SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Модель зрелости SOAR

Модель зрелости SOAR
14.12.2023

Михаил Пименов, аналитик Security Vision


В России известны разные модели зрелости:

· SW СММ (Capability Maturity Model for Software) (появился в результате взаимодействия министерства обороны США и института Software Engineering Institute — SEI);
· модель ОРМЗ (от сообщества PMI): определяет уровень зрелости по направлению управления проектами (существуют и иные модели, оценивающие зрелость в управлении проектами);
· идеи зрелости содержатся в стандарте ИСО 9000;
· модель SPICE (Software Process Improvement and Capability determination);
· стандарт ISO 15504;
· CMMI — интегрированная модель технологической зрелости.


В этой статье мы попробуем взглянуть на модель зрелости компаний, внедряющих системы информационной безопасности класса IRP/SOAR. Здесь также существует масса интерпретаций и способов систематизации. Я предлагаю взглянуть на модель зрелости SOAR глазами специалистов Security Vision, базируясь на экспертизе, полученной в результате десятков реальных внедрений систем класса IRP/SOAR.


Построение модели

Поскольку мы будем строить модель зрелости SOAR, хотелось бы сказать пару слов о предметной области. SOAR (Security Orchestration Automation and Response) — решение, предназначенное для формализации, автоматизации, улучшения и повышения прозрачности процессов реагирования в SOC или подразделении компании, отвечающем за информационную безопасность.


При построении собственной модели мы решили использовать показатели, которые, как нам кажется, наиболее релевантно отражают полноту использования возможностей SOAR и сложность задач, с которыми сталкиваются компании:

· Контент — спектр информации, которую использует компания для обнаружения атаки на свою инфраструктуру. К контенту относятся: сценарии реагирования, коннекторы, ролевая модель, метрики, отчетность и т.д.

· Сценарии реагирования — плейбуки, которыми пользуются (или не пользуются) специалисты ИБ и основное назначение используемых сценариев

· Действия — реагирование на угрозу, перечень действий доступных в той или иной ситуации

· Степень автоматизации — насколько автоматизированы действия по обнаружению угроз и реагированию на инциденты. Общий процент сценариев и действий операторов, выполняемых SOAR

· Уровень интеграции — количество и состав систем, с которыми ведется взаимодействие. Это могут быть смежные информационные системы, источники данных и внешние аналитические сервисы

· Поддержка и развитие — как система администрируется и как осуществляется развитие функционала, степень понимания необходимости обновления и усовершенствования контента и процессов, чтобы не отставать от динамики роста внешних угроз.

 

Ещё мы осознанно решили использовать 4 уровня зрелости, потому что это лучше укладывается в выбранные нами показатели и нашу статистику в целом. Подумалось, что так будет более честно, чем добавить ещё один уровень и «натягивать сову на глобус». Конечно, в реальном мире не всё так определенно и компании, находящиеся по одним показателям на третьем уровне, по другим могут быть на втором или четвертом, но мы всё же попытаемся выстроить некий образ компании на каждом уровне со своими характерными свойствами и особенностями.


15_Таблица в статью.jpg



Первый уровень

Что же отличает компании первого уровня? Подразумевается, что в них осуществляется базовый мониторинг событий безопасности: возможно, каким-то образом внедрена SIEM, возможно, осуществляется сбор информации с консоли и средств защиты. В организации нет сотрудников, ответственных за регулярный мониторинг и реагирование на события ИБ, то есть одни и те же люди администрируют, анализируют и реагируют. При таком подходе к мониторингу и с такими возможностями персонала, в организациях этого уровня обычно обрабатываются только критичные события, алерты среднего и низкого уровня как правило игнорируются. Это может быть фолзящая SIEM, выдающая такое количество событий, на которое просто невозможно отреагировать имеющимися ресурсами.

 

Часто компании первого уровня пользуются услугами MSSP-провайдеров для реализации функций 1-2 линии реагирования.


Второй уровень

Компании второго уровня отличаются реактивным реагированием на инциденты кибербезопасности, которое осуществляется на регулярной основе. Специалисты ИБ в таких компаниях осуществляют мониторинг и реагирование на угрозы, опираясь на свой личный опыт, при этом процессы реагирования никак не формализованы. Как правило, в таких организациях уже есть разделение на реагирование и администрирование отдельных СЗИ. За счет этого появляется время на тюнинг и совершенствование процессов, соответственно, снижается количество шума из различных источников и таким образом появляется возможность обработать большую часть алертов.

 

В компаниях второго уровня, кроме услуг MSSP-провайдеров, часто пользуются услугами форензики и malware analysis (по большей части постфактум, когда их уже взломали, чтобы разобраться в ситуации; но это тоже не плохо, потому что в результате расследования устраняется первопричина успешного взлома).


Третий уровень

На третьем уровне в компании сформирован SOC или отдельное подразделение, отвечающее только за информационную безопасность. Процессы мониторинга, анализа и реагирования на инциденты в таких компаниях формализованы, что снижает зависимость от конкретных людей и дает больше возможностей для масштабирования SOC. Это уже высокий уровень зрелости. Если на первом уровне SOAR использовался для учета инцидентов, на втором уровне добавлялось реагирование, то на третьем перед SOAR ставится задача повышения эффективности подразделения, отвечающего за информационную безопасность. В таких организациях используются расширенные средства аналитики, современные подходы к анализу и реагированию, они самостоятельно занимаются киберразведкой, проводят киберучения для повышения уровня своих сотрудников.


Четвертый уровень

Самый высокий уровень зрелости характеризуется проактивным реагированием на угрозы ИБ. Процессы в таких организациях совершенствуются на постоянной основе, и под это выделены отдельные аналитики, причем регламентирован даже подход к улучшению процессов. О четвертого уровня устойчивы к новым угрозам. Автоматизировано значительное количество процессов, причем не только реагирования, но и вообще всех процессов внутри ИБ-подразделения.

 

Это, конечно, несколько идеализированная картина, и на практике немногим удается добраться до этого уровня, потому что это, с одной стороны, весьма затратно, а с другой - у компании должна быть сильная мотивация, так как процесс восхождения на высший уровень зрелости всегда долог и труден.


Модель зрелости пригодилась

Если кто-то в процессе чтения задался вопросом: «А для чего эта модель вообще нужна?», то отвечаю — нам модель зрелости SOAR пригодилась при разработке коробочной версии IRP/SOAR 2.0. Мы понимали, что целевая аудитория будет разной и что новый продукт должен хорошо масштабироваться, не теряя эффективности.

 

В IRP/SOAR 2.0 впервые была реализована концепция динамических плейбуков, заключающаяся в автоматической адаптации планов реагирования под конкретную ситуацию сработавшего инцидента, что как раз поможет повысить эффективность уровня обработки инцидентов за счет автоматизации и экспертных подсказок.

 

Мы вообще уверены, что наша задача — улучшать и помогать оптимизировать процессы SOC-центра, и если во время внедрения или эксплуатации удается повысить уровень зрелости ИБ, мы считаем, что работа сделана хорошо.

IRP SOAR Управление инцидентами СЗИ SIEM SOC

Рекомендуем

Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
DDoS-атаки: что это такое и способы защиты от них
DDoS-атаки: что это такое и способы защиты от них
Анализ угроз и киберразведка: какие проблемы решает обновленная Security Vision TIP
Анализ угроз и киберразведка: какие проблемы решает обновленная Security Vision TIP
Нормативные документы по ИБ. Часть 8. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Нормативные документы по ИБ. Часть 8. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Построение системы управления информационной безопасностью. Часть 1. Инвентаризация активов
Построение системы управления информационной безопасностью. Часть 1. Инвентаризация активов
Анализ нормативных документов по защите информации в российской кредитно-финансовой сфере
Анализ нормативных документов по защите информации в российской кредитно-финансовой сфере
SOAR-системы
SOAR-системы
XDR - eXtended Detection and Response
XDR - eXtended Detection and Response
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции
IPS / IDS системы. Обнаружение и предотвращение вторжений
IPS / IDS системы. Обнаружение и предотвращение вторжений
Зачем и как отображать информацию: конструктор объектов
Зачем и как отображать информацию: конструктор объектов

Рекомендуем

Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
DDoS-атаки: что это такое и способы защиты от них
DDoS-атаки: что это такое и способы защиты от них
Анализ угроз и киберразведка: какие проблемы решает обновленная Security Vision TIP
Анализ угроз и киберразведка: какие проблемы решает обновленная Security Vision TIP
Нормативные документы по ИБ. Часть 8. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Нормативные документы по ИБ. Часть 8. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Построение системы управления информационной безопасностью. Часть 1. Инвентаризация активов
Построение системы управления информационной безопасностью. Часть 1. Инвентаризация активов
Анализ нормативных документов по защите информации в российской кредитно-финансовой сфере
Анализ нормативных документов по защите информации в российской кредитно-финансовой сфере
SOAR-системы
SOAR-системы
XDR - eXtended Detection and Response
XDR - eXtended Detection and Response
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции
IPS / IDS системы. Обнаружение и предотвращение вторжений
IPS / IDS системы. Обнаружение и предотвращение вторжений
Зачем и как отображать информацию: конструктор объектов
Зачем и как отображать информацию: конструктор объектов

Похожие статьи

Практическая защита персональных данных. Что такое средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия
Практическая защита персональных данных. Что такое средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия
Актуальные тренды кибербезопасности в 2021 году
Актуальные тренды кибербезопасности в 2021 году
Системы и средства защиты информации (конспект лекции)
Системы и средства защиты информации (конспект лекции)
Новые подходы и новые возможности по мониторингу сетевой инфраструктуры
Новые подходы и новые возможности по мониторингу сетевой инфраструктуры
Практика ИБ. Работа с подсистемой журналирования Windows
Практика ИБ. Работа с подсистемой журналирования Windows
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)
Как организована техническая сторона защиты данных от утечек
Как организована техническая сторона защиты данных от утечек
Зачем нужен мониторинг пользователей и как он работает
Зачем нужен мониторинг пользователей и как он работает
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение

Похожие статьи

Практическая защита персональных данных. Что такое средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия
Практическая защита персональных данных. Что такое средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия
Актуальные тренды кибербезопасности в 2021 году
Актуальные тренды кибербезопасности в 2021 году
Системы и средства защиты информации (конспект лекции)
Системы и средства защиты информации (конспект лекции)
Новые подходы и новые возможности по мониторингу сетевой инфраструктуры
Новые подходы и новые возможности по мониторингу сетевой инфраструктуры
Практика ИБ. Работа с подсистемой журналирования Windows
Практика ИБ. Работа с подсистемой журналирования Windows
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)
Как организована техническая сторона защиты данных от утечек
Как организована техническая сторона защиты данных от утечек
Зачем нужен мониторинг пользователей и как он работает
Зачем нужен мониторинг пользователей и как он работает
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение