дополнительную плату).

Вспомним череду сделок по приобретению SOAR-вендоров крупными игроками и производителями SIEM-систем: IBM купила Resilient в 2016, FireEye купила Invotas также в 2016, Rapid7 купила Komand в 2017, Splunk купила Phantom в 2018, Palo Alto Networks купила Demisto в 2019, Sumo Logic купила DFLabs в 2021, а в 2022 году Google купила Siemplify. Для покупателей, конечно же, декларируется ощутимая выгода от интеграции SIEM и SOAR «под одной крышей», однако со стороны заказчиков это выглядит скорее как продажа дополнительного продукта, без которого основной — SIEM — не будет эффективен на 100% и не сможет дать максимальной ценности для покупателя.

С развитием технологий SIEM-систем (Гартнер, к слову, дал определение SIEM-системе еще в 2005 году, а первые Log Management/SIEM-решения появились еще в конце прошлого века) в их функционал производителями постепенно добавлялись всё новые функции: сначала появились правила нормализации, таксономии и корреляции, дедупликация, автоопределение типа источника событий ИБ, загружаемые пакеты экспертизы и содержимого, затем — модули инвентаризации активов, анализа уязвимостей, построения и визуализации цепочек атак, выявления аномалий, и, наконец, модуль управления инцидентами (скрипты реагирования, кейс-менеджмент, обогащение данных, отчетность).

При этом максимальную пользу в части основного функционала SIEM-систем — обнаружения инцидентов — по-прежнему дают срабатывания средств защиты: сетевые и хостовые СЗИ (включая EDR, межсетевые экраны, IDS/IPS), системы анализа трафика, решения WAF и DLP, «песочницы», системы управления учетными записями и т.д. — именно эти источники данных будут наиболее полезными для выявления инцидентов при внедрении SIEM-системы. Данные из служб каталогов, с конечных точек и сетевых устройств, от приложений и инфраструктурных серверов, без сомнения, многое могут дать и по результатам корреляции событий от них, и в части обогащения инцидентов, но для эффективной обработки этой информации наличие SIEM-системы непринципиально — платформы обработки и анализа больших данных легко смогут с этим справиться.

Прямо сейчас некоторые мировые SOC-центры делают ставку отнюдь не на SIEM-систему как на «ядро» своего SOC: заинтересованность именитых производителей SIEM-систем в продаже дополнительного проприетарного функционала по реагированию, аналитике киберугроз, выявлению аномалий может привести к так называемому vendor lock-in (привязка к поставщику), который выгоден производителю. Однако пользователь вместе с простотой развертывания и бесшовными интеграциями получает еще и зависимость фактически всей ИБ-инфраструктуры от конкретного вендора, который, как показала практика, может либо внезапно покинуть рынок присутствия, либо закрыть сделку по продаже своего бизнеса более крупному игроку с туманными перспективами для всей линейки продуктов.

Осознавая такой риск, прозорливые руководители SOC-центров и ИБ-департаментов делают ставку на платформы обработки и анализа больших данных с использованием таких технологий, как Apache Spark, Apache Hadoop, Apache Cassandra, Elasticsearch, MongoDB, Microsoft Azure Data Explorer, Microsoft Azure Monitor и т.д. Эти решения предназначены для обработки больших массивов неструктурированных данных, и в них можно переслать любую информацию от совершенно разных систем (не только от ИТ/ИБ-решений, но и из бизнес-приложений, из CRM и ERP-систем, от веб-серверов и мобильных приложений и т.д.) для её консолидации и взаимного обогащения в целях достижения синергетического эффекта и повышения ценности информации. К полученным «озерам данных» (англ. Data Lake) можно предоставить доступ и датамайнерам, и бизнес-аналитикам, и сотрудникам департаментов ИБ и ИТ, и руководителям бизнес-направлений — после должной обработки взаимодействие с агрегированной информацией станет удобным, понятие «избыточные данные» потеряет смысл, а подсчет соотношения затрат и выгод продемонстрирует экономическую целесообразность использования системы анализа данных по сравнению с SIEM.

SOAR нового поколения

Работу с самыми ценными и релевантными для кибербезопасности данными можно доверить решениям класса NG SOAR (Next Generation SOAR): такие системы не только получают информацию из первоисточника (непосредственно от средств защиты), но и взаимодействуют с СЗИ без посредников в лице SIEM или систем сбора и пересылки логов. Использование современных API-методов взаимодействия между СЗИ и NG SOAR позволяет не только расширить функционал подобных интеграций (по сравнению с SIEM-системами), но и обеспечить оперативную отправку управляющих сигналов от NG SOAR к СЗИ (например, для завершения подозрительного процесса, остановки службы, блокирования сетевого взаимодействия с определенным IP-адресом, сетевой изоляции устройства, перезагрузки и т.д.). Задача тонкого тюнинга СЗИ для недопущения ложноположительных срабатываний важна вне контекста применения SIEM-систем — без такой настройки говорить о кибербезопасности не приходится. Таким образом, решается вопрос с избыточными нерелевантными событиями, которые потребляют значительные ресурсы ИБ-специалистов: после настройки СЗИ в соответствии с корпоративными политиками ИБ и с учетом специфики инфраструктуры, в NG SOAR будут передаваться только истинно положительные срабатывания, которых будет немного, но с каждым из них надо будет внимательно разобраться.

Исторически и технически сложилось, что средства SOAR имеют корреляционный механизм, но не имеют набора готовых правил корреляции. Механизм как правило использовался для гибкой настройки процесса реагирования и обогащения. Решения класса NG SOAR по факту включают как корреляционный механизм, так и набор базовых правил корреляции, обеспечивающий baseline по детектированию инцидентов с возможностью расширения своими правилами корреляции. Это необходимо на инфраструктурах, где покупка отдельно стоящих систем (SIEM, VM, IRP, SOAR и др.) невозможна по инфраструктурным или коммерческим соображениям.

Решения класса NG SOAR самостоятельно могут осуществить триаж (первичное категорирование) поступивших от СЗИ оповещений, приоритизировать инциденты, выбрать подходящий сценарий реагирования и оперативно предпринять контрмеры по локализации инцидента для недопущения его распространения и нанесения значимого ущерба компании. Взаимодействие с СЗИ для выполнения действий по активному реагированию (отправки управляющих сигналов) целесообразно выполнять современными способами через API-интеграции, при этом для СЗИ, не поддерживающих API, сохраняется возможность подключения к ним по SSH, RPC, MSSQL и т.д.

В системах NG SOAR применяются методы машинного обучения (англ. ML – Machine Learning) и статистического анализа свойств инцидентов для выявления аномалий и возможных незамеченных ранее киберинцидентов в инфраструктуре (механизм UEBA – User and Entity Behavior Analytics), а также для прогнозирования дальнейших шагов атакующих и развития инцидента для выбора оптимальных мер противодействия. Функционал аналитики киберугроз (встроенная платформа Threat Intelligence Platform, TIP) и механизмы обогащения данных по инцидентам из внешних и внутренних (в т.ч. Data Lake) источников, доступные в NG SOAR, позволяют контекстуализировать сведения по инциденту, предоставляя ИБ-аналитику полную картину опасности и масштаба инцидента, затронутых сущностей и элементов инфраструктуры, а также взаимосвязь инцидентов, артефактов, индикаторов компрометации друг с другом.

Следует также отметить, что одной из важнейших задач для многих российских компаний является формирование и отправка отчетности по киберинцидентам в НКЦКИ (через систему ГосСОПКА), ФинЦЕРТ (через интерфейс АСОИ), Роскомнадзор и в отраслевые CERT; при этом для субъектов КИИ, операторов ПДн, организаций финансовой сферы законодательно определены строгие нормативы по срокам и содержанию отправляемых уведомлений. Кроме того, от организаций требуется получать бюллетени безопасности, своевременно давать ответы на запросы, обмениваться информацией с указанными структурами. Для автоматизации такого взаимодействия решения класса NG SOAR предлагают встроенный функционал для отправки уведомлений и обмена данными с указанными структурами, а также для создания внутренней отчетности и визуализации состояния киберзащищенности компании в целях обеспечения ситуационной осведомленности руководителей.

За последние два года платформа Security Vision эволюционировала в экосистему продуктов автоматизации ИБ, флагманом которой является наш новый продукт по реагированию на киберугрозы следующего поколения — первый на российском рынке Next Generation SOAR.

Развитие инструментария по реагированию от IRP к SOAR и от SOAR к NG SOAR видится логичным и закономерным в построении замкнутого цикла решения задачи. Security Vision NG SOAR является композитом технологий и функций, сфокусированным прицельно на автоматическом обнаружении и решении киберинцидентов «на лету» в соответствии с полным циклом фаз обработки инцидента (NIST).

8 задач, чтобы перезапустить инженерную школу в России

импортонезависимость

Функции Security Vision NG SOAR на разных фазах обработки инцидентов (NIST) решают задачи таких систем как AM, VM, SIEM, IRP, LM, SGRC, SOAR, TIP, UEBA и др., прямо необходимые для фокусного реагирования на угрозы ИБ полного цикла.

Фазы обработки инцидента (NIST)

В продукте реализованы механизмы детектирования инцидентов кибербезопасности, уникальные методы расследования и реагирования на основе технологии динамических плейбуков и машинного обучения. Все этапы обработки инцидентов максимально автоматизированы и отличаются современным объектно-ориентированным подходом.

Дмитрий Балдин, «РусГидро»: Вынужденный переход на open source приводит к увеличению поверхности кибератак

безопасность

Основная идея концепции динамических плейбуков заключается в автоматической адаптации планов реагирования под конкретную ситуацию сработавшего инцидента: система автоматически анализирует событие, его атрибуты, технику атаки, задействованные объекты и на основании этой информации автоматически выстраивает нужный плейбук с помощью входящих в продукт атомарных сценариев реагирования. За счет ретроспективного анализа окрестностей инцидента Security Vision NG SOAR определяет цепочку атаки и выстраивает реагирование, исходя из полученных объектов.

Такой подход не требует сложной предварительной разработки и настройки множества плейбуков, оценки и предрасчета маршрутов атакующего, достижимости инфраструктуры, расчета вариантов атаки, построения карт атак и инфраструктуры сети. Система Security Vision NG SOAR каждый раз собирает подходящий план обработки инцидента.

NG SOAR базируется на единой платформе Security Vision. Заказчикам доступны все преимущества платформы, в том числе широкие возможности кастомизации.

Поделиться

Подписаться на новости Короткая ссылка