Найти тему
CISOCLUB - информационная безопасность
8295 подписчиков

Популярные зарубежные SOAR-решения

46
10 мин
Оглавление

В этой статье пойдет речь о популярных зарубежных решениях SOAR. SOAR-платформы чаще всего выступают как системы автоматизации действий по реагированию на киберинциденты.

Введение

Инструменты SOAR (Security, Orchestration, Automation, and Response) – это специальные платформы, которые позволяют ИТ-подразделениям определять, стандартизировать и автоматизировать действия для своевременного реагирования на киберинциденты. Большинство компаний используют эти инструменты для автоматизации операций и процессов безопасности, реагирования на инциденты и управления уязвимостями и угрозами.

Как правило, платформы SOAR позволяют командам ИБ собирать ценные данные о безопасности системы, выявлять, анализировать и устранять существующие и потенциальные угрозы, поступающие из различных источников. Следовательно, данные решения обеспечивают большую наглядность, что позволяет организациям реагировать на инциденты безопасности быстрее и эффективнее, делая это более последовательно.

Платформа SOAR должна выполнять следующие функции:

  • анализировать данные и оповещения от различных систем безопасности;
  • определять, создавать и автоматизировать рабочие процессы, необходимые командам для выбора приоритетов, проведения расследования и реагирования на угрозы;
  • интегрироваться с широким спектром инструментов для улучшения защиты;
  • автоматизировать большинство операций по обеспечению безопасности, тем самым устраняя повторяющиеся задачи и позволяя командам ИБ экономить время и концентрироваться на более сложных задачах, требующих участия человека;
  • проводить качественный анализ после инцидента и предоставлять командам ИБ возможности предотвращать аналогичные проблемы.

Работа инструментов основана на использовании искусственного интеллекта, машинном обучении и других технологиях для автоматизации повторяющихся задач, таких как сбор информации, анализ и сопоставление данных. Такой подход помогает командам ИБ быстрее и эффективнее реагировать на широкий спектр проблем безопасности.

Кроме того, большинство платформ SOAR предоставляют своим пользователям учебные пособия, содержащие инструкции, проверенные на уже действующих методах и актуальных процедурах. Данная литература помогает командам ИБ действовать согласованно, обеспечивать более быструю и надежную идентификацию и устранение угроз.

Ниже представлен список популярных зарубежных платформ SOAR. Все они обладают полезными функциями, которые помогут повысить уровень безопасности системы.

1.      Splunk Phantom

Splunk Phantom –  это решение SOAR, которое интегрируется с широким спектром инструментов безопасности, чтобы дать командам ИБ лучшее представление и возможность обнаруживать и реагировать на внешние и внутренние угрозы. Оно поставляется вместе с редактором Visual Playbook (VPE), который позволяет группам ИБ использовать встроенную функцию перетаскивания для создания комплексных сборников сценариев.

Характерные черты:

  • возможность создания индивидуальных процессов автоматизации для выполнения конкретных рабочих задач;
  • фильтрация данных и просмотр действий пользователей;
  • команды ИБ могут общаться и принимать важные решения в области безопасности в режиме реального времени;
  • повышение уровня безопасности системы и быстрое устранение инцидентов;
  • централизованная визуализация;
  • есть функция «Event per day (EPD)», которая дает возможность просмотреть события безопасности, за которые был ответственен определенный инструмент.

2.      IBM Resilient

IBM Resilient – это платформа SOAR, функционирующая на основе использования машинного обучения с расширенными возможностями обнаружения угроз и реагирования на инциденты. Данное решение SOAR доступно для установки локально, в качестве службы MSSP или в качестве модели развертывания «Безопасность как услуга (SaaS)». Оно предоставляет командам ИБ единую платформу, которая помогает автоматизировать операции, просматривать аналитические данные, устранять угрозы быстрее и эффективнее.

-2

Характерные черты:

  • команды ИБ могут получить доступ к подробной информации об угрозах безопасности, что позволяет им быстро реагировать и справляться с любым инцидентом;
  • гибкие возможности развертывания, автоматизации и оркестрации для удовлетворения уникальных потребностей компании;
  • специалисты ИБ смогут проанализировать все инциденты, понять их причину и расставить приоритеты, а затем принять соответствующие меры по исправлению имеющегося положения;
  • есть встроенная функция моделирования кибератак для проверки систем безопасности; она помогает командам ИБ проводить аудит на соответствие требованиям и исправлять уязвимости;
  • актуальные и постоянно дополняющиеся учебные пособия позволяют своевременно получать нужные знания и рекомендации для эффективного устранения даже новейших угроз.

3.      DFLabs IncMac

DFLabs IncMac – это многофункциональная, гибкая и масштабируемая платформа SOAR, которая помогает компаниям «прокачать» свои возможности в области безопасности и автоматизации процессов. Веб-платформа или платформа SaaS подходит для взаимодействия с MSSP, CSIRT, SOC, а также автоматизации, создания и организации процессов реагирования на инциденты и осуществления других операций безопасности.

Единый интуитивно понятный инструмент на базе искусственного интеллекта облегчает обнаружение и анализ широкого спектра инцидентов безопасности.

-3

Характерные черты:

  • интеграция с другими инструментами безопасности обеспечивает бесперебойное осуществление рабочих процессов и обмен полезной информацией между различными командами ИБ;
  • предоставление подробных отчетов, включающих в себя информацию о временных рамках, индивидуальных ключевых показателях эффективности и выполненных корректирующих операциях; эта информация позволяет различным заинтересованным сторонам оценить эффективность своих действий;
  • комплексное управление инцидентами на основе использования машинного обучения и передовых технологий поиска угроз, что включает в себя управление расследованиями, ведение отчетности об инцидентах, журнал действий, корректирующие и предупреждающие действия (CAPA), аварийное восстановление данных;
  • быстрое обнаружение и реагирование на угрозы, устранение неполадок и возможность выбора приоритетов на основе различных триггеров;
  • автоматизация расследований безопасности, поиска угроз, сбора данных и процессов сдерживания.

4.      Rapid7 Insightconnect

Rapid7 Insightconnect – это решение SOAR, которое интегрируется с другими инструментами, упрощает и ускоряет процессы обеспечения безопасности практически без кодирования. Платформа объединяет инструменты и команды ИБ для обеспечения полной интеграции и четкой коммуникации между различными технологиями.

-4

Характерные черты:

  • обнаружение, предотвращение и реагирование на вредоносные программы, фишинговые атаки, компрометацию учетных записей пользователей, уязвимость сетевых портов;
  • автоматизация поиска угроз и других процессов для быстрого выявления вредоносных программ, скомпрометированных URL-адресов и доменов, а также подозрительных действий;
  • автоматизированное обнаружение, блокирование и анализ вирусов, вредоносных программ, фишинговых атак по электронной почте и других угроз;
  • обеспечение видимости уровня безопасности в режиме реального времени и возможность быстро реагировать на любые инциденты безопасности;
  • автоматизированное выполнение сборников сценариев, что ускоряет реагирование на инциденты.

5.      LogRhythm RespondX

LogRhythm RespondX – это простое решение SOAR, обеспечивающее надежное обнаружение угроз в режиме реального времени и позволяющее организациям повысить свой уровень безопасности. Функция интеллектуального реагирования помогает автоматизировать рабочие процессы и ускорить расследование угроз и реагирования на киберинциденты.

-5

Характерные черты:

  • комплексные процессы реагирования на инциденты безопасности: от сбора данных и карантина конечных точек до блокирования скомпрометированных сетевых ресурсов и портов;
  • автоматизация процессов реагирования на инциденты для эффективного снижения рисков, выявления и устранения уязвимостей для предотвращения подобных атак в будущем;
  • проведение мер по смягчению последствий атак и восстановлению системы при расследовании инцидента;
  • пользовательский интерфейс, который постоянно обновляется; он показывает актуальные записи в журнале, предупреждения и другую важную информацию;
  • автоматическая блокировка опасных или скомпрометированных учетных записей пользователей, процессов и доступа к сети.

6.      Exabeam

Exabeam incident responder – это мощная, экономичная, быстрая и безопасная платформа для обнаружения, расследования и реагирования на угрозы безопасности. Простой в использовании автоматизированный инструмент с удобным пользовательским интерфейсом автоматизирует процессы расследования и выполнение задач по смягчению последствий, предоставляя решение для борьбы с угрозами и распределенными атаками.

Характерные черты:

  • единая, простая в использовании платформа для управления безопасностью; она не требует высокого уровня знаний;
  • быстрый поиск нужных данных;
  • комплексное обнаружение инцидентов касательно как внутренних, так и внешних угроз;
  • встроенные инструменты помогают своевременно отреагировать на угрозу, оценить ее уровень и возможный ущерб;
  • настраиваемые и автоматизированные сборники воспроизведения инцидентов для оптимизации и стандартизации методов и процедур реагирования на угрозы, что обеспечивает быстрые и эффективные меры предотвращения атак в будущем.

7.      ServiceNow

ServiceNow Security Operations – это мощное решение для обеспечения безопасности на корпоративном уровне для управления инцидентами и уязвимостями, повышения качества анализа угроз безопасности и соответствия конфигурациям. Как правило, данная платформа SOAR позволяет анализировать и выявлять угрозы, устранять последствия успешных атак. Таким образом, ServiceNow представляет собой комплексное решение для управления полным жизненным циклом инцидентов безопасности.

-6

Характерные черты:

  • автоматизация работы инструментов безопасности, процессов и иных операций;
  • есть краткое описание уязвимостей, что позволяет командам ИБ своевременно выявлять слабые места, исправляя «пробелы» в безопасности системы и предотвращая возможные атаки;
  • представлена информация о последних инцидентах безопасности и уязвимостях вместе с затронутыми ими бизнес-процессами;
  • точный выбор приоритетов, быстрое выявление и реагирование на инциденты безопасности, уязвимости, неправильно настроенные активы и другие риски;
  • возможность просмотреть состояние системы безопасности, познакомиться с тенденциями ее развития с помощью аналитических отчетов и информационных панелей.

8.      SIRP

SIRP – это надежное, универсальное решение SOAR, которое интегрируется с большинством готовых инструментов и функций безопасности, предоставляя командам ИБ единую точку контроля, автоматизацию, полную видимость системы для своевременного управления инцидентами. Решение собирает данные из нескольких источников по всей инфраструктуре.

Затем оно обогащает данные информацией об угрозах и анализом, после чего упорядочивает их по уровню уязвимости, инцидентам и другим классификациям для облегчения понимания статистики.

-7

Характерные черты:

  • улучшенная видимость системы и актуальные данные о ее уровне безопасности;
  • платформа присваивает баллы безопасности каждому инциденту, уязвимости и угрозе, что позволяет командам ИБ верно расставить приоритеты;
  • интеграция с более чем 70 инструментами безопасности, что позволяет осуществить более 350 операций с одной платформы;
  • возможность следить за состоянием системы безопасности с помощью интуитивно понятной панели мониторинга, подробных отчетов и регулярных проверок на инциденты;
  • автоматизированный сборник сценариев с возможностью перетаскивания помогает оптимизировать рабочие процессы и обеспечить эффективное реагирование на инциденты.

Заключение

Системы оркестрации, автоматизации, реагирования на инциденты информационной безопасности помогают оптимизировать управление уязвимостями, повышают эффективность борьбы с угрозами, сокращают время устранения неполадок и экономят затраты.

Хотя на рынке представлено множество решений SOAR, вероятно, ни одно из них не сможет охватить все проблемы безопасности, с которыми сталкиваются предприятия. Таким образом, при поиске решения следует обратить внимание на основные функции платформы, наиболее важные для организации, и выбрать то, которое соответствует представленным требованиям.

Автор переведенной статьи: Amos Kingatua.

Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: Facebook | VK | Twitter | Instagram | Telegram | Дзен | Мессенджер | ICQ New | YouTube | Pulse.