Игорь Семенчёв, Security Vision
Центр мониторинга и реагирования на кибератаки, или сокращенно SOC, это сложный структурный симбиоз трех основных элементов: технологий, людей и слаженно работающих выстроенных процессов. В элементе технологии задействован широкий перечень различных классов решений, обеспечивающих защиту инфраструктуры компании от киберугроз, однако сердцем SOC является SIEM-система. SIEM аккумулирует, нормализует и хранит события информационной безопасности, поступающие от разнородных источников и систем инфраструктуры, а также, благодаря имеющемуся набору правил, осуществляет анализ событий. Среди большого перечня поступивших в SIEM систему событий выявляются подозрения на инциденты ИБ.
Далее с выявленными инцидентами работают специалисты линий мониторинга и аналитики SOC. Они проводят расследования выявленных инцидентов ИБ и формируют перечень защитных действий по недопущению распространения инцидента и ликвидации угроз. Помимо специалистов линий мониторинга, к расследованиям зачастую привлекаются специалисты, отвечающие за объект или актив инфраструктуры, в чьей зоне ответственности произошел инцидент. В расследованиях инцидентов могут участвовать администраторы информационных систем, специалисты ИБ и ИТ подразделений, а также группа реагирования на инциденты информационной безопасности.
В процессе расследования инцидента ИБ аналитик SOC параллельно может подключаться к связанным с инцидентом средствам защиты информации, таким как антивирус, NGFW, песочница и другим СЗИ. Целью таких подключений является просмотр правил, политик, настроек конфигурации и иного рода информации, которая поможет более полно составить картину произошедшего инцидента. Помимо средств защиты информации, аналитик обращается за информацией к различного рода сервисам. Это могут быть аналитические сервисы, платформа анализа подозрительных файлов, платформа управления информацией о киберугрозах (Threat Intelligence), платформа проактивного поиска и обнаружения угроз (Threat Hunting), а также базы угроз и базы знаний.
Работать с инцидентами ИБ в консоли SIEM системы не всегда удобно — ее возможности не позволяют вести процесс расследования, эскалации, запроса дополнительной информации, а также отсутствует возможность смаршрутизировать решение инцидента на ответственного специалиста. При проведении расследования сложного нетипового инцидента огромным преимуществом для аналитика является сведение множества консолей различных средств защиты в одно единое рабочее пространство, которое позволяет вести процесс расследования инцидента, а также управлять его жизненным циклом.
Для избавления от трудностей и неудобств, возникающих при работе с SIEM системой, а также для упрощения и создания структурности процесса расследования инцидентов существует отдельный класс решений, называемый SOAR.
Что такое SOAR. Функциональные возможности и ценность
SOAR (Security Orchestration Automation and Response) — это класс решений, предназначенный для оркестрации, координации и централизованного управления СЗИ, а также системами безопасности. SOAR обогащает данными инциденты ИБ, получаемые из SIEM системы или иных источников, обрабатывает инциденты ИБ и автоматизирует механизм реагирования, т.е. предлагает готовые инструкции реагирования на инциденты.
Теперь давайте разбираться, что же такое SOAR платформа, какой у нее функционал и как SOAR дополняет SIEM систему:
1. Специализированная тикетница, “Service Desk” решение в ИБ для работы с инцидентами. Позволяет сформировать внутреннюю базу знаний, а также вести учет выявленных инцидентов ИБ и подозрений на инциденты.
2. Автоматизация процесса реагирования и управления инцидентом. Формирование динамического плейбука реагирования на инцидент ИБ в зависимости от величины угрозы и вектора развития атаки, что позволяет сократить время принятия решения аналитиком при расследовании инцидента и не позволить атаке распространиться в инфраструктуре.
3. Платформа позволяет уменьшить количества консолей, используемых аналитиком при расследовании инцидента. Нет необходимости параллельно открывать множество консолей СЗИ, все необходимые действия по реагированию и расследованию проводятся в SOAR.
4. Возможность разделения функциональных прав платформы для сотрудников различных ролей, например, Аналитики L1-L3, Аудитор, Руководитель группы, а также возможность создавать свои роли, исходя из принятой организационной структуры, с необходимым набором функциональных возможностей и задач.
5. Автоматическое обогащение выявленных в инфраструктуре уязвимостей дополнительной информацией, полученной из различных баз угроз, например, CVE, БДУ ФСТЭК.
6. Возможность выполнения скриптов через интерпретаторы CMD, bash, Shell, Java, JavaScript, PowerShell, Python и другие для запроса дополнительной информации с источника данным либо для осуществления удаленного реагирования на атаку, например, сбор дампа памяти, остановка необходимого процесса системы либо иные действия.
7. Возможность взаимодействовать с OpenAI, например, c чат-ботом ChatGPT, для решения нетиповых аналитических задач.
8. Возможность объединять наборы инцидентов в единую атаку по заданным правилам, признакам, а также возможность представить цепочку kill chain в графическом представлении со всеми имеющимися взаимосвязями и зависимыми сущностями.
9. Наличие в SOAR дополнительных модулей, таких как модуль контроля активов инфраструктуры, анализа угроз кибербезопасности (Threat Intelligence), управления уязвимостями, модуль SGRC и другие, позволяющие повысить защищенность и вывести процесс управления ИБ на новый уровень зрелости.
10. Механизм инвентаризации помогает собирать актуальную информацию об имеющихся в инфраструктуре хостах, в том числе помогает обнаружить Shadow IT. Предоставляет возможность вести учет активов, ПО, их версионность.
11. Возможность построения карты сети с привязкой к карте мира, субъекту страны, региону или городу, что помогает в оценке распространения угрозы и ее влияния на инфраструктуру.
12. Возможность построения и настройки пользовательских дашбордов для визуального представления статистики по инцидентам ИБ. Можно строить дашборды различной направленности: операционный, стратегический и аналитический как для специалистов линий SOC, так и для руководителя или CISO, с различным уровнем детализации.
13. Возможность автоматического и ручного формирования отчетов различного наполнения и детализации за необходимый временной интервал.
14. Возможность настроить оповещение ответственных специалистов по email, в имеющиеся service desk системы, в telegram или интегрироваться с любым корпоративным мессенджером, способным взаимодействовать с платформой SOAR по API. Помимо отправки почтовых оповещений, SOAR платформа способна собирать ответы и объединять сообщения различных пользователей из почты, telegram и других мессенджеров, прикрепляя их в релевантные карточки инцидента, таким образом формируя информационную историческую цепочку обработки инцидента.
15. Возможность интеграций с НКЦКИ и ФинЦЕРТ позволяет получать информационные бюллетени, а также информировать регулятора о выявленных инцидентах и вести двустороннее взаимодействие.
Вместо заключения
SOAR платформа решает задачи централизованного механизма работы с инцидентами и реагированием на выявленные инциденты ИБ. Она позволяет смаршрутизировать инцидент ИБ на ответственного специалиста, а также за счет описанных динамических плейбуков оценить опасность инцидента и предложить механизм реагирования на выявленную угрозу.
За последние несколько лет в сфере информационной безопасности отчетливо наблюдаются два тренда: первый это пристальный интерес к отечественным компаниям со стороны различного рода иностранных групп хактивистов, киберпреступников, кибернаемников и проправительственных группировок, второй тренд - это спрос на специалистов информационной безопасности, аналитиков с широким практическим опытом. Во многих компаниях наблюдается ситуация, когда специалисты ИБ имеют довольно большую рабочую нагрузку, связанную с дефицитом специалистов и постоянно растущим количеством атак на инфраструктуру.
SOAR своими возможностями дополняет SIEM систему и позволяет решить обе проблемы путем автоматизации рабочих процессов и снижения времени на работу с инцидентами. SOAR платформа помогает значительно сократить время принятия решения, упростить и автоматизировать механизм реагирования на инциденты, а также высвободить время сотрудников на решение более важных задач путем автоматизации реагирования на типовые рутинные угрозы.