2023/01/30 10:43:40

Кибер-детективы. На что способны современные ИБ-решения класса SOAR

Совершенствование системы информационной безопасности - основная задача любой крупной компании с серьезной ИТ-инфраструктурой, особенно если она провела цифровую трансформацию и имеет значительную долю цифровых активов. Для их сохранения нужно не просто отражать атаки, но и заниматься постоянным совершенствованием системы защиты. А этого можно достигнуть в частности с помощью расследования инцидентов и принятия ответных мер по результатам. Если вы провели анализ цепочки деятельности хакеров, то сможете понять, куда они целились, на что они рассчитывали и как можно усилить комплексную оборону инфраструктуры. Управление инцидентами и их расследование является ключевым элементом концепции SOAR - Security Orchestration, Automation and Response, которая предполагает «оркестровку» (не путать с дирижированием) деятельности средств защиты ИТ-инфраструктуры, автоматизацию деятельности по купированию нападений и работу над ошибками по результатам как отраженных, так и пропущенных атак.

Содержание

Изначально технологии, которые образовали основу SOAR, разрабатывались в рамках продуктов для управления инцидентами информационной безопасности или Incident Response Platform (IRP). Продукты этого класса также собирали информацию об инцидентах, автоматизировали ее обработку и выдавали рекомендации по реагированию. Именно в рамках этой технологии были разработаны и стандартизованы сценарии реагирования, наборы ИБ-процессов и принципы реагирования служб информационной безопасности. Были составлены лучшие практики по реагированию, которые легли в основу различных международных документов.

В частности, в соответствии со стандартом NIST SP 800-61 rev.2 «Руководство по обработке инцидентов компьютерной безопасности» в процесс реагирования на киберинциденты было включено последовательное выполнение следующих основных процессов: подготовка к отражению инцидента, сбор и анализ информации об инциденте, реагирование и локализация атаки, устранение и восстановление после инцидента, а также выполнение действий после реагирования (post-incident activity) с анализом «выученного урока».

Именно эта «постинцидентая» активность с корректировкой планов реагирования, перенастройкой СЗИ и сценариев, и легла в основу функционала расследования инцидентов. Со временем аналитики поняли, что к набору инструментов для управления инцидентами можно добавить и расследование: выстраивание событий ИБ в цепочку, анализ этой цепочки и рекомендации по модернизации всех элементов защиты - сценариев и процессов реагирования, правил работы межсетевых экранов и политики обновления, а также многих других элементов защиты.

Так и родилась концепция продуктов класса SOAR, определение которой было сформулировано Gartner в 2017 году. В нем было сказано, что к функциям IRP добавляется кейс-менеджмент для совместной работы группы аналитиков над инцидентами, возможности обработки данных киберразведки (Threat Intelligence feeds, TI-фиды), а также механизмы визуализации, отчетности, аналитики, протоколирования выполненных действий по реагированию, ведения базы знаний и других. В решениях этого класса также могут быть добавлены элементы технологий Больших данных, машинного обучения и искусственного интеллекта, которые обычно используются для ускорения реагирования и помощи в оперативном принятии решений.

Причем, этот функционал добавили к IRP практически все западные аналитические агентства. В результате они подготовили свои варианты отчётов по рынку SOAR-продуктов. И хотя Gartner до сих пор не сформировал свой квадрант, тем не менее его аналитики уже выпустили отчет Gartner SOAR Market Guide 2022, где сделан обзор 46 продуктов различных производителей. TAdviser выпустил Гид по российским операционным системам 10.3 т

Аналитики компании считают SOAR объединением трех технологий:

  • платформ реагирования на инциденты безопасности (Security Incident Response Platforms - SIRP),
  • решений по оркестровке и автоматизации ИБ (Security Orchestration and Automation - SOA),
  • платформ киберразведки (Threat Intelligence Platforms - TIP).

В соответствии с документом Gartner наиболее востребованным функционалом SOAR является автоматизация действий сотрудников служб ИБ в условиях нехватки высококвалифицированных кадров, разбор и анализ большого числа инцидентов для реагирования и составления отчетности, а также анализ постоянно усложняющихся цепочек атак. В то время как функции по расследованию инцидентов востребованы не часто. Сами продукты SOAR в основном внедряются в крупных компаниях как элементы ситуационных центров ИБ (SOC) и после разворачивания в инфраструктуре заказчиков быстро становятся частью сложной (в хорошем смысле) комплексной системы информационной безопасности крупных предприятий и холдингов.

В целом же на своем графике Хайп-цикла для ИБ-продуктов аналитики Gartner в 2022 году (см. Рис. 1) расположили этот класс продуктов в так называемой «ложбине разочарования», то есть сейчас эти технологии проходят проверку временем. Этот этап характеризуется тем, что продуктов на рынке предлагается много, а клиент не может выбрать тот, который смог бы решить его проблемы. На этом этапе производителями важно обрести свои конкретные преимущества.

Рисунок 1. Хайп-цикл Gartner для технологии ИБ, 2022 г.

Партитура

SOAR - аббревиатура четырёхбуквенная, и продукты для нее, как правило, состоят из четырех основных частей:

  • Сбор и накопление информации. Ядром SOAR является хранилище информации о событиях ИБ, происходящих в инфраструктуре. Эта информация может получаться как напрямую от средств защиты, так и от какого-нибудь медиатора, типа SIEM. Однако хранилище SOAR не дублирует медиатора, поскольку содержит сведения в формате, необходимом для ретроспективного расследования инцидентов при помощи индикаторов компрометации (Indicators of compromise - IoC). Впрочем, это же хранилище используется и для анализа инцидентов и визуализации результатов.
  • Автоматизация. В отличии от SIEM, которая только выявляет признаки нападения - IoC, SOAR предполагает и оперативное реагирование на атаку по заранее подготовленным сценариям. Например, при обнаружении вирусной активности на каком-нибудь устройстве система предложит администратору локализовать соответствующий IP-адрес для блокирования распространения вредоносов по сети. Однако ее сценарии, как правило, носят рекомендательный характер – просто ускоряют оперативное реагирование сотрудников службы ИБ на опасные события.
  • Искусственный интеллект. Сейчас в SOAR-платформах все чаще появляются различные технологии анализа данных, такие как машинное обучение и обработка Больших данных. Их использование позволяет ускорить реагирование без необходимости обращения за предварительным подтверждением к персоналу. Точнее система сначала блокирует опасные по ее мнению действия, а потом запрашивает разрешение на блокировку от оператора. Это и позволяет перейти от мониторинга и реагирования на инциденты к их предотвращению в режиме реального времени. Однако пока этот функционал является необязательным для SOAR и подобные возможности предотвращения наступления наиболее опасных последствий от хакерских атак только тестируются.
  • Расследование. Этот элемент предполагает активное взаимодействие с системами TI, из которых и получаются IoC как для оперативного реагирования, так и для ретроспективного поиска признаков нападения. Цель этой деятельности - выявить путь проникновения злоумышленника в информационную систему и тем самым определить слабые места в защите инфраструктуры. Как только подозрительная активность обнаруживается, ее необходимо проанализировать, определить методы противодействия ей и модернизировать правила реагирования на события так, чтобы в дальнейшем аналогичная активность попадала в поле зрения оперативных дежурных ИБ-службы.

В целом, SOAR - это комплексная система реагирования на нападения, которая рассчитана на большие инфраструктуры или представление услуг по защите клиентов. Она может быть сильно распределенной с накоплением данных на нескольких технологических площадках, реагированием в составе SOC и расследованием инцидентов в специально выделенном подразделении. Понятно, что внедрение SOAR требует как минимум внедрения медиатора для обработки сообщений, поступающих от средств защиты, настройки правил автоматизации с помощью сценариев реагирования, интеграции с TI-сервисами и экспертизы по проведению расследований.

Актуальные задачи, решаемые SOAR

Следует отметить, что само слово soar переводится как "высоко взлетать" или парить. Это как бы является метафорой того, что сам инструмент позволяет взглянуть на картину ИБ «с птичьего полета». Тем не менее инструмент в последнее время становится востребованным для решения целого ряда задач, которые возникают при защите крупных ИТ-инфраструктур, в том числе, и у российских компаний. Рассмотрим более подробно, какие задачи могут решать российские заказчиками с помощью SOAR:

  • Защита персональных данных. В соответствии с новой редакцией закона №152-ФЗ «О персональных данных» операторам ИСПДн в случае утечки придется предоставлять в регулирующие органы результаты предварительного расследования инцидента. Причем срок для проведения расследования очень короткий - в течении недели. Естественно, что для этого необходимо иметь инструменты для автоматизированного анализа сообщений ИБ-компонент, для чего стоит иметь независимое хранилище данных для подготовки подобного расследования - именно его в случае необходимости предоставит SOAR. Впрочем, продукт может и достаточно оперативно обнаружить постороннее вторжение, и просто не допустить утечек за счёт автоматического реагирования по сценариям.
  • Защита объектов КИИ. Владельцам объектов КИИ любой значимости необходимо постоянно взаимодействовать с ГосСОПКА и передавать в неё сведения об инцидентах, которые происходят в их информационной системе. Причем это нужно делать вне зависимости от того, был ли инцидент результативным или был отражен средствами защиты оператора. НКЦКИ требует полный отчет о нападениях для того, чтобы набрать статистику по используемым хакерами инструментах атак и подготовить других участников ГосСОПКА к отражению аналогичных нападений. Причем НКЦКИ очень любит именно автоматическую обработку инцидентов и максимально быстрое сообщение о них в систему. В случае быстрой реакции специалисты НКЦКИ могут даже самостоятельно расследовать инциденты и за это не будет ни какого наказания субъекту КИИ. Впрочем, это уже зависит от качества сотрудничества со специалистами ведомства. SOAR в этом случае очень даже поможет, правда для этого нужна поддержка со стороны производителя SOAR работы с ГосСОПКА.
  • Защита от финансового мошенничества. В принципе, для этого используются так называемые антифрод решения, однако они в основном предназначены для оценки банковских операций на предмет защиты от мошеннических транзакций без подтверждения пользователя - реестр подобных операций ведёт Центробанк и он же требует банки сообщать о них в ведомство. Однако анализ уже случившихся инцидентов и защиту от кибератак на ИТ-инфраструктуру банка подобные инструменты проводить не умеют. В этом месте их может дополнить SOAR-решение. Кроме того, FinCERT как в рамках закона о КИИ, так и в рамках стандарта СТО БР ИББС требует отчитываться и об ИБ-инцидентах в ведомство - для этого существует набор необходимых регламентирующих документов.
  • Коммерческие SOC. Собственно, SOAR - как инструмент автоматизации реакции службы безопасности по заранее подготовленным сценариям будет полезен практически любым ситуационным центрам ИБ (SOC), однако именно для коммерческих он будет максимально полезен. Автоматизация, которая в этих инструментах заложена, позволяет экономить на увеличении количества обслуживаемых клиентов практически не добавляя новых специалистов с высокими компетенциями, которых на рынке труда в России сейчас не очень много. Также SOAR, скорее всего, поможет коммерческим SOC соблюдать или ужесточать требования SLA по реагированию на инциденты.
  • Промышленные секреты. Сейчас российская промышленность начинает борьбу за технологический суверенитет, то есть занимается созданием новых продуктов с высокой долей своей интеллектуальной собственности. Именно защита этих цифровых активов, причем как во время разработки, так и в случае отстаивания своего приоритетного права в суде, будет одной из важных задач служб информационной безопасности таких предприятий. Расследование инцидентов как для совершенствования системы защиты, так и для наказания виновных в утечках, требует качественного расследования. Впрочем, не менее важна и быстрая реакция системы защиты: как в шпионских фильмах - пока нарушитель ещё в здании и ещё не вынес секреты с территории нужно успеть его идентифицировать и задержать на выходе. Это можно сделать с помощью механизмов автоматизации по сценариям, которые реализованы в большинстве SOAR-продуктов.

Если подытожить функционал, который требуется российским компаниям от SOAR-решений, то они должны соответствовать требованиям российских регуляторов как по части сертификации, так и по взаимодействию с ГосСОПКА. Кроме того, важна интеграция с такими системами защиты как SIEM, DLP, TI и даже СКУД, которые доступны на территории России. Это сильно ограничивает выбор решений - лучше всего подходят именно отечественные решения SOAR, благо такие решения уже появились в ассортименте отечественных разработчиков.

SOAR в России

Хотя концепции SOAR исполнилось всего пять лет, тем не менее российские разработчики уже достаточно давно приступили к разработке SOAR-продуктов. Вот их список:

  • ePlat4m Security GRC. Разработчиком продукта ePlat4m Security GRC является екатеринбургский системный интегратор ООО «Компания Информационных Технологий» (ООО «КИТ»). Решение "Система автоматизации обеспечения безопасности (САОБ)" – программный комплекс на базе ePlat4m, обеспечивающий автоматизацию процессов ИБ и их интеграцию в систему управления организацией. Модуль «Управление информированием по вопросам ИБ» (УИВИБ) позволяет автоматизировать процессы регистрации и обработки инцидентов ИБ, создавать оповещения, хранить статистику и результаты проведенных расследований. Кроме модуля реагирования на инциденты, в продукте также присутствует модуль «Центр ГосСОПКА» для организации взаимодействия с НКЦКИ.
  • Innostage NS IRP. Эта разработка казанской компании Innostage в основном предназначена для управления инцидентами, тем не менее она позволяет заниматься расследованием инцидентов, устранением уязвимостей и контролем его корректности, сбором статистики и подготовкой отчетов, а также взаимодействием с ГосСОПКА. Так что основные функции SOAR, которые могут потребоваться российским пользователям, в ней реализованы.
  • Jet Signal. Это продукт отечественной ИТ-компании «Инфосистемы Джет», который можно использовать для управления инцидентами ИБ. Система Jet Signal, вероятно, была создана для определенного заказчика. Упоминания о компаниях, которые использует продукт, отсутствуют. Документация по Jet Signal, размещенная в открытом доступе на официальном сайте, датируется 2017 годом. Система имеет сертификаты соответствия требованиям безопасности.
  • Makves IRP. Продукт разработан отечественной компанией Makves (Маквес). Он предоставляет сотрудникам службы безопасности инструменты для регистрации инцидентов, управления их жизненным циклом и создания типовых сценариев реагирования на события. Хотя в продукте и есть функционал расследования инцидентов, однако он построен скорее по методике управления техническим обслуживанием с минимумом автоматизации. Так что этот продукт пока еще не перерос в SOAR, хотя и имеет все необходимые технологии для этого.
  • PT XDR/O2 и «ПТ Ведомственный центр». Выпущенный компанией Positive Technologies в 2022 году продукт Extended Detection and Response предназначен в первую очередь для выявления киберугроз и реагирования на них. Система относится к средствам обеспечения информационной безопасности на базе клиент-серверной архитектуры, предназначена для обнаружения угроз на серверах и рабочих станциях корпоративной сети и реагирования на них. Сама по себе она является инструментом управления инцидентами, однако совместно с метапродуктом O2 решение позволяет проводить расследование инцидентов со всеми возможностями, предусмотренными в концепции SOAR. Кроме того, в арсенале разработчика есть также другой продукт - «ПТ Ведомственный центр», который относится к классу классического IRP, поскольку предназначен для автоматизации процесса обработки инцидентов и информирования о них НКЦКИ и других отраслевых CERT.
  • R-Vision SOAR. Продукт разработан компанией R-Vision для агрегирования данных по инцидентам из множества источников, автоматизации обогащения, реагирования и внедрения защитных мер, обеспечения единого пространства для совместной работы ИБ-специалистов. Компания также разрабатывает решения для анализа состояния кибербезопасности и выявления аномалий (R-Vision SENSE), для обнаружения атак с помощью программных ловушек (R-Vision Threat Deception Platform), для создания центров мониторинга ГосСОПКА (R-Vision КИИ), для управления данными киберразведки (R-Vision Threat Intelligence Platform), а также для централизованного управления информационной безопасностью (R-Vision SGRC).
  • Security Vision IRP/SOAR. Этот продукт создан ГК «Интеллектуальная безопасность» для автоматизации действий по реагированию на ИБ-инциденты. Это модуль более общей платформы кибербезопасности Security Vision. Она также включает в себя модули управления соответствием законодательным требованиям и контроль ИБ (Security Vision SGRC/auto-SGRC), обеспечения безопасности критической информационной инфраструктуры при работе с ГосСОПКА (Security Vision КИИ), построения SOC-центров (Security Vision SOC), а также управления киберрисками и операционными рисками (Security Vision CRS).
  • UserGate. Функции SOAR реализованы в контексте сетевой безопасности в продуктах UserGate 5 — российском межсетевом экране нового поколения. В нем также реализованы и множество других модулей для организации системы безопасности предприятия: IDS/IPS, VPN-шлюз, SSL-инспектор, обратный прокси, антивирус, защита электронной почты и даже сборщик статистики, с поддержкой анализа событий ИБ (SIEM-функционал). Технологии UserGate позволяют анализировать поведение различных процессов, выявлять риски и автоматически обеспечивать на основе этого анализа адекватную реакцию, организуя эффективную защиту от угрозы или просто от аномального поведения.

Видно, что большая часть продуктов SOAR является модулем или элементом более общей платформы для организации защиты ИТ-инфраструктуры и расследования инцидентов. Также можно констатировать, что на отечественном рынке сейчас доступно достаточно много продуктов, которые можно отнести к категории SOAR. За 2022 год они прошли боевую проверку на отражении и расследовании инцидентов, которых было очень много.

Заключение

Концепции SOAR уже исполнилось пять лет и она вышла из детского возраста (читай - вышла на плато продуктивности). На рынке есть достаточно много разработчиков средств защиты, которые уже выпустили соответствующие продукты. Как правило, SOAR-продукты являются модулями для более общих платформ или экосистем средств защиты, на базе которых строятся решения SOC или защиты крупных холдинговых структур. У продуктов есть вполне понятные направление развития - совершенствование искусственного интеллекта и интеграция с максимальным количеством средств защиты. Но, главное, есть потребность в продуктах, чему способствуют дефицит кадров и большое количество сложных атак.

Кроме того, отечественный рынок очистился от иностранных производителей, которые развивались быстрее и уже сформировали потребность в определенном функционале в том числе и у отечественных компаний. Теперь перед российскими разработчиками стоит важная задача реализовать все желания клиентов максимально быстро и наиболее технологично.