В обзоре мирового рынка SOAR-систем были проанализированы современные системы автоматизации реагирования на инциденты информационной безопасности, показана актуальность данного класса решений и представлено большое количество разнообразных продуктов.
В настоящей работе проведен сравнительный анализ известных коммерческих решений класса IRP / SOAR от отечественных и зарубежных вендоров, предлагающих свои продукты на территории России. Продукты исследовались по общим и техническим характеристикам, а также по функциональным возможностям. Продемонстрированы широкие возможности решений класса IRP / SOAR по автоматизации обработки киберинцидентов и выполнению сопутствующих действий (аналитика, корреляция, визуализация), в том числе с использованием методов машинного обучения, искусственного интеллекта, обработки Big Data.
По каждому разделу сделаны выводы.
Авторы: Грачева Ю.В., Вайц В.Л., Рудик К.П.
Вывод по разделу №1:
Сравнение общих и технических характеристик рассматриваемых решений показывает, что для современных IRP/SOAR-систем в целом характерны одинаковые архитектурные подходы: поддержка сред виртуализации и Open Source платформ, широкое использование API-интерфейсов, доступ к продукту через веб-интерфейс с поддержкой различных методов аутентификации, гибким поиском и опциями кастомизации внешнего вида, поддержка работы в режиме multitenancy и быстрое масштабирование для выполнения требований MSSP-провайдеров в части производительности. При этом продукты от вендоров широкой специализации (IBM, PaloAlto) гарантированно раскроют свои возможности при работе в тесной связке со смежными системами данных производителей, а компоненты и внутренние механизмы таких продуктов также зачастую «завязаны» на использование единого технологического стека вендора. Вендоронезависимые же продукты могут похвастаться большей гибкостью и широтой интеграционных возможностей.
Отечественные решения обладают определенными конкурентными преимуществами по сравнению с зарубежными продуктами: имеют сертификаты ФСТЭК России, включены в Единый реестр российских программ для ЭВМ и баз данных, вендоры могут оказывать оперативную поддержку on-site и на русском языке, знакомы со спецификой рынка. Российские решения поддерживают установку на отечественные операционные системы, что может также стать определяющим фактором при выборе для ряда заказчиков. Оба игрока также предлагают нечто большее, чем просто IRP/SOAR-системы: интеграция процессов управления ИБ (с помощью модулей SGRC-систем) и процессов реагирования на киберинциденты обеспечивает более глубокое видение событий и инцидентов ИБ, обогащение данных, дает необходимый контекст для принятия решений при обработке киберинцидентов. При этом Security Vision предлагает более заманчивые лицензионные условия (неограниченное количество ИТ-активов и пользователей в системе, включенные в стоимость пакеты экспертизы), более гибкие опции установки (поддержка Windows-инсталляций), возможности физической изоляции данных тенантов (что может быть критично для определенных клиентов MSSP-провайдеров).
Стоит отметить, что ряд западных и российских производителей пошли по пути микросервисной архитектуры, что, с одной стороны, упрощает поставку более сложных интеграций, но с другой — ведет к необходимости дополнительной квалификации сотрудников, ответственных за обслуживание продукта. Наличие сертификатов российских регуляторов и возможность установки на отечественные операционные системы может стать определяющим для ряда заказчиков.
Вывод по разделу №2:
Тенденции:
Функциональные возможности IRP/SOAR-систем демонстрируют основные тенденции современных способов автоматизации процессов реагирования на киберинциденты: интеграция с большим количеством разнородных систем для обогащения и контекстуализации данных об инцидентах и автоматизированного устранения и локализации угроз, отражение логики процессов реагирования в виде графических плейбуков, возможность создания пользовательских сценариев реагирования, предоставление инструментов совместной работы аналитиков ИБ (в виде единого интерфейса и реализации концепции ChatOps), взаимодействие с системами управления данными киберразведки, построение хронологии инцидента с документированием и сбором форензик-данных, визуализация обработанных данных в дашбордах, виджетах, отчетах. Находят свое применение и системы машинного обучения, искусственного интеллекта, анализа Big Data: с их помощью аналитикам ИБ даются подсказки о наиболее подходящих способах реагирования, предлагаются варианты дальнейших действий, анализируются тренды, на кейсы назначаются наиболее подходящие по опыту сотрудники.
Интеграции:
Основным инструментом, без которого не может обойтись ни одна современная SOAR система, является модуль интеграций. Все решения обладают достаточно неплохим количеством готовых коннекторов из коробки. Но стоит отметить, что некоторые из отечественных и западных решений обладают встроенными средствами разработки собственных коннекторов по принципу Low-code, что существенно упрощает конечным пользователям осуществление самостоятельных интеграций с различными внешними системами. Также важна возможность кастомизации и гибкость для встраивания в сложную архитектуру ИТ/ИБ решений. Производители часто меняет интерфейсы взаимодействия, и возможность на лету внести нужные коррективы, не ожидая ответа от SOAR вендора, также является ключевым фактором при выборе решения.
Информационные системы не всегда готовы к внешним интеграциям из коробки. В некоторых ситуациях получение данных становится многоитерационным, разнесённым по времени процессом по генерации токена аутентификации, запросу на получение, ожиданию успешного выполнения запроса и, наконец, получению искомой информации. В случае реализации в компании таких решений, как Privilege Access Management Vault, эта возможность становится просто необходимой. Из рассмотренных продуктов подобной возможность обладают long live containers от Palo Alto и Security Vision, дающие возможность создания нескольких взаимосвязанных шагов и инструментарий обогащения получаемых из отчета данных «на лету», когда каждый из получаемых элементов отчета снабжается дополнительными данными из смежного элемента.
Инвентаризация ИТ активов является важным компонентом, интегрированным в российские решения, в отличие от зарубежных. Зарубежные решения решают задачи инвентаризации в основном за счет интеграции со смежными решениями в том числе Asset Management. Для выгрузки и работы с Active Directory большинство вендоров используют собственные разработки и безопасные методы. При этом использование заимствованных скриптов для выгрузки данных (типа pyldap и ldapdomaindump) и взаимодействия с системами на платформе MS Windows (типа python impacket) не являются лучшими практиками в информационной безопасности и несут угрозы для Заказчиков, использующих решение.
Работа с инцидентами:
От того, на сколько удобно, информативно и интуитивно понятно будет сформирована карточка инцидента или другого объекта в системе, во многом зависит скорость обработки и, в конечном счете, ее качество. Очевидно, что карточка, регистрирующая DDoS атаку, должна сильно отличаться от карточки, сообщающей о потенциальной компрометации учетной записи администратора. Конструкторы Incident Layouts от IBM и Редактор представления от Security Vision дают возможность создавать пользовательские шаблоны инцидентов для наиболее эффективного управления вниманием SOC-аналитика.
Визуализация и отчетность:
SOAR призван стать единой витриной для консолидации данных об эффективности процессов SOC. Функциональность модуля поиска, аналитики, представления данных, а также подготовки отчетов в этом случае приобретает особое значение. И важно даже не количество предустановленных шаблонных представлений, функционал которых действующее подразделение ИБ быстро «перерастает». Важна возможность тиражирования аналитических пользовательских представлений внутри платформы. В противном случае метрики эффективности, согласованные с руководством, придется высчитывать, создавая сложные запросы напрямую к базе SOAR-решения, или, по старинке, в Excel. При этом аналитический инструментарий продукта Palo Alto и модуль «Аналитика» в Security Vision дают возможность любого подсчета и представления данных.
Специфика российского рынка:
Зарубежные решения отличаются большей открытостью: есть маркетплейсы для скачивания готовых плейбуков, плагинов и интеграций, функционируют порталы для разработчиков с технической документацией и возможностью поделиться своими наработками с сообществом, поддерживаются GitHub-репозитории для свободного доступа к ним энтузиастов кибербезопасности, предоставляются бесплатные Community Editions коммерческих продуктов. У отечественных же решений присутствуют иные очевидные преимущества: база знаний с российскими нормативными требованиями, взаимодействие с системами ФинЦЕРТ и ГосСОПКА, интеграция с отечественными ИБ-решениями, широкая экспертиза в вопросах обеспечения соответствия законодательству и противостояния специфическим киберугрозам. В IRP/SOAR-платформе Security Vision широко применяются машинное обучение, искусственный интеллект и BigData, например, для предложения наиболее подходящего действия реагирования, анализа инцидентов и назначения оптимальной команды реагирования, для автоматического создания инцидентов в случае обнаружения аномалий. Модули Security Vision могут работать на одной платформе. В решении Security Vision применяется интересный механизм auto-SGRC для автоматической корректировки настроек ИТ/ИБ-систем для соответствия внутренним нормативным требованиям и возврата к baseline-настройкам.
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ