SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Технология SOAR и ее место в SOC

Технология SOAR и ее место в SOC
20.05.2024

Игорь Семенчёв, Security Vision

 

Центр мониторинга и реагирования на кибератаки, или сокращенно SOC, это сложный структурный симбиоз трех основных элементов: технологий, людей и слаженно работающих выстроенных процессов. В элементе технологии задействован широкий перечень различных классов решений, обеспечивающих защиту инфраструктуры компании от киберугроз, однако сердцем SOC является SIEM-система. SIEM аккумулирует, нормализует и хранит события информационной безопасности, поступающие от разнородных источников и систем инфраструктуры, а также, благодаря имеющемуся набору правил, осуществляет анализ событий. Среди большого перечня поступивших в SIEM систему событий выявляются подозрения на инциденты ИБ.

 

Далее с выявленными инцидентами работают специалисты линий мониторинга и аналитики SOC. Они проводят расследования выявленных инцидентов ИБ и формируют перечень защитных действий по недопущению распространения инцидента и ликвидации угроз. Помимо специалистов линий мониторинга, к расследованиям зачастую привлекаются специалисты, отвечающие за объект или актив инфраструктуры, в чьей зоне ответственности произошел инцидент. В расследованиях инцидентов могут участвовать администраторы информационных систем, специалисты ИБ и ИТ подразделений, а также группа реагирования на инциденты информационной безопасности.

 

В процессе расследования инцидента ИБ аналитик SOC параллельно может подключаться к связанным с инцидентом средствам защиты информации, таким как антивирус, NGFW, песочница и другим СЗИ. Целью таких подключений является просмотр правил, политик, настроек конфигурации и иного рода информации, которая поможет более полно составить картину произошедшего инцидента. Помимо средств защиты информации, аналитик обращается за информацией к различного рода сервисам. Это могут быть аналитические сервисы, платформа анализа подозрительных файлов, платформа управления информацией о киберугрозах (Threat Intelligence), платформа проактивного поиска и обнаружения угроз (Threat Hunting), а также базы угроз и базы знаний.

 

Работать с инцидентами ИБ в консоли SIEM системы не всегда удобно — ее возможности не позволяют вести процесс расследования, эскалации, запроса дополнительной информации, а также отсутствует возможность смаршрутизировать решение инцидента на ответственного специалиста. При проведении расследования сложного нетипового инцидента огромным преимуществом для аналитика является сведение множества консолей различных средств защиты в одно единое рабочее пространство, которое позволяет вести процесс расследования инцидента, а также управлять его жизненным циклом.

 

Для избавления от трудностей и неудобств, возникающих при работе с SIEM системой, а также для упрощения и создания структурности процесса расследования инцидентов существует отдельный класс решений, называемый SOAR.

 

Что такое SOAR. Функциональные возможности и ценность

 

SOAR (Security Orchestration Automation and Response) — это класс решений, предназначенный для оркестрации, координации и централизованного управления СЗИ, а также системами безопасности. SOAR обогащает данными инциденты ИБ, получаемые из SIEM системы или иных источников, обрабатывает инциденты ИБ и автоматизирует механизм реагирования, т.е. предлагает готовые инструкции реагирования на инциденты.

 

Теперь давайте разбираться, что же такое SOAR платформа, какой у нее функционал и как SOAR дополняет SIEM систему:


1. Специализированная тикетница, “Service Desk” решение в ИБ для работы с инцидентами. Позволяет сформировать внутреннюю базу знаний, а также вести учет выявленных инцидентов ИБ и подозрений на инциденты.


2. Автоматизация процесса реагирования и управления инцидентом. Формирование динамического плейбука реагирования на инцидент ИБ в зависимости от величины угрозы и вектора развития атаки, что позволяет сократить время принятия решения аналитиком при расследовании инцидента и не позволить атаке распространиться в инфраструктуре.


3. Платформа позволяет уменьшить количества консолей, используемых аналитиком при расследовании инцидента. Нет необходимости параллельно открывать множество консолей СЗИ, все необходимые действия по реагированию и расследованию проводятся в SOAR.


4. Возможность разделения функциональных прав платформы для сотрудников различных ролей, например, Аналитики L1-L3, Аудитор, Руководитель группы, а также возможность создавать свои роли, исходя из принятой организационной структуры, с необходимым набором функциональных возможностей и задач.


5. Автоматическое обогащение выявленных в инфраструктуре уязвимостей дополнительной информацией, полученной из различных баз угроз, например, CVE, БДУ ФСТЭК.


6. Возможность выполнения скриптов через интерпретаторы CMD, bash, Shell, Java, JavaScript, PowerShell, Python и другие для запроса дополнительной информации с источника данным либо для осуществления удаленного реагирования на атаку, например, сбор дампа памяти, остановка необходимого процесса системы либо иные действия.


7. Возможность взаимодействовать с OpenAI, например, c чат-ботом ChatGPT, для решения нетиповых аналитических задач.


8. Возможность объединять наборы инцидентов в единую атаку по заданным правилам, признакам, а также возможность представить цепочку kill chain в графическом представлении со всеми имеющимися взаимосвязями и зависимыми сущностями.


9. Наличие в SOAR дополнительных модулей, таких как модуль контроля активов инфраструктуры, анализа угроз кибербезопасности (Threat Intelligence), управления уязвимостями, модуль SGRC и другие, позволяющие повысить защищенность и вывести процесс управления ИБ на новый уровень зрелости.


10. Механизм инвентаризации помогает собирать актуальную информацию об имеющихся в инфраструктуре хостах, в том числе помогает обнаружить Shadow IT. Предоставляет возможность вести учет активов, ПО, их версионность.


11. Возможность построения карты сети с привязкой к карте мира, субъекту страны, региону или городу, что помогает в оценке распространения угрозы и ее влияния на инфраструктуру.


12. Возможность построения и настройки пользовательских дашбордов для визуального представления статистики по инцидентам ИБ. Можно строить дашборды различной направленности: операционный, стратегический и аналитический как для специалистов линий SOC, так и для руководителя или CISO, с различным уровнем детализации.


13. Возможность автоматического и ручного формирования отчетов различного наполнения и детализации за необходимый временной интервал.


14. Возможность настроить оповещение ответственных специалистов по email, в имеющиеся service desk системы, в telegram или интегрироваться с любым корпоративным мессенджером, способным взаимодействовать с платформой SOAR по API. Помимо отправки почтовых оповещений, SOAR платформа способна собирать ответы и объединять сообщения различных пользователей из почты, telegram и других мессенджеров, прикрепляя их в релевантные карточки инцидента, таким образом формируя информационную историческую цепочку обработки инцидента.


15. Возможность интеграций с НКЦКИ и ФинЦЕРТ позволяет получать информационные бюллетени, а также информировать регулятора о выявленных инцидентах и вести двустороннее взаимодействие.

 

Вместо заключения


SOAR платформа решает задачи централизованного механизма работы с инцидентами и реагированием на выявленные инциденты ИБ. Она позволяет смаршрутизировать инцидент ИБ на ответственного специалиста, а также за счет описанных динамических плейбуков оценить опасность инцидента и предложить механизм реагирования на выявленную угрозу.

 

За последние несколько лет в сфере информационной безопасности отчетливо наблюдаются два тренда: первый это пристальный интерес к отечественным компаниям со стороны различного рода иностранных групп хактивистов, киберпреступников, кибернаемников и проправительственных группировок, второй тренд - это спрос на специалистов информационной безопасности, аналитиков с широким практическим опытом. Во многих компаниях наблюдается ситуация, когда специалисты ИБ имеют довольно большую рабочую нагрузку, связанную с дефицитом специалистов и постоянно растущим количеством атак на инфраструктуру.

 

SOAR своими возможностями дополняет SIEM систему и позволяет решить обе проблемы путем автоматизации рабочих процессов и снижения времени на работу с инцидентами. SOAR платформа помогает значительно сократить время принятия решения, упростить и автоматизировать механизм реагирования на инциденты, а также высвободить время сотрудников на решение более важных задач путем автоматизации реагирования на типовые рутинные угрозы.

 

SOAR SOC TIP SIEM Финцерт НКЦКИ

Похожие статьи

Расследование инцидентов и использование специализированных инструментов
Расследование инцидентов и использование специализированных инструментов
Управление непрерывностью бизнеса
Управление непрерывностью бизнеса
Три слона, на которых держится логирование в Windows
Три слона, на которых держится логирование в Windows
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 1
Ландшафт угроз информационной безопасности последних лет. Часть 1
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Динамические плейбуки
Динамические плейбуки

Похожие статьи

Расследование инцидентов и использование специализированных инструментов
Расследование инцидентов и использование специализированных инструментов
Управление непрерывностью бизнеса
Управление непрерывностью бизнеса
Три слона, на которых держится логирование в Windows
Три слона, на которых держится логирование в Windows
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 1
Ландшафт угроз информационной безопасности последних лет. Часть 1
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Динамические плейбуки
Динамические плейбуки