SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканер уязвимостей

SPC
Security Profile Compliance

Контроль параметров безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Что такое снифферы и как они используются

Что такое снифферы и как они используются
16.09.2024

Руслан Рахметов, Security Vision

 

Работающим в сфере ИТ и кибербезопасности часто приходится слышать про снифферы (англ. Sniffer, буквально - нюхач, ищейка), но и само название, и принцип работы, и возможности данных решений многим не до конца ясны. Путаницу усиливает и то, что зачастую злоумышленники также применяют снифферы в своих целях (реализуют т.н. Sniffing и Wiretapping атаки), а кроме этого, есть тип вредоносного ПО, которое также называется сниффер (JavaScript Sniffer). В сегодняшней статье разберем, что такое снифферы и как они применяются для защиты и атаки.


Итак, сниффер - или более точно анализатор сетевого трафика (сетевых пакетов) - это программа или устройство для прослушивания (захвата), сохранения, анализа передаваемых по сети данных. В простейшем случае программа-сниффер устанавливается на устройство, отображает и записывает в файл передаваемые и получаемые устройством данные по проводным и беспроводным сетям. Анализаторы трафика могут также представлять из себя сложное устройство - программно-аппаратный комплекс (ПАК) для получения доступа к передающимся по сети данным за счет подключения "в разрыв" сетевого соединения (метод TAP, Test Access Point) или за счет получения копии трафика с сетевого устройства (подключение через порты SPAN / RSPAN / ERSPAN, также называется зеркалированием, mirroring). Такие ПАК настраиваются для получения доступа к проводным (например, волоконно-оптическим линиям, витым парам, коаксиальным кабелям) и беспроводным (например, сетям Wi-Fi, Bluetooth, GSM/LTE/5G) сетям, а далее либо сохраняют полную копию полученного трафика на быстрых встроенных накопителях большого объема для дальнейшего анализа встроенными средствами, либо отправляют полученные данные в СЗИ (например, в NTA-решения). Однако чаще всего ИБ-специалистам приходится иметь дело всё же с более простыми программными анализаторами трафика, самым популярным из которых является продукт Wireshark.


Wireshark - бесплатное кроссплатформенное решение (выпускается по условиям лицензии GPL), работающее под Windows, MacOS, Linux, FreeBSD, также поддерживается сборка из исходного кода. Продукт поддерживает протоколы, использующиеся в Интернете, локальных сетях, беспроводной связи (Wi‑Fi, Bluetooth, IrDA) и телефонии (VoIP, SS7, PSTN и т.д.), позволяет захватывать передающиеся по Ethernet/WLAN/USB данные, содержит декодеры (названы авторами "protocol dissectors") для более чем 3000 протоколов различного уровня, а также поддерживает расширение функционала с помощью Lua-скриптов.


Первая версия решения, которая называлась Ethereal, была выпущена в 1998 году, в 2006 году решение получило современное название Wireshark, а в 2008 году был выпущен полноценный и завершенный релиз Wireshark 1.0 и стали проводиться ежегодные образовательные конференции SharkFest для разработчиков и пользователей продукта. На момент написания статьи актуальной версией Wireshark является версия 4.4.0, при этом авторами постоянно добавляются новые декодеры для сетевых протоколов, улучшается функционал и быстродействие решения.


Основными пользователями Wireshark являются сетевые инженеры (выявляют и устраняют проблемы в сетях передачи данных), разработчики ПО (проверяют корректность реализации сетевых протоколов в софте), тестировщики (проверяют работу сетевых приложений), кибербезопасники (выявление проблем с сетевой безопасностью), а также те, кто хочет понять, как работают сети. Перед установкой и работой с Wireshark следует прежде всего убедиться, что применимые законодательные и корпоративные нормы и правила разрешают вам прослушивание (захват) и запись сетевого трафика. Далее для того, чтобы осуществлять захват трафика средствами Wireshark, следует установить библиотеку и драйверы Npcap - в среде Windows они устанавливаются вместе с Wireshark, при установке потребуются права администратора, а без административных полномочий возможности Wireshark будут ограничены только открытием ранее сохраненных дампов (записей) трафика. Опционально в среде Windows можно настроить ограничение на запуск Npcap для захвата трафика только для администратора, в Linux-системах права root для захвата трафика требуются по умолчанию. При подключении к проводной сети через хаб можно перевести сетевой адаптер в promiscuous-режим для того, чтобы не отбрасывались пакеты, не предназначенные для данного сетевого адаптера (это увеличит поверхность анализа трафика); однако в современных сетях на базе коммутаторов (свитчей) включение этого режима не имеет смысла, только если на свитч не проводится дополнительная атака методом MAC flooding. При подключении к беспроводной сети - в случае, если стоит задача изучения или изменения трафика, циркулирующего во всех доступных рядом беспроводных сетях - потребуется использовать беспроводной адаптер с поддержкой режимов мониторинга (monitor mode) и внедрения пакетов (packet injection).


Еще одной востребованной задачей может быть инспекция зашифрованного веб-трафика. Для того, чтобы Wireshark смог увидеть содержимое HTTPS-трафика, передающегося с/на устройство, следует воспользоваться рекомендациями производителя и настроить в ОС переменную окружения SSLKEYLOGFILE, создать доступный для чтения и записи лог-файл и указать путь к данному файлу в настройках Wireshark (Правка - Параметры - Протоколы - TLS - в нижней части окна указать путь к созданному лог-файлу). После перезапуска браузера (поддерживаются Firefox, Chrome, Edge) можно будет просмотреть в Wireshark содержимое HTTPS-трафика, зашифрованного в том числе с использованием самого современного протокола TLS v1.3. При этом следует быть внимательным и после окончания работы с Wireshark удалить созданную переменную окружения и лог-файл, содержащий информацию, которую могут использовать злоумышленники для несанкционированного расшифрования HTTPS-трафика.


При корректной настройке Wireshark можно будет увидеть подробную сетевую активность устройства, а широчайший функционал фильтров захвата и отображения, поисковых запросов, отслеживания потоков данных и экспорта объектов помогут разобраться в нюансах работы и безопасности различных сетевых протоколов, приложений, операционных систем и сетевых устройств. Читатели могут попробовать свои силы в анализе образцов различного трафика, представленных в виде файлов формата pcap / pcapng, которые можно открыть в Wireshark:

 

Общие образцы трафика:

https://wiki.wireshark.org/SampleCaptures

https://tshark.dev/search/

https://www.netresec.com/?page=PcapFiles

https://weberblog.net/the-ultimate-pcap/

 

Образцы трафика с артефактами сетевых атак и ВПО:

https://github.com/chrissanders/packets

https://github.com/sbousseaden/PCAP-ATT

https://github.com/markofu/pcaps/

https://github.com/elcabezzonn/Pcaps

https://www.malware-traffic-analysis.net/index.html

 

Образцы трафика, собранные в сегментах АСУТП, SCADA и в OT-инфраструктуре:

https://github.com/ITI/ICS-Security-Tools/tree/master/pcaps

https://github.com/automayt/ICS-pcap/

https://github.com/EmreEkin/ICS-Pcaps/

 

Разумеется, кроме Wireshark есть и другие полезные бесплатные инструменты для работы с сетевым трафиком, например:

   ·   tcpdump - утилита, встроенная в большинство Linux-дистрибутивов, позволяет прослушивать, анализировать и сохранять (в поддерживаемые Wireshark файлы формата pcap) сетевой трафик;

   ·   pktdump - утилита, встроенная в современные ОС Microsoft Windows, позволяет выполнять диагностику сетевых соединений, прослушивать, анализировать и записывать (в поддерживаемые Wireshark файлы формата pcapng) сетевой трафик;

   ·   Telerik Fiddler Classic - инструмент для отладки и выявления проблем с безопасностью веб-приложений, с поддержкой расшифрования HTTPS-трафика через реализацию MitM-инспекции с помощью устанавливаемого в ОС корневого сертификата;

   ·   HTTP Toolkit - инструмент для перехвата, анализа, редактирования HTTP/HTTPS-трафика.

 

Методы захвата, перехвата, перенаправления, анализа и расшифрования сетевого трафика также активно используются и атакующими, причем зачастую они пользуются теми же инструментами, что и ИТ/ИБ-специалисты. Атаки, связанные с обработкой и подменой сетевого трафика, называются Sniffing и Wiretapping атаки. Рассмотрим ряд примеров сетевых атак такого типа:


1. ARP spoofing (или ARP cache poisoning) - атака перезаписи APR-таблицы (сопоставляющей IP-адреса и MAC-адреса устройств в локальной сети) путем отправки атакующим множественных ARP-оповещений о соответствии целевого атакуемого IP-адреса (например, IP-адреса шлюза по умолчанию) MAC-адресу сетевой карты атакующего. В результате, устройства в локальной сети начнут отправлять атакующему хосту сообщения, предназначенные для шлюза, и злоумышленник сможет анализировать трафик сетевого сегмента, а затем реализовать дальнейшие MitM-атаки. Простейшей защитой от данного типа атак может стать создание статических записей в ARP-таблицах на хостах (например, жестко прописать сопоставление IP-адреса шлюза его MAC-адресу).


2. MAC flooding - атака переполнения адресной таблицы коммутатора, в результате чего он может перейти в режим отправки трафика по всем портам (по сути, в fail-open режим хаба). Защитой от данного типа атак будет использование механизма Port Security и/или внедрение аутентификации устройств на канальном уровне с помощью технологии Dot1x (IEEE 802.1x).


3. DHCP Spoofing / DHCP Starvation - атаки на протокол DHCP, при которых злоумышленник внедряет вредоносный DHCP-сервер в корпоративную сеть, выводит легитимный DHCP-сервер из строя за счет флуда поддельными запросами (DHCP Starvation - буквально истощение DHCP), а затем от имени «нового» DHCP-сервера начинает сообщать DHCP-клиентам недостоверную информацию (поддельный IP-адрес DNS-сервера, поддельный IP-адрес шлюза по умолчанию) для реализации дальнейших MitM-атак. Защитой от атак подобного типа будет использование технологии DHCP Snooping, которая разрешает прохождение служебных DHCP-сообщений (DHCPOFFER и DHCPACK) только через определенный порт коммутатора.


4. VLAN Hopping / VLAN double tagging / VLAN double encapsulation - атака на технологию VLAN (виртуальная локальная сеть), которая позволяет обойти ограничение на доступ атакующего устройства к сетевому трафику других VLAN. Защитой от данного типа атак будет настройка сетевых устройств: например, отключение динамического транкинга (технологии Auto Trunking / протокола DTP) и запрет использования дефолтного административного VLAN с ID=1 (перенос Native VLAN на любой другой номер, например, 999).


5. DNS spoofing (или DNS cache poisoning) - атака, основанная на отсутствии проверки подлинности передающейся по протоколу DNS информации и на использовании протокола UDP для DNS-запросов/ответов, в результате чего атакующий может передать кэширующему (локальному, рекурсивному) DNS-серверу поддельные данные о сопоставлении DNS-имени запрашиваемого сайта IP-адресу сервера, который контролируется атакующим и на котором производится MitM-атака (например, внедряются вредоносные скрипты, похищаются учетные данные, отображается недостоверная информация). Защитой от подобных атак будет использование технологий DNSCrypt, DNSSEC, DNS-over-TLS, DNS-over-HTTPS. Кроме того, владельцы веб-сайтов могут использовать современные технологии для защиты трафика своих посетителей, такие как Certificate Transparency (эволюция устаревших технологий SSL Pinning и HTTP Public Key Pinning) и HSTS (HTTP Strict Transport Security). Однако, как это часто бывает, технологии, направленные на защиту конфиденциальности пользователей, привносят затруднения в процесс анализа трафика в целях обеспечения кибербезопасности: так, технология Certificate Transparency мешает сетевым защитным решениям выполнять санкционированную TLS-инспекцию зашифрованного веб-трафика на предмет наличия в нём угроз безопасности (хотя есть методы настройки исключений), технологии DNS-over-TLS и DNS-over-HTTPS мешают сетевым СЗИ проводить анализ DNS-трафика на вредоносность, а атакующим позволяют прятать в зашифрованном DNS-трафике вредоносную нагрузку, управляющие команды для ВПО и украденные данные.


6. Атаки внедрения вредоносного содержимого в веб-трафик или в содержимое веб-сайтов - это тип атак, который позволяет злоумышленникам эксплуатировать уязвимости браузеров, загружать ВПО, "накручивать" трафик сайтов, похищать данные учетных записей и банковских карт. Так, атаки внедрения вредоносного содержимого в веб-трафик могут быть реализованы, если злоумышленник прослушивает сеть и может внедрять свои данные - например, если ранее были реализованы атаки ARP spoofing или DNS spoofing, а пользователь посещает незащищенные HTTP-ресурсы или на сайте не настроен протокол HTTPS, не используются технологии HSTS, SOP (Same Origin Policy), CORS (Cross-Origin Resource Sharing), CSP (Content Security Policy), допускается загрузка сторонних элементов сайта (скриптов, изображений, веб-форм) по небезопасному протоколу HTTP.


Атаки внедрения вредоносного содержимого в содержимое веб-сайтов реализуются атакующими, которые взломали сайт и получили несанкционированный доступ с правами на внесение изменения в код сайта - в этом случае они могут внедрить на страницы сайта вредоносное содержимое, которое будет пытаться «пробить» браузеры посетителей (т.е. проэксплуатировать одну или несколько уязвимостей веб-браузеров, используя связку эксплойтов), «накрутить» трафик или число посетителей на сторонних сайтах, спровоцировать пользователя на загрузку и запуск ВПО (например, выводя поддельное сообщение об устаревшей версии браузера и предлагая скачать и запустить вредоносный файл), а также похитить данные веб-форм, в которые пользователи вводят свои учетные данные (логины, пароли, одноразовые коды) или данные банковских карт. Такой тип ВПО называется JavaScript Sniffer - он внедряется на взломанные сайты и отправляет атакующим введенную пользователем в веб-форме информацию, что особенно опасно для сайтов банков, платежных систем и платежных шлюзов, маркетплейсов, турфирм, транспортных и страховых компаний, обрабатывающих огромные объемы персональных данных и платежной информации.


7. Атаки на беспроводные сети - это целый класс атак, которые реализуются злоумышленниками в зоне действия беспроводных сетей компаний, отелей, кафе, частных лиц, включая такие атаки, как:


7.1. Evil twin - создание злоумышленником поддельной копии точки доступа (или Wi-Fi роутера), причем устройства под управлением некоторых версии ОС будут подключаться к поддельной беспроводной сети, даже если с настоящей точкой доступа совпадает только название сети (SSID), а MAC-адрес (BSSID) поддельной точки доступа может отличаться от MAC-адреса настоящей точки. Весь сетевой трафик пользователя, подключившегося к поддельной точке доступа, будет доступен для просмотра и анализа атакующими, которые постараются реализовать дальнейшие MitM-атаки для кражи учетных данных (логины/пароли) пользователей и внедрения вредоносных скриптов в отображаемые пользователю страницы, особенно в случае, если посещаемые пользователем веб-сайты не используют технологии HSTS, SOP, CORS, CSP, Certificate Transparency, а сам пользователь игнорирует предупреждения браузера о проблемах с сертификатом и/или небезопасности посещаемой веб-страницы. Кроме того, под предлогом регистрации пользователя в Wi-Fi-сети (якобы во исполнение требований об оказании услуг связи и идентификации пользователей Wi-Fi в общественных местах, предъявляемых Постановлениями Правительства РФ №№ 2606, 2607), злоумышленники могут настроить Captive-портал, который при первом подключении пользователя запросит у него номер телефона, паспортные данные, логин/пароль для социальной сети или код из СМС от портала Госуслуг якобы для «идентификации пользователя» - все эти данные окажутся в руках атакующих. Атакующие также могут обманом заставить пользователей Apple-устройств установить поддельные профили конфигураций (configuration profile) или профили регистрации (enrollment profiles) для iOS якобы для корректной работы гаджета в публичной Wi-Fi-сети, которые позволят атакующим полностью контролировать устройство.


7.2. Использование уязвимостей технологий защиты Wi-Fi-сетей - атакующие взламывают беспроводные сети с шифрованием WEP (тривиальный подбор пароля к сети за счет низкой стойкости используемой криптографической схемы), WPA или WPA2 (расшифрование Wi-Fi-трафика через атаки PMKID или KRACK).


7.3. War driving - использование передвижного (например, на базе микроавтобуса) пункта несанкционированного подключения к Wi-Fi-сетям.


7.4. War shipping - отправка хакерского устройства (например, Raspberry Pi или Flipper Zero) в офис атакуемой компании по почте или курьером, также возможны негласная установка подобных устройств в переговорных комнатах или в местах со свободным доступом посетителей (ресепшн, фойе, холл).


7.5. Атаки на Bluetooth: BlueSnarfing (несанкционированный доступ к данным устройства через протокол Bluetooth ранних версий), BlueJacking (отправка нежелательных или оскорбительных сообщений через Bluetooth), BlueSmack (вариант DoS-атаки через Bluetooth), BlueBorne (использование связки уязвимостей для удаленного выполнения кода и утечки информации через Bluetooth на платформах Android, iOS, Linux, Windows), BlueDucky (эмуляция злоумышленником нажатия клавиш на Bluetooth-клавиатуре без ведома пользователя), BLUFFS (взлом сессионного ключа шифрования Bluetooth, внедрение вредоносного трафика и расшифрование перехваченных сообщений между устройствами) и ряд других.


Для защиты Wi-Fi-сетей следует использовать оборудование с поддержкой современного стандарта безопасности WPA3, применять технологию EAP для аутентификации устройств по сертификатам при подключении к беспроводной сети, использовать механизм изоляции точки доступа (AP Isolation) и фильтрацию MAC-адресов подключающихся к беспроводной сети устройств.

ИБ для начинающих Нарушители ИБ СЗИ

Рекомендуем

Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Интернет вещей и безопасность
Интернет вещей и безопасность
Интернет вещей и его применение
Интернет вещей и его применение
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Средства обеспечения информационной безопасности – виды и описание
Средства обеспечения информационной безопасности – виды и описание
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Модель зрелости SOAR
Модель зрелости SOAR
SD-WAN – оркестратор для сетей большого масштаба
SD-WAN – оркестратор для сетей большого масштаба
Зачем и как создавать сети передачи данных
Зачем и как создавать сети передачи данных
False или не false?
False или не false?

Рекомендуем

Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Интернет вещей и безопасность
Интернет вещей и безопасность
Интернет вещей и его применение
Интернет вещей и его применение
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Средства обеспечения информационной безопасности – виды и описание
Средства обеспечения информационной безопасности – виды и описание
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Модель зрелости SOAR
Модель зрелости SOAR
SD-WAN – оркестратор для сетей большого масштаба
SD-WAN – оркестратор для сетей большого масштаба
Зачем и как создавать сети передачи данных
Зачем и как создавать сети передачи данных
False или не false?
False или не false?

Похожие статьи

Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Динамические плейбуки
Динамические плейбуки
Справочник законодательства Российской Федерации в области информационной безопасности
Справочник законодательства Российской Федерации в области информационной безопасности
The Hive. Разбор open source решения
The Hive. Разбор open source решения
Что за зверь Security Champion?
Что за зверь Security Champion?
SD-WAN – оркестратор для сетей большого масштаба
SD-WAN – оркестратор для сетей большого масштаба
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения

Похожие статьи

Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Динамические плейбуки
Динамические плейбуки
Справочник законодательства Российской Федерации в области информационной безопасности
Справочник законодательства Российской Федерации в области информационной безопасности
The Hive. Разбор open source решения
The Hive. Разбор open source решения
Что за зверь Security Champion?
Что за зверь Security Champion?
SD-WAN – оркестратор для сетей большого масштаба
SD-WAN – оркестратор для сетей большого масштаба
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения