SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Модель зрелости SOAR

Модель зрелости SOAR
14.12.2023

Михаил Пименов, аналитик Security Vision


В России известны разные модели зрелости:

· SW СММ (Capability Maturity Model for Software) (появился в результате взаимодействия министерства обороны США и института Software Engineering Institute — SEI);
· модель ОРМЗ (от сообщества PMI): определяет уровень зрелости по направлению управления проектами (существуют и иные модели, оценивающие зрелость в управлении проектами);
· идеи зрелости содержатся в стандарте ИСО 9000;
· модель SPICE (Software Process Improvement and Capability determination);
· стандарт ISO 15504;
· CMMI — интегрированная модель технологической зрелости.


В этой статье мы попробуем взглянуть на модель зрелости компаний, внедряющих системы информационной безопасности класса IRP/SOAR. Здесь также существует масса интерпретаций и способов систематизации. Я предлагаю взглянуть на модель зрелости SOAR глазами специалистов Security Vision, базируясь на экспертизе, полученной в результате десятков реальных внедрений систем класса IRP/SOAR.


Построение модели

Поскольку мы будем строить модель зрелости SOAR, хотелось бы сказать пару слов о предметной области. SOAR (Security Orchestration Automation and Response) — решение, предназначенное для формализации, автоматизации, улучшения и повышения прозрачности процессов реагирования в SOC или подразделении компании, отвечающем за информационную безопасность.


При построении собственной модели мы решили использовать показатели, которые, как нам кажется, наиболее релевантно отражают полноту использования возможностей SOAR и сложность задач, с которыми сталкиваются компании:

· Контент — спектр информации, которую использует компания для обнаружения атаки на свою инфраструктуру. К контенту относятся: сценарии реагирования, коннекторы, ролевая модель, метрики, отчетность и т.д.

· Сценарии реагирования — плейбуки, которыми пользуются (или не пользуются) специалисты ИБ и основное назначение используемых сценариев

· Действия — реагирование на угрозу, перечень действий доступных в той или иной ситуации

· Степень автоматизации — насколько автоматизированы действия по обнаружению угроз и реагированию на инциденты. Общий процент сценариев и действий операторов, выполняемых SOAR

· Уровень интеграции — количество и состав систем, с которыми ведется взаимодействие. Это могут быть смежные информационные системы, источники данных и внешние аналитические сервисы

· Поддержка и развитие — как система администрируется и как осуществляется развитие функционала, степень понимания необходимости обновления и усовершенствования контента и процессов, чтобы не отставать от динамики роста внешних угроз.

 

Ещё мы осознанно решили использовать 4 уровня зрелости, потому что это лучше укладывается в выбранные нами показатели и нашу статистику в целом. Подумалось, что так будет более честно, чем добавить ещё один уровень и «натягивать сову на глобус». Конечно, в реальном мире не всё так определенно и компании, находящиеся по одним показателям на третьем уровне, по другим могут быть на втором или четвертом, но мы всё же попытаемся выстроить некий образ компании на каждом уровне со своими характерными свойствами и особенностями.


15_Таблица в статью.jpg



Первый уровень

Что же отличает компании первого уровня? Подразумевается, что в них осуществляется базовый мониторинг событий безопасности: возможно, каким-то образом внедрена SIEM, возможно, осуществляется сбор информации с консоли и средств защиты. В организации нет сотрудников, ответственных за регулярный мониторинг и реагирование на события ИБ, то есть одни и те же люди администрируют, анализируют и реагируют. При таком подходе к мониторингу и с такими возможностями персонала, в организациях этого уровня обычно обрабатываются только критичные события, алерты среднего и низкого уровня как правило игнорируются. Это может быть фолзящая SIEM, выдающая такое количество событий, на которое просто невозможно отреагировать имеющимися ресурсами.

 

Часто компании первого уровня пользуются услугами MSSP-провайдеров для реализации функций 1-2 линии реагирования.


Второй уровень

Компании второго уровня отличаются реактивным реагированием на инциденты кибербезопасности, которое осуществляется на регулярной основе. Специалисты ИБ в таких компаниях осуществляют мониторинг и реагирование на угрозы, опираясь на свой личный опыт, при этом процессы реагирования никак не формализованы. Как правило, в таких организациях уже есть разделение на реагирование и администрирование отдельных СЗИ. За счет этого появляется время на тюнинг и совершенствование процессов, соответственно, снижается количество шума из различных источников и таким образом появляется возможность обработать большую часть алертов.

 

В компаниях второго уровня, кроме услуг MSSP-провайдеров, часто пользуются услугами форензики и malware analysis (по большей части постфактум, когда их уже взломали, чтобы разобраться в ситуации; но это тоже не плохо, потому что в результате расследования устраняется первопричина успешного взлома).


Третий уровень

На третьем уровне в компании сформирован SOC или отдельное подразделение, отвечающее только за информационную безопасность. Процессы мониторинга, анализа и реагирования на инциденты в таких компаниях формализованы, что снижает зависимость от конкретных людей и дает больше возможностей для масштабирования SOC. Это уже высокий уровень зрелости. Если на первом уровне SOAR использовался для учета инцидентов, на втором уровне добавлялось реагирование, то на третьем перед SOAR ставится задача повышения эффективности подразделения, отвечающего за информационную безопасность. В таких организациях используются расширенные средства аналитики, современные подходы к анализу и реагированию, они самостоятельно занимаются киберразведкой, проводят киберучения для повышения уровня своих сотрудников.


Четвертый уровень

Самый высокий уровень зрелости характеризуется проактивным реагированием на угрозы ИБ. Процессы в таких организациях совершенствуются на постоянной основе, и под это выделены отдельные аналитики, причем регламентирован даже подход к улучшению процессов. О четвертого уровня устойчивы к новым угрозам. Автоматизировано значительное количество процессов, причем не только реагирования, но и вообще всех процессов внутри ИБ-подразделения.

 

Это, конечно, несколько идеализированная картина, и на практике немногим удается добраться до этого уровня, потому что это, с одной стороны, весьма затратно, а с другой - у компании должна быть сильная мотивация, так как процесс восхождения на высший уровень зрелости всегда долог и труден.


Модель зрелости пригодилась

Если кто-то в процессе чтения задался вопросом: «А для чего эта модель вообще нужна?», то отвечаю — нам модель зрелости SOAR пригодилась при разработке коробочной версии IRP/SOAR 2.0. Мы понимали, что целевая аудитория будет разной и что новый продукт должен хорошо масштабироваться, не теряя эффективности.

 

В IRP/SOAR 2.0 впервые была реализована концепция динамических плейбуков, заключающаяся в автоматической адаптации планов реагирования под конкретную ситуацию сработавшего инцидента, что как раз поможет повысить эффективность уровня обработки инцидентов за счет автоматизации и экспертных подсказок.

 

Мы вообще уверены, что наша задача — улучшать и помогать оптимизировать процессы SOC-центра, и если во время внедрения или эксплуатации удается повысить уровень зрелости ИБ, мы считаем, что работа сделана хорошо.

IRP SOAR Управление инцидентами СЗИ SIEM SOC

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)
DDoS-атаки: что это такое и способы защиты от них
DDoS-атаки: что это такое и способы защиты от них
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)
DDoS-атаки: что это такое и способы защиты от них
DDoS-атаки: что это такое и способы защиты от них
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0

Похожие статьи

Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Разработка без кода
Разработка без кода
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только

Похожие статьи

Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Разработка без кода
Разработка без кода
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только