Управление инцидентами и оркестрацией различных СЗИ. Обзор NG SOAR

Security Vision

Развитие информационных технологий, ускоренное пандемийными эффектами и геополитическими изменениями, привело к росту числа кибератак не только в России, но и по всему миру. Этот рост и увеличение среднего размера ущерба привели к повышенному вниманию общества к проблематике защиты информации.

С изменением методов атак и подходов к защите проблема нехватки кадров в сфере информационной безопасности стала особенно острой. По оценкам, в мире сейчас не закрыто около 3,5 миллиона вакансий для ИБ-специалистов, а за последние 10 лет общее число предложений для киберэкспертов выросло почти в четыре раза.

В текущем обзоре речь пойдет о применении технологий управления инцидентами и оркестрацией различных средств защиты информации (СЗИ) в виде продукта Security Orchestration Automation and Response (SOAR). В продуктовой линейке Security Vision существует как отдельный модуль, так и комплект из модулей (NG SOAR), включающий дополнительно функционал SIEM, EDR и двустороннюю интеграцию с центрами реагирования на киберинциденты регуляторов.

Данное решение позволяет сделать прозрачным процесс управления инцидентами в компаниях разного масштаба, отвечает за автоматизацию действий и интеграцию СЗИ в единую экосистему (встроенный в платформу конструктор коннекторов позволяет в режиме no-code быстро реализовывать интеграции с любыми источниками данных и средствами реагирования). Центр мониторинга и реагирования на кибератаки (Security Operation Center, SOC) представляет собой сложную интеграцию трех ключевых компонентов: технологий, организованных процессов и специалистов:

• технологический компонент включает разнообразные решения, направленные на защиту корпоративной инфраструктуры от киберугроз, центральным элементом SOC выступает SOAR с подключенными источниками данных. Самым частым источником являются решения класса SIEM, которые отвечают за сбор, нормализацию и хранение данных событий ИБ из различных систем, но данные можно перенаправлять и точечно, из различных СЗИ — за сбор и анализ таких «сырых» событий, а также поиск инцидентов в таком случае может отвечать специальный корреляционный движок в модуле NG SOAR;

• процессы организуют анализ инцидентов, их классификацию и обогащение данными из внешних источников, настройки политик для автоматического реагирования и другие действия, связанные с подготовкой к инцидентам и анализом lessons learned;

• специалисты — незаменимая часть работы эффективной системы, поэтому в качестве третьего аспекта работы решений Security Vision приняты визуализация аналитики и ускорение обработки больших данных специалистами. Так, например, граф связей объектов инцидента становится не просто картинкой, а интерактивным инструментом реагирования и изучения материалов, а встроенные ML-модели и рекомендации экспертов позволяют выстроить пошаговые стратегии действий.

«Многие российские вендоры работают уже не первый год, их продукты достигли высокого уровня зрелости, уже превосходят по функционалу импортные аналоги и успешно применяются как в финансовых учреждениях, так и крупными ИБ-игроками (например, в коммерческих SOC-центрах) — такие продукты (SOAR/SGRC/TIP) разрабатывает Security Vision с модулями (продуктами) на платформе-конструкторе.»

Александр Бабкин, 
Вице-президент — начальник департамента мониторинга информационной безопасности, Газпромбанк

Мониторинг инцидентов

В основе решения находится уникальная технология динамических плейбуков (сценариев реагирования, которые автоматически подстраиваются под окружение и автоматически вызывают друг друга в зависимости от изменения контекста инцидента). Эта концепция позволяет учитывать специфику каждого инцидента и доступные действия по сдерживанию и нейтрализации инцидентов: система анализирует событие и его атрибуты (используемые техники атак, задействованные объекты и доступные СЗИ) и автоматически формирует соответствующий плейбук, используя встроенные атомарные сценарии реагирования. Благодаря ретроспективному анализу связанных с инцидентом данных, SOAR выявляет цепочку атаки и разрабатывает оптимальный план реагирования на основе полученной информации.

«По результатам анализа мы остановили выбор на российском продукте Security Vision SOAR, осуществили необходимую подготовку и внедрение продукта. …Автоматизация с использованием Security Vision SOAR позволяет существенно сократить трудозатраты на подготовку и отправку уведомления в НКЦКИ, что облегчает работу специалистов. Кроме того, автоматизировать можно процессы инвентаризации информационных ресурсов, анализа уязвимостей, управления конфигурациями и обновлениями, проведения внутренних и внешних аудитов, а также непосредственный анализ событий ИБ и выявление компьютерных инцидентов на значимых объектах КИИ»

Андрей Нуйкин,
Начальник отдела обеспечения безопасности информационных систем блока вице-президента по ИТ, Евраз

Дополнением к технологии SOAR могут выступать интеграции с центрами реагирования регуляторов (например, ГосСОПКА НКЦКИ и FinCERT ЦБ), решения для автоматизации управления ИТ-активами (AM, CMDB), уязвимостями (VS, VM) и харденингом (SPC). Работая вместе, они позволят добиться синергии и максимального охвата возможностей. Во время расследования инцидента информационной безопасности аналитик SOC может одновременно работать с различными средствами защиты, такими как антивирусы, NGFW, песочницы и другие. Это необходимо для изучения правил, политик, конфигураций и другой информации, которая позволяет детально разобраться в обстоятельствах инцидента. Помимо этого, аналитик обращается к различным сервисам, включая аналитические платформы, инструменты анализа подозрительных файлов (Sandbox), решения для проактивного поиска (Threat Hunting) и более полного управления информацией о киберугрозах (TIP), а также базы данных угроз и знания.

 Схема работы и потоки данных

В модуль управления инцидентами входит функционал управления активами и инвентаризацией, который позволяет выстроить ресурсно-сервисную модель данных для фокусирования на критичных бизнес-процессах и объектах, отдельных помещениях и целых информационных системах.

Ресурсно-сервисная модель

Процесс работы Security Vision NG SOAR проходит через все фазы обработки инцидентов и решает задачи фокусного реагирования на угрозы ИБ полного цикла:

Фазы обработки инцидента (NIST)

   1.   Preparation - Подготовка

   2.   Detection - Обнаружение

   3.   Analysis - Анализ

   4.   Containment - Сдерживание

   5.   Eradication - Устранение

   6.   Recovery - Восстановление

   7.   Post-Incident - Пост-инцидент

Каждый этап обработки инцидентов полностью автоматизирован и реализован с использованием современного объектно-ориентированного подхода.

Система автоматически визуализирует маршрут распространения инцидента по инфраструктуре, с отображением времени компрометации узлов сети и используемых злоумышленником артефактов.

Цепочка атаки и хронология событий

«Для решения задачи автоматизации реагирования на киберинциденты мы выбрали решение Security Vision SOAR. Вендор предлагает широкие возможности по интеграции с различными использующимися у нас ИТ-решениями, максимально адаптивные сценарии реагирования, поддержку подхода low-code/no-code при настройке интеграций и действий по реагированию, использование методов машинного обучения и нейросетей для выявления аномалий в инфраструктуре, а также формирование разнообразной отчетности и различные опции по визуализации атак и взаимосвязей сущностей, затронутых инцидентом.»

Роман Морозов,
Руководитель по информационной безопасности, Capital Group

На основании данных о сегментах сети и таблицах маршрутизации сетевых устройств с помощью ML-модели система отображает на карте сети, куда потенциально может распространиться инцидент, исходя из данных о скомпрометированных узлах и их характеристик.

«По большому счету, на базе Security Vision можно реализовать любой сценарий»

Вячеслав Касимов,
Директор департамента ИБ Московский кредитный банк 

   Граф достижимости

Граф связей является инструментами аналитики и реагирования, позволяя запускать процессы различные действия управления средствами защиты и устройствами компании. К нему прилагаются рекомендации экспертов Security Vision и возможности коммуникации как в чате внутри компании, так и с подключением внешний ML-моделей.

  Граф связей и рекомендации

Помимо расширяемой базы знаний и рекомендаций с экспертизой аналитиков в модуль включены тепловая карта техник и тактик MITRE ATT&CK и база данных угроз ФСТЭК. Теперь в инцидентах и правилах корреляции можно оперировать этими данными об угрозах и способах реализации, а для коробочных правил в NG SOAR уже настроены соответствующие им способы реализации из БДУ ФСТЭК.

 Тепловая карта для БДУ ФСТЭК и MITRE

«Мы перезапустили нашу IRP-платформу на базе Security Vision, что позволяет кратно ускорить реагирование на инциденты»

Павел Гончаров,
Заместитель директора по развитию Solar JSOC

В продукт заложен набор ML-ассистентов:

   ·   Скоринг False Positive - для определения ложноположительных инцидентов, встроенная в решение, обучается на том, какие вердикты назначают инцидентам аналитики при закрытии инцидентов, а при поступлении нового инцидента выдает вердикт о том, насколько (в процентах) он похож по совокупности своих атрибутов на ранее закрытые с вердиктом False Positive.

   ·   Похожие инциденты – модель анализирует контекст инцидента ищет и показывает похожие кейсы. Это позволяет аналитику как увидеть подобные инциденты, которые также сейчас в работе, так и посмотреть, как обрабатывались схожие ситуации в прошлом.

   ·   Рекомендации по истории действий – модель подскажет аналитику какие действия выполнялись на разных фазах при расследовании подобных инцидентов в прошлом. Таким образом новый сотрудник SOC быстрее пройдет адаптацию даже если у них нет готовых инструкций, за счет доступа к накопленным данным о том, как обрабатываются инциденты.

   ·   Помощь по документации – теперь вопрос по продукту можно спросить у модели и получить ответ в чате.

   ·   Рекомендации по базе знаний – кроме документации аналитик может получить в чате рекомендацию о том какие действия следует выполнить для конкретного на конкретной фазе реагирования. Модель, обученная на лучших практиках по реагированию на киберинциденты даст краткий ответ с учетом всего контекста инцидента.

Все ML-ассистенты помечены соответствующим тегом ML

«Внедренное по результатам конкурсных процедур решение Security Vision SOAR не только является на 100% российской разработкой, но и обладает продвинутым функционалом на уровне лучших импортных аналогов: визуальными интерактивными инструментами для управления инцидентами и сущностями, подходом low-code или no-code при разработке интеграций и плейбуков, использованием методов машинного обучения и нейросетей для выявления аномалий в инфраструктуре»

Станислав Логинов,
Директор департамента информатизации Тюменской области

С помощью функционала встроенных заметок аналитик может удобно фиксировать ход расследования прямо в системе используя форматирование текста, добавляя файлы и скриншоты. Больше не нужно искать информацию в чатах или локальных файлах – все промежуточные результаты расследования всегда под рукой.

Для быстрого доступа к мировой экспертизе в продукт заложен маппинг инцидентов с Threat Intelligence бюллетенями. Система автоматически связывает инциденты с публичными TI-отчетами при совпадении атрибутивного состава. Это дает аналитику:

   ·   Быстрый доступ к информации о похожих атаках;

   ·   Данные о тактиках злоумышленников (TTPs);

   ·   Актуальные IOC/IOA;

   ·   Рекомендации по реагированию от поставщиков бюллетеня.

Продукт или комплект из модулей решает комплексную задачу управления инцидентами с фокусом на бизнес-объекты, базы знаний и технологии динамических плейбуков, объектно-ориентированного реагирования и применения ML. Решение построено на базе единой Платформы, позволяя пользователям адаптировать работу до тончайших деталей:

• управлять логикой и политиками (матрицы и деревья решений);
  

• настраивать внешний вид и доступы (ролевая модель, конструктор меню и мультиарендность);
  

• автоматизировать максимум действий (конструктор рабочих процессов);
  

• создавать собственные интеграции (конструктор коннекторов);
  

• модифицировать существующие и разрабатывать новые представления данных в форме карточек и таблиц (конструктор объектов), статичных документов, например, выгружаемых по расписанию (конструктор отчетов), так и в виде интерактивных виджетов и дашбордов (конструктор аналитики).
  

Такой подход ускоряет адаптацию к любым изменениям, позволяет выстроить вокруг SOAR устойчивую экосистему с возможностью быстрой замены компонентов и закрыть каждый этап обработки инцидентов с минимальным участием человека.

«Мы обратились к вендорам, разрабатывающим продукты класса SOAR. И в этом плане нам очень помогла компания Security Vision, которая занимается как раз разработкой этих продуктов. Мы взаимодействуем до сих пор и уже вышли за рамки обычного SOAR решения»

Дмитрий Балдин,
Заместитель директора департамента ИТ и цифрового развития РусГидро

Обновления

Локальный ИИ-ассистент: помощь с учётом контекста инцидента — полностью в контуре заказчика

В Security Vision SOAR появился ИИ-ассистент в формате чат-бота, обученный на лучших мировых практиках реагирования на инциденты, документации по продукту и практических справочных данных по администрированию и информационной безопасности. Модель отвечает на вопросы с учётом контекста конкретного инцидента: его фазы, связанных объектов, истории действий по нему, истории обработки похожих кейсов и связанных бюллетеней — помогая аналитикам быстрее интерпретировать события и принимать решения.

Модель не статична, она обучается в процессе использования в SOC на результатах обработки инцидентов, а также на бюллетенях, выпускаемых экспертном сообществом или отдельными аналитическими центрами. Дообучение модели выполняется полностью в контуре Заказчика.

ИИ-ассистент поможет в таких вопросах как подтверждение инцидента, расшифровка событий (например, Windows Event ID) или построение команд для диагностики системы и сети, а также даст пояснения по применяемым утилитам и техникам атакующего.

Отдельный сценарий использования — интерактивная помощь по продукту и его функциональности: пользователи могут задавать вопросы и получать ответы в чат-интерфейсе.

Принципиальная особенность решения — полностью локальное размещение. ИИ-ассистент разворачивается в контуре заказчика и не взаимодействует с внешними системами, что позволяет использовать его в изолированных инфраструктурах и средах с повышенными требованиями к конфиденциальности.

ML-скоринг критичности инцидентов

В продукт включена скоринговая ML-модель, которая помогает определять критичность инцидентов информационной безопасности и обеспечивает более быструю приоритизацию в SOC.

Модель формирует оценку критичности на основании набора признаков, отражающих масштаб события и значимость затронутых активов.

ML-summary - автоматический отчет по инциденту: единый стандарт итогов расследования

При закрытии инцидента ML-модель формирует краткое резюме, которое отображается в карточке закрытого инцидента и включается в отчёт по нему. В нем модель фиксирует итог расследования в едином формате, включая:

• что произошло;

• что было сделано при расследовании;

• какие действия были предприняты;

• какой получен результат;

• удалось ли что-то атакующему.

Функция помогает сохранять знания по инцидентам, упрощает передачу между сменами и повышает качество управленческой отчётности.

Эффект для SOC и ИБ-подразделений

Новинки релиза направлены на практическое ускорение ежедневной работы SOC, позволяя:

• быстрее интерпретировать события и артефакты;

• получать более точные рекомендации по реагированию;

• снизить порог вхождения новых сотрудников за счет максимального использование лучших практик, в том числе накопленных внутри организации при обработке инцидентов;

• сократить время на триаж инцидентов благодаря ML-оценке критичности;

• снизить потери контекста за счёт формирования стандартных и легко читаемых итогов расследования.