SOAR-решения ускоряют разбор ИБ-инцидентов в 12 раз
30.06.2020
CNews: Решения класса SOAR только набирают популярность в России, но уже считаются одним из самых многообещающих подходов к автоматизации ИБ. Чем они принципиально отличаются от UBA и SIEM?
Принципиальное отличие состоит в том, что SIEM детектирует реализацию актуальных угроз ИБ в инфраструктуре, а UBA анализирует действия пользователей в потоке событий ИБ и выявляет потенциальные инциденты. В свою очередь решения класса SOAR направлены на автоматизацию аналитической работы с выявляемыми событиями с помощью заданных алгоритмов. Например, UBA и SIEM собирают события ИБ и выявляют по заданной логике потенциальные инциденты ИБ, а SOAR автоматизирует процесс обработки инцидентов по заданным алгоритмам (workflow). Таким образом, эти системы выполняют разные функции, но при этом дополняют друг друга для эффективной реализации процессов ИБ.
Сначала на рынке появились решения класса IRP, и только после некоторого развития им на смену пришли SOAR-решения. Основное отличие этого класса решений было именно в том, что к функционалу реагирования добавилась оркестрация. С одной стороны, это попытка понятным термином описать взаимодействие многих различных инструментов (СЗИ и ИТ-систем) между собой в гармонии единого «оркестра». С другой стороны, гармония мелодии невозможна без партитуры и нот, которыми в SOAR-решениях являются сценарии реагирования, позволяющие в том числе динамически менять часть плана в соответствии с поступившими новыми вводными от других систем. Таким образом, мелодия играется по определенным нотам, но может изменяться в зависимости от воли «дирижера». Общее взаимодействие всех систем компании позволяет полнее понимать картину происходящих инцидентов и быстрее и эффективнее реагировать на них, используя весь потенциал всех решений компании.
Современные SOAR-решения позволяют автоматизировать различные задачи в рамках таких процессов ИБ, как реагирование на инциденты, обработка и анализ уязвимостей, обработка фидов Threat Intelligence, управление SSL-сертификатами. При этом SOAR-продукты можно использовать и для автоматизации задач, не связанных со сферой ИБ. Например, в процессе противодействия финансовому мошенничеству они помогают автоматизировать отправку подтвержденных мошеннических действий в ЦБ в виде отчетности.
В SOAR-решении можно задать алгоритм любой категории инцидента ИБ и автоматизировать большой объем рутинных задач на первых этапах обработки инцидента. В их число входят категорирование, определение критичности, проверка на вредоносность выявленных индикаторов компрометации (хеш-файлы, IP-адреса, доменные имена и т.п.) по внешним базам, сбор дополнительных данных (данные об активе, учетной записи и т.п.), оповещение и назначение ответственного, формирование стратегии устранения. Таким образом, аналитику остается по уже собранным данным подтвердить инцидент и стратегию реагирования. При этом SOAR-решение позволяет автоматизировать задачи по реагированию как с подтверждением аналитика, так и без него. Получается, что обработка некоторых инцидентов может происходить вовсе без участия аналитика. Однако автоматизировать имеет смысл только те задачи, в которых вы уверены на 100%, чтобы избежать неприятных происшествий, например, блокировки учетной записи топ-менеджера в результате реагирования на инцидент.
Сам принцип SOAR-систем, позволяющий объединять различные системы для решения единых задач, позволяет значительно расширить список областей применения, выходя за привычные зоны ответственности отдела ИБ. Дополнительные задачи могут приходить и из отдела кадров, отдела физической и собственной безопасности, от юристов и финансистов. В большинстве компаний, в которых есть собственное сервисное подразделение, следящее за бесперебойным функционированием тех или иных активов, присутствует масса задач, которые легко поддаются автоматизации. При этом настроенные сценарии способны снизить нагрузку на колл-центры, сократить время обработки заявки, сбор нужной информации, реагирования на возникшую ситуацию, сократить простои функционирования и ущерб для бизнеса компании. Но для этого, как и в любой автоматизации, логика процесса должна быть точно сформулирована, а взаимодействие систем — налажено.
По опыту внедрения данных систем мы можем заключить, что востребованность SOAR-решений присутствует там, где уже присутствует и функционирует отдел ИБ с множеством различных СЗИ, которые нуждаются в объединении и построении комплексной системы защиты — SOC. И хотя трудно говорить о минимальных требованиях для таких компаний, но одно можно сказать точно: если у вас нет процессов реагирования на инциденты, то вам нечего автоматизировать с помощью SOAR-решений. А процесс — это совокупность взаимодействия людей и систем по заранее определенным сценариям. И именно этот уникальный для каждой компании набор людей, систем и процессов и определяет выбор нужной именно вам системы. Кому-то нужна будет простота, а кому-то — гибкость; кому-то — наличие готовых коннекторов, а кому-то — возможность полной кастомизации интерфейса; кому-то не обойтись без готовых отчетов для регулятора, а кому-то — без подключения к как можно большему количеству различных баз угроз.
Все зависит от ИТ-системы или средства защиты, с которыми необходима интеграция. Если в SOAR-платформе есть необходимый коннектор, интеграция происходит достаточно просто. Если готового коннектора нет, то при наличии API у ИТ-системы или средства защиты можно разработать коннектор самостоятельно, в противном случае придется подключить для этого вендора. Для разработки коннектора необходимо определить интеграционную модель: входные и выходные данные, а также способ интеграции.
Для начала стоит определиться с процессами, которые нужно автоматизировать, и разработать алгоритмы их автоматизации. Для этого следует подключить методолога и инженера: такая команда поможет решить задачу с учетом лучших практик и особенностей внедряемой SOAR-платформы. Следующий этап — интеграция с необходимыми для автоматизации ИТ-системами и настройка разработанных алгоритмов. На длительность внедрения влияют, к примеру, количество интеграций, наличие готовых интеграционных коннекторов, количество настраиваемых алгоритмов (можно задать как единый алгоритм обработки, так и кастомный для каждой задачи), количество и сложность задач автоматизации. По нашему опыту, проект по внедрению и первичной настройке базовых сценариев SOAR-системы занимает минимум полгода. Если компания планирует самостоятельно эксплуатировать SOAR-систему без привлечения сервисной компании, лучше дополнительно обучить сотрудников работе с продуктом.
У нас были проекты по внедрению SOAR-систем различных производителей как при комплексном строительстве SOC, так и в рамках проектов по развитию в компаниях из разных сфер экономики. Проектирование процессов при тесном взаимодействии методологов и инженеров помогало нам выстраивать алгоритмы их автоматизации с учетом лучших практик, особенностей бизнес-процессов наших клиентов и самой SOAR-системы. При этом мы опробовали различные подходы к построению алгоритмов обработки инцидентов ИБ: базовый вариант с настройкой единого алгоритма обработки независимо от категории инцидента ИБ и применением скриптов автоматизации задач и расширенный — с настройкой кастомных алгоритмов в зависимости от категории инцидентов. Последний, по нашему опыту, сильно увеличивает срок внедрения SOAR-системы.
Любой опыт внедрения ценен и одновременно уникален. В случае с российскими компаниями — это, конечно, многообразие уникальных локальных СЗИ, ИТ-систем, требований регуляторов. Поэтому понятно, что решения «из коробки» не полностью покрывают ожидания заказчиков. А ценным преимуществом открытой платформы является возможность интегрироваться практически с любой системой, благодаря чему заказчик понимает всю логику интеграции и в дальнейшем может дорабатывать и развивать настроенные интеграции по мере возникновения необходимости. Другим интересным опытом является то, что реализуя автоматизацию процессов реагирования на инциденты ИБ, мы постепенно выходим и за рамки ИБ, к общему широкому пониманию слова «инцидент», как влияющему на бизнес компании. И связанные с любым инцидентом риски заставляют заказчиков внимательнее анализировать и приоритизировать инциденты, риски, ущербы для компании. И, как следствие, понимать широкую экономическую выгоду от внедрения решений класса SOAR.
Основным показателем эффективности внедренного SOAR-решения является значительное сокращение (в разы, а иногда и на порядки) времени реагирования на выявленный инцидент. К примеру, в одной из российских компаний внедрение показало сокращение среднего времени разбора инцидента со 120 до 10-15 минут. И когда мы высвобождаем такое количество времени у аналитика, мы предоставляем ему возможность заниматься большим кругом задач, не снижая его эффективности. В сэкономленное время он сможет заняться не реактивным, а превентивным анализом, что в свою очередь поможет компании быть менее уязвимой и более продуктивной в будущем, избежав простоев в работе и репутационных рисков. А если этого недостаточно, то уж точно не нужно будет раздувать штат аналитиков для того, чтобы разбирать все возрастающее количество новых инцидентов или платить штрафы регулятору за невыявленный или неосвещенный в отчетах инцидент.