SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения

Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения
09.10.2023

Руслан Рахметов, Security Vision

 

Развитие информационных технологий, ускоренное пандемийными эффектами, привело к общемировому росту числа кибератак, увеличению среднего размера ущерба в результате успешного кибернападения и повышенному вниманию общества к проблематике защиты информации. Одновременно значительно обострился дефицит кадров: по некоторым данным, на текущий момент мировой дефицит ИБ-специалистов характеризуется почти 3.5 миллионами незакрытых вакансий, а за 10 лет общее количество предложений для киберэкспертов увеличилось почти в 4 раза.


В подобных условиях на уже трудоустроенных работников ИБ-отрасли возлагаются повышенная ответственность и нагрузка: приходится работать с большим числом киберинцидентов, настраивать СЗИ, заниматься отчетностью и бумажной работой. При этом количество СЗИ непрерывно увеличивается для минимизации всё новых киберрисков по мере технологического развития компании и цифровой трансформации бизнес-процессов. Логичным шагом становится формирование запроса на консолидацию всех событий, оповещений, алертов от "зоопарка" СЗИ – так в компании начинают задумываться над приобретением SIEM-системы.


Современные SOC-центры и группы по реагированию на киберинциденты, также как и провайдеры MSS, обычно представляются как команда ИБ-специалистов и процессов, объединенных вокруг главного и основного инструмента – системы SIEM, которая обрабатывает данные от самых разных элементов информационной инфраструктуры, начиная с сетевых устройств и заканчивая бизнес-приложениями. Однако для небольших ИБ-отделов работа с SIEM-системой становится лишь дополнительной нагрузкой: первоначальная настройка, администрирование, написание парсеров и правил корреляции, настройка источников и их мониторинг, работа с огромным количеством ложноположительных срабатываний (особенно в первые полгода-год), непрерывный тюнинг SIEM-системы отнимают и без того дефицитные человеческие ресурсы. И в итоге, даже если все необходимые предварительные условия были успешно выполнены и в результате SIEM-системой сформирован содержательный инцидент в релевантном контексте, аналитик ИБ остается один на один с сообщением о вероятной атаке, но без действенных инструментов по дополнительному анализу, локализации и устранению киберинцидента, снижению возможного ущерба, восстановлению после вторжения.


Для реализации этого функционала современные вендоры SIEM-решений предлагают дополнительный инструмент – свою фирменную SOAR-систему (разумеется, за дополнительную плату). 


Вспомним череду сделок по приобретению SOAR-вендоров крупными игроками и производителями SIEM-систем: IBM купила Resilient в 2016, FireEye купила Invotas также в 2016, Rapid7 купила Komand в 2017, Splunk купила Phantom в 2018, Palo Alto Networks купила Demisto в 2019, Sumo Logic купила DFLabs в 2021, а в 2022 году Google купила Siemplify. Для покупателей, конечно же, декларируется ощутимая выгода от интеграции SIEM и SOAR "под одной крышей", однако со стороны заказчиков это выглядит скорее как продажа дополнительного продукта, без которого основной – SIEM – не будет эффективен на 100% и не сможет дать максимальной ценности для покупателя.


С развитием технологий SIEM-систем (Гартнер, к слову, дал определение SIEM-системе еще в 2005 году, а первые Log Management/SIEM-решения появились еще в конце прошлого века) в их функционал производителями постепенно добавлялись всё новые функции: сначала появились правила нормализации, таксономии и корреляции, дедупликация, автоопределение типа источника событий ИБ, загружаемые пакеты экспертизы и содержимого, затем – модули инвентаризации активов, анализа уязвимостей, построения и визуализации цепочек атак, выявления аномалий, и, наконец, модуль управления инцидентами (скрипты реагирования, кейс-менеджмент, обогащение данных, отчетность). При этом максимальную пользу в части основного функционала SIEM-систем – обнаружения инцидентов – по-прежнему дают срабатывания средств защиты: сетевые и хостовые СЗИ (включая EDR, межсетевые экраны, IDS/IPS), системы анализа трафика, решения WAF и DLP, "песочницы", системы управления учетными записями и т.д. – именно эти источники данных будут наиболее полезными для выявления инцидентов при внедрении SIEM-системы. Данные из служб каталогов, с конечных точек и сетевых устройств, от приложений и инфраструктурных серверов, без сомнения, многое могут дать и по результатам корреляции событий от них, и в части обогащения инцидентов, но для эффективной обработки этой информации наличие SIEM-системы непринципиально – платформы обработки и анализа больших данных легко смогут с этим справиться.


Прямо сейчас некоторые мировые SOC-центры делают ставку отнюдь не на SIEM-систему как на "ядро" своего SOC: заинтересованность именитых производителей SIEM-систем в продаже дополнительного проприетарного функционала по реагированию, аналитике киберугроз, выявлению аномалий может привести к так называемому "vendor lock-in" (привязка к поставщику), который выгоден производителю. Однако пользователь вместе с простотой развертывания и бесшовными интеграциями получает еще и зависимость фактически всей ИБ-инфраструктуры от конкретного вендора, который, как показала практика, может либо внезапно покинуть рынок присутствия, либо закрыть сделку по продаже своего бизнеса более крупному игроку с туманными перспективами для всей линейки продуктов.


Осознавая такой риск, прозорливые руководители SOC-центров и ИБ-департаментов делают ставку на платформы обработки и анализа больших данных с использованием таких технологий, как Apache Spark, Apache Hadoop, Apache Cassandra, Elasticsearch, MongoDB, Microsoft Azure Data Explorer, Microsoft Azure Monitor и т.д. Эти решения предназначены для обработки больших массивов неструктурированных данных, и в них можно переслать любую информацию от совершенно разных систем (не только от ИТ/ИБ-решений, но и из бизнес-приложений, из CRM и ERP-систем, от веб-серверов и мобильных приложений и т.д.) для её консолидации и взаимного обогащения в целях достижения синергетического эффекта и повышения ценности информации. К полученным "озерам данных" (англ. Data Lake) можно предоставить доступ и датамайнерам, и бизнес-аналитикам, и сотрудникам департаментов ИБ и ИТ, и руководителям бизнес-направлений – после должной обработки взаимодействие с агрегированной информацией станет удобным, понятие "избыточные данные" потеряет смысл, а подсчет соотношения затрат и выгод продемонстрирует экономическую целесообразность использования системы анализа данных по сравнению с SIEM.


Работу с самыми ценными и релевантными для кибербезопасности данными можно доверить решениям класса NG SOAR (Next Generation SOAR): такие системы не только получают информацию из первоисточника (непосредственно от средств защиты), но и взаимодействуют с СЗИ без посредников в лице SIEM или систем сбора и пересылки логов. Использование современных API-методов взаимодействия между СЗИ и NG SOAR позволяет не только расширить функционал подобных интеграций (по сравнению с SIEM-системами), но и обеспечить оперативную отправку управляющих сигналов от NG SOAR к СЗИ (например, для завершения подозрительного процесса, остановки службы, блокирования сетевого взаимодействия с определенным IP-адресом, сетевой изоляции устройства, перезагрузки и т.д.). Задача тонкого тюнинга СЗИ для недопущения ложноположительных срабатываний важна вне контекста применения SIEM-систем – без такой настройки говорить о кибербезопасности не приходится. Таким образом, решается вопрос с избыточными нерелевантными событиями, которые потребляют значительные ресурсы ИБ-специалистов: после настройки СЗИ в соответствии с корпоративными политиками ИБ и с учетом специфики инфраструктуры, в NG SOAR будут передаваться только истинноположительные срабатывания, которых будет немного, но с каждым из них надо будет внимательно разобраться.


Исторически и технически сложилось, что средства SOAR имеют корреляционный механизм, но не имеют набора готовых правил корреляции. Механизм как правило использовался для гибкой настройки процесса реагирования и обогащения. Решения класса NG SOAR по факту включают как корреляционный механизм, так и набор базовых правил корреляции, обеспечивающий baseline по детектированию инцидентов с возможностью расширения своими правилами корреляции. Это необходимо на инфраструктурах, где покупка отдельно стоящих систем (SIEM, VM, IRP, SOAR и др.) невозможна по инфраструктурным или коммерческим соображениям.


Решения класса NG SOAR самостоятельно могут осуществить триаж (первичное категорирование) поступивших от СЗИ оповещений, приоритизировать инциденты, выбрать подходящий сценарий реагирования и оперативно предпринять контрмеры по локализации инцидента для недопущения его распространения и нанесения значимого ущерба компании. Взаимодействие с СЗИ для выполнения действий по активному реагированию (отправки управляющих сигналов) целесообразно выполнять современными способами через API-интеграции, при этом для СЗИ, не поддерживающих API, сохраняется возможность подключения к ним по SSH, RPC, MSSQL и т.д. В системах NG-SOAR применяются методы машинного обучения (англ. ML – Machine Learning) и статистического анализа свойств инцидентов для выявления аномалий и возможных незамеченных ранее киберинцидентов в инфраструктуре (механизм UEBA – User and Entity Behavior Analytics), а также для прогнозирования дальнейших шагов атакующих и развития инцидента для выбора оптимальных мер противодействия. Функционал аналитики киберугроз (Threat Intelligence Platform, TIP) и механизмы обогащения данных по инцидентам из внешних и внутренних (в т.ч. Data Lake) источников, доступные в NG SOAR, позволяют контекстуализировать сведения по инциденту, предоставляя ИБ-аналитику полную картину опасности и масштаба инцидента, затронутых сущностей и элементов инфраструктуры, а также взаимосвязь инцидентов, артефактов, индикаторов компрометации друг с другом.


Следует также отметить, что одной из важнейших задач для многих российских компаний является формирование и отправка отчетности по киберинцидентам в НКЦКИ (через систему ГосСОПКА), ФинЦЕРТ (через интерфейс АСОИ), Роскомнадзор и в отраслевые CERT; при этом для субъектов КИИ, операторов ПДн, организаций финансовой сферы законодательно определены строгие нормативы по срокам и содержанию отправляемых уведомлений. Кроме того, от организаций требуется получать бюллетени безопасности, своевременно давать ответы на запросы, обмениваться информацией с указанными структурами. Для автоматизации такого взаимодействия решения класса NG SOAR предлагают встроенный функционал для отправки уведомлений и обмена данными с указанными структурами, а также для создания внутренней отчетности и визуализации состояния киберзащищенности компании в целях обеспечения ситуационной осведомленности руководителей.


За последние два года платформа Security Vision эволюционировала в экосистему продуктов автоматизации ИБ, флагманом которой является наш новый продукт по реагированию на киберугрозы следующего поколения – первый на российском рынке Next Generation SOAR. 


Развитие инструментария по реагированию от IRP к SOAR и от SOAR к NG SOAR видится логичным и закономерным в построении замкнутого цикла решения задачи. Security Vision NG SOAR является композитом технологий и функций, сфокусированным прицельно на автоматическом обнаружении и решении киберинцидентов «на лету» в соответствии с полным циклом фаз обработки инцидента (NIST).


Функции Security Vision NG SOAR на разных фазах обработки инцидентов (NIST) решают задачи таких систем как (см. Рис.): AM, VM, SIEM, IRP, LM, SGRC, SOAR, TIP, UEBA, и др. прямо необходимые для фокусного реагирования на угрозы ИБ полного цикла.



1. Preparation - Подготовка => AM

2. Detection - Обнаружение => SIEM, VM, TIP, UEBA, интеграция с AV, IDS и др.

3. Containment - Сдерживание => IRP/SOAR, AV

4. Investigation - Расследование => IRP/SOAR, SIEM, Log managment

5. Eradication - Устранение => IRP/SOAR

6. Recovery - Восстановление => AM, IRP/SOAR

7. Post-Incident - Пост-инцидент (работа над ошибками) => IRP/SOAR, SGRC, SIEM 


В продукте реализованы механизмы детектирования инцидентов кибербезопасности, уникальные методы расследования и реагирования на основе технологии динамических плейбуков и машинного обучения. Все этапы обработки инцидентов максимально автоматизированы и отличаются современным объектно-ориентированным подходом.


Основная идея концепции динамических плейбуков заключается в автоматической адаптации планов реагирования под конкретную ситуацию сработавшего инцидента: система автоматически анализирует событие, его атрибуты, технику атаки, задействованные объекты и на основании этой информации автоматически выстраивает нужный плейбук с помощью входящих в продукт атомарных сценариев реагирования. За счет ретроспективного анализа окрестностей инцидента Security Vision NG SOAR определяет цепочку атаки и выстраивает реагирование, исходя из полученных объектов.


Такой подход не требует сложной предварительной разработки и настройки множества плейбуков, оценки и предрасчета маршрутов атакующего, достижимости инфраструктуры, расчета вариантов атаки, построения карт атак и инфраструктуры сети. Система Security Vision NG SOAR каждый раз собирает подходящий план обработки инцидента.


NG SOAR базируется на единой платформе Security Vision. Заказчикам доступны все преимущества платформы, в том числе широкие возможности кастомизации.


NIST UEBA IRP SGRC TIP Финцерт SOAR SIEM НКЦКИ NG SOAR (Next Generation SOAR) ГосСОПКА Управление уязвимостями Управление ИТ-активами

Рекомендуем

Три слона, на которых держится логирование в Windows
Три слона, на которых держится логирование в Windows
API на передовой: методы противостояния кибератакам
API на передовой: методы противостояния кибератакам
Data-Centric Audit and Protection (DCAP)
Data-Centric Audit and Protection (DCAP)
Темные стороны контейнеров: риски и меры безопасности
Темные стороны контейнеров: риски и меры безопасности
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Разработка без кода
Разработка без кода
Процессы ИТ и ИБ
Процессы ИТ и ИБ
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты

Рекомендуем

Три слона, на которых держится логирование в Windows
Три слона, на которых держится логирование в Windows
API на передовой: методы противостояния кибератакам
API на передовой: методы противостояния кибератакам
Data-Centric Audit and Protection (DCAP)
Data-Centric Audit and Protection (DCAP)
Темные стороны контейнеров: риски и меры безопасности
Темные стороны контейнеров: риски и меры безопасности
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Разработка без кода
Разработка без кода
Процессы ИТ и ИБ
Процессы ИТ и ИБ
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты

Похожие статьи

Взлом на заказ: кто и зачем это делает, что чаще всего взламывают
Взлом на заказ: кто и зачем это делает, что чаще всего взламывают
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Безопасность использования облачных хранилищ
Безопасность использования облачных хранилищ
Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Интернет вещей и безопасность
Интернет вещей и безопасность
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Модель угроз ФСТЭК
Модель угроз ФСТЭК
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Конфиденциальная информация
Конфиденциальная информация

Похожие статьи

Взлом на заказ: кто и зачем это делает, что чаще всего взламывают
Взлом на заказ: кто и зачем это делает, что чаще всего взламывают
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Безопасность использования облачных хранилищ
Безопасность использования облачных хранилищ
Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Интернет вещей и безопасность
Интернет вещей и безопасность
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Модель угроз ФСТЭК
Модель угроз ФСТЭК
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Конфиденциальная информация
Конфиденциальная информация