SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканер уязвимостей

SPC
Security Profile Compliance

Контроль параметров безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Модель зрелости SOAR

Модель зрелости SOAR
14.12.2023

Security Vision


В России известны разные модели зрелости:

· SW СММ (Capability Maturity Model for Software) (появился в результате взаимодействия министерства обороны США и института Software Engineering Institute — SEI);
· модель ОРМЗ (от сообщества PMI): определяет уровень зрелости по направлению управления проектами (существуют и иные модели, оценивающие зрелость в управлении проектами);
· идеи зрелости содержатся в стандарте ИСО 9000;
· модель SPICE (Software Process Improvement and Capability determination);
· стандарт ISO 15504;
· CMMI — интегрированная модель технологической зрелости.


В этой статье мы попробуем взглянуть на модель зрелости компаний, внедряющих системы информационной безопасности класса IRP/SOAR. Здесь также существует масса интерпретаций и способов систематизации. Я предлагаю взглянуть на модель зрелости SOAR глазами специалистов Security Vision, базируясь на экспертизе, полученной в результате десятков реальных внедрений систем класса IRP/SOAR.


Построение модели

Поскольку мы будем строить модель зрелости SOAR, хотелось бы сказать пару слов о предметной области. SOAR (Security Orchestration Automation and Response) — решение, предназначенное для формализации, автоматизации, улучшения и повышения прозрачности процессов реагирования в SOC или подразделении компании, отвечающем за информационную безопасность.


При построении собственной модели мы решили использовать показатели, которые, как нам кажется, наиболее релевантно отражают полноту использования возможностей SOAR и сложность задач, с которыми сталкиваются компании:

· Контент — спектр информации, которую использует компания для обнаружения атаки на свою инфраструктуру. К контенту относятся: сценарии реагирования, коннекторы, ролевая модель, метрики, отчетность и т.д.

· Сценарии реагирования — плейбуки, которыми пользуются (или не пользуются) специалисты ИБ и основное назначение используемых сценариев

· Действия — реагирование на угрозу, перечень действий доступных в той или иной ситуации

· Степень автоматизации — насколько автоматизированы действия по обнаружению угроз и реагированию на инциденты. Общий процент сценариев и действий операторов, выполняемых SOAR

· Уровень интеграции — количество и состав систем, с которыми ведется взаимодействие. Это могут быть смежные информационные системы, источники данных и внешние аналитические сервисы

· Поддержка и развитие — как система администрируется и как осуществляется развитие функционала, степень понимания необходимости обновления и усовершенствования контента и процессов, чтобы не отставать от динамики роста внешних угроз.

 

Ещё мы осознанно решили использовать 4 уровня зрелости, потому что это лучше укладывается в выбранные нами показатели и нашу статистику в целом. Подумалось, что так будет более честно, чем добавить ещё один уровень и «натягивать сову на глобус». Конечно, в реальном мире не всё так определенно и компании, находящиеся по одним показателям на третьем уровне, по другим могут быть на втором или четвертом, но мы всё же попытаемся выстроить некий образ компании на каждом уровне со своими характерными свойствами и особенностями.


15_Таблица в статью.jpg



Первый уровень

Что же отличает компании первого уровня? Подразумевается, что в них осуществляется базовый мониторинг событий безопасности: возможно, каким-то образом внедрена SIEM, возможно, осуществляется сбор информации с консоли и средств защиты. В организации нет сотрудников, ответственных за регулярный мониторинг и реагирование на события ИБ, то есть одни и те же люди администрируют, анализируют и реагируют. При таком подходе к мониторингу и с такими возможностями персонала, в организациях этого уровня обычно обрабатываются только критичные события, алерты среднего и низкого уровня как правило игнорируются. Это может быть фолзящая SIEM, выдающая такое количество событий, на которое просто невозможно отреагировать имеющимися ресурсами.

 

Часто компании первого уровня пользуются услугами MSSP-провайдеров для реализации функций 1-2 линии реагирования.


Второй уровень

Компании второго уровня отличаются реактивным реагированием на инциденты кибербезопасности, которое осуществляется на регулярной основе. Специалисты ИБ в таких компаниях осуществляют мониторинг и реагирование на угрозы, опираясь на свой личный опыт, при этом процессы реагирования никак не формализованы. Как правило, в таких организациях уже есть разделение на реагирование и администрирование отдельных СЗИ. За счет этого появляется время на тюнинг и совершенствование процессов, соответственно, снижается количество шума из различных источников и таким образом появляется возможность обработать большую часть алертов.

 

В компаниях второго уровня, кроме услуг MSSP-провайдеров, часто пользуются услугами форензики и malware analysis (по большей части постфактум, когда их уже взломали, чтобы разобраться в ситуации; но это тоже не плохо, потому что в результате расследования устраняется первопричина успешного взлома).


Третий уровень

На третьем уровне в компании сформирован SOC или отдельное подразделение, отвечающее только за информационную безопасность. Процессы мониторинга, анализа и реагирования на инциденты в таких компаниях формализованы, что снижает зависимость от конкретных людей и дает больше возможностей для масштабирования SOC. Это уже высокий уровень зрелости. Если на первом уровне SOAR использовался для учета инцидентов, на втором уровне добавлялось реагирование, то на третьем перед SOAR ставится задача повышения эффективности подразделения, отвечающего за информационную безопасность. В таких организациях используются расширенные средства аналитики, современные подходы к анализу и реагированию, они самостоятельно занимаются киберразведкой, проводят киберучения для повышения уровня своих сотрудников.


Четвертый уровень

Самый высокий уровень зрелости характеризуется проактивным реагированием на угрозы ИБ. Процессы в таких организациях совершенствуются на постоянной основе, и под это выделены отдельные аналитики, причем регламентирован даже подход к улучшению процессов. О четвертого уровня устойчивы к новым угрозам. Автоматизировано значительное количество процессов, причем не только реагирования, но и вообще всех процессов внутри ИБ-подразделения.

 

Это, конечно, несколько идеализированная картина, и на практике немногим удается добраться до этого уровня, потому что это, с одной стороны, весьма затратно, а с другой - у компании должна быть сильная мотивация, так как процесс восхождения на высший уровень зрелости всегда долог и труден.


Модель зрелости пригодилась

Если кто-то в процессе чтения задался вопросом: «А для чего эта модель вообще нужна?», то отвечаю — нам модель зрелости SOAR пригодилась при разработке коробочной версии IRP/SOAR 2.0. Мы понимали, что целевая аудитория будет разной и что новый продукт должен хорошо масштабироваться, не теряя эффективности.

 

В IRP/SOAR 2.0 впервые была реализована концепция динамических плейбуков, заключающаяся в автоматической адаптации планов реагирования под конкретную ситуацию сработавшего инцидента, что как раз поможет повысить эффективность уровня обработки инцидентов за счет автоматизации и экспертных подсказок.

 

Мы вообще уверены, что наша задача — улучшать и помогать оптимизировать процессы SOC-центра, и если во время внедрения или эксплуатации удается повысить уровень зрелости ИБ, мы считаем, что работа сделана хорошо.

IRP SOAR Управление инцидентами СЗИ SIEM SOC

Рекомендуем

Безопасность контейнеров на новом уровне: погружение в Trivy
Безопасность контейнеров на новом уровне: погружение в Trivy
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Средства обеспечения информационной безопасности – виды и описание
Средства обеспечения информационной безопасности – виды и описание
Сертификация ФСТЭК
Сертификация ФСТЭК
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
The Hive. Разбор open source решения
The Hive. Разбор open source решения
SD-WAN – оркестратор для сетей большого масштаба
SD-WAN – оркестратор для сетей большого масштаба

Рекомендуем

Безопасность контейнеров на новом уровне: погружение в Trivy
Безопасность контейнеров на новом уровне: погружение в Trivy
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Средства обеспечения информационной безопасности – виды и описание
Средства обеспечения информационной безопасности – виды и описание
Сертификация ФСТЭК
Сертификация ФСТЭК
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
The Hive. Разбор open source решения
The Hive. Разбор open source решения
SD-WAN – оркестратор для сетей большого масштаба
SD-WAN – оркестратор для сетей большого масштаба

Похожие статьи

Деловые игры рыцарей круглого стола
Деловые игры рыцарей круглого стола
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Темные стороны контейнеров: риски и меры безопасности
Темные стороны контейнеров: риски и меры безопасности
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Динамические плейбуки
Динамические плейбуки
Принципы информационной безопасности
Принципы информационной безопасности
Конфиденциальная информация
Конфиденциальная информация
Что за зверь Security Champion?
Что за зверь Security Champion?
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения

Похожие статьи

Деловые игры рыцарей круглого стола
Деловые игры рыцарей круглого стола
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Темные стороны контейнеров: риски и меры безопасности
Темные стороны контейнеров: риски и меры безопасности
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Динамические плейбуки
Динамические плейбуки
Принципы информационной безопасности
Принципы информационной безопасности
Конфиденциальная информация
Конфиденциальная информация
Что за зверь Security Champion?
Что за зверь Security Champion?
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения