В одной из прошлых статей мы вместе с экспертами разбирались, какие системы нужно внедрять в SOC на разных этапах его зрелости. К числу «мастхэв-инструментов» эксперты отнесли решения IRP/SOAR. В этом обзоре рассказываем, как автоматизированные решения помогают компаниям быстро обнаружить кибератаку и свести к минимуму ее негативные последствия.
Скорость реакции на попытки взлома, подозрительную активность ПО или нелегитимные действия в инфраструктуре во многом определяет ущерб от инцидента для бизнеса. Организации следует заранее подготовиться к возможной кибератаке: сформировать план, разработать процессы, довести их до всех задействованных сотрудников.
Системы класса IRP/SOAR (Incident Response Platform/Security Orchestration, Automation and Response) выполняют именно эту задачу: наладить и максимально автоматизировать процессы, чтобы в решающий момент время не уходило впустую.
По данным IBM, в 2022 году на обнаружение взлома уходило в среднем 277 дней. Использование автоматизированных систем сокращает эту цифру на 25% — до 203 дней — и позволяет сократить ущерб от инцидента на $3 млн.
Платформы реагирования на киберинциденты — это базовый компонент архитектуры упреждающих и оперативных мер противодействия кибератакам. Они позволяют обнаруживать аномалии, определять актуальные угрозы и реагировать на угрозы в режиме реального времени с помощью автоматизированных сценариев (плейбуков). Эти сценарии представляют собой спланированные рабочие процессы, которые автоматически координируют реакцию на события безопасности, объединяя множество разрозненных инструментов.
Как правило, решения «из коробки» включают в себя некоторый набор плейбуков, который впоследствии обогащается и дорабатывается с учетом особенностей конкретной организации.
С применением IRP-систем компания получает возможность стратегически спланировать и организовать действия в случае разных инцидентов, а также задокументировать все происходящее в ходе атаки с помощью формализованных отчетов об инцидентах для дальнейшего анализа. Автоматизация действия помогают службам безопасности сократить время и ресурсы для обработки инцидентов, а также выявлять и устранять события, которые могли быть пропущены из-за нехватки ресурсов.
Основные возможности IRP-систем:
о и как нужно действовать. IRP-система автоматизирует эскалацию работы с инцидентов и назначение задач сотрудникам службы безопасности.
Gartner определяет решения Security Orchestration, Automation and Response (SOAR) как категорию инструментов безопасности, которые могут собирать данные об угрозах из нескольких источников, сортировать события безопасности и автоматически реагировать на большое количество инцидентов безопасности. Ключевое отличие от IRP-систем состоит в оркестровке разрозненных систем безопасности, IT-систем, команд аналитиков и ИБ-специалистов.
SOAR-решения – это мощный инструмент, однако эксперты рекомендуют подходить к автоматизации реагирования постепенно. Первые сценарии нужно создавать на основе ручных операций, которые можно легко отслеживать. Испытав эти процессы на реальных событиях безопасности, компания сможет убедиться, что они действительно эффективны.
После этого можно развивать автоматизацию: после каждого инцидента исследовать, что сработало, а что нет, и донастраивать процессы. Постепенно компания сможет определить шаги, которые можно автоматизировать далее — и цикл повторяется.
Такой подход позволит организации осознанно подходить к автоматизации реагирования. Специалисты смогут создавать шаблоны процессов для разных категорий инцидентов, что позволит повторно использовать общие процедуры для эффективного взаимодействия перед лицом угроз, с которыми компания сталкивается в реальной жизни, а не в теории.
Основные возможности SOAR-систем:
Cyber Media спросил у экспертов по информационной безопасности, какие факторы влияют на эффективность IRP/SOAR.
Сергей Полунин
Руководитель группы защиты инфраструктурных ИТ компании «Газинформсервис»
Внедрение IRP/SOAR подразумевает определенную зрелость самих процессов управления информационной безопасностью в организации. К моменту принятия решения о покупке и внедрении этого продукта, как правило в организациях уже есть SIEM, DLP, различие решения по защите рабочих станций и сетевой безопасностью. По своей сути IRP/SOAR решения должны автоматизировать то, что и так происходит в компании в плане инцидентов информационной безопасности.
Сергей Золотухин
Консультант по кибербезопасности компании F.A.C.C.T.
Внедрение платформ IR требует не просто наличия комплекса средств для выявления и отражения угрозы. Чтобы эти средства работали эффективно, они должны централизованно управляться. И, естественно, должны быть отлаженные вручную процессы, которые могут быть эффективно автоматизированы.
Мы рекомендуем компаниям, которые стремятся к повышению зрелости ИБ: начинайте с XDR, расширяйте возможности с помощью MXDR, не отдавая на сторону функцию защиты, и далее двигайтесь к IRP.
Теймур Хеирхабаров
Директор департамента мониторинга, реагирования и исследования киберугроз BI.ZONE
Прежде чем внедрять IRP/SOAR, компания как минимум должна иметь источник подозрений на инциденты кибербезопасности и процесс реагирования на них. Таким источником может быть SIEM-система, срабатывания правил корреляции которой заводятся в IRP/SOAR, иное решение, направляющее уведомления о подозрении на инциденты в IRP/SOAR напрямую, а не через SIEM (например, EDR/XDR), либо внешний коммерческий SOC/MDR.
Если же в компании отсутствуют источник выявления инцидентов и самый простой процесс реагирования на них, внедрение IRP/SOAR преждевременно.
Сергей Полунин
Руководитель группы защиты инфраструктурных ИТ компании «Газинформсервис»
ИБ-специалисты должны хорошо понимать, что из себя представляют те или иные инциденты ИБ и как именно работают имеющиеся в их распоряжении средства ИБ. Без этого понимания отдачи от IRP/SOAR не будет, потому что их задача именно автоматизировать процессы, а не принимать решения за специалистов. Как правило к IRP/SOAR решениям переходят после внедрения SIEM, когда уже сами специалисты в компании умеют разбирать инциденты и понимают, что реагирование на них начало съедать слишком много времени.
Сергей Золотухин
Консультант по кибербезопасности компании F.A.C.C.T.
Наш опыт показывает, что такие платформы не заменяют человека: ни одна автоматизированная платформа не в силах противостоять новой изощренной и дерзкой атаке, управляемой человеком. Более того, внедрение IRP (Incident Response Platform) требует высокой квалификации сотрудников, а это означает обучение на специализированных курсах и глубокое погружение в различные области: криминалистика, malware-анализ, Threat hunting и так далее.
Сергей Полунин
Руководитель группы защиты инфраструктурных ИТ компании «Газинформсервис»
IRP/SOAR автоматизируют работу с инцидентами, соответственно прежде чем внедрять эти решения, работа с инцидентами уже должна вестись с помощью, например, SIEM-системы, руками ИБ-специалистов. В компании должны быть грамотно настроены источники событий, чтобы системе было с чем работать. Ну и конечно нужны квалифицированные кадры, которые не только понимают, как настраивать реакцию на инциденты, но глубоко понимают возможности имеющихся средств защиты, как именно происходят хакерские атаки и что этому можно противопоставить.
Отражать кибератаки вручную в сегодняшних условиях физически невозможно: преступники действуют быстро и скрытно. Решения IRP/SOAR автоматизируют множество рабочих задач ИБ-специалистов и потому являются обязательным элементом безопасности цифровых активов.
Однако прежде чем внедрять эти системы, необходимо выстроить процессы и четко определить цели. В противном случае компания рискует впустую потратить ресурсы и не получить ожидаемых результатов.
В следующих материалах мы продолжим знакомить вас с особенностями и возможностями разных классов продуктов, которые наиболее актуальны при построении SOC-центров.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.
Зарегистрироваться