Одни настаивают на необходимости унифицированного набора сценариев реагирования, другие утверждают, что универсальность в ИБ – миф, а сила автоматизации раскрывается только через глубокую адаптацию. На этом фоне возникает новый вопрос: насколько открыт должен быть рынок обмена плейбуками и могут ли TI-данные стать связующим звеном, которое позволит компаниям двигаться в сторону более умной автоматизации.
Эксперты
- Максим Ежов, руководитель продукта R-Vision SOAR
- Андрей Жданухин, руководитель группы аналитики первой линии GSOC, “Газинформсервис”
- Роман Овчинников, директор департамента внедрения Security Vision
- Анастасия Федоренко, менеджер по развитию бизнеса, R-Vision
- Александр Шульман, генеральный директор компании “Актив Интернет Продакшн”
Стоит ли стремиться к единому набору сценариев реагирования, применимому для всех заказчиков, или все же сила SOAR в глубокой отраслевой специализации – финансы, промышленность, госсектор?
Александр Шульман, "Актив Интернет Продакшн"
Основная проблема единых сценариев реагирования – высокий риск ложных срабатываний. Важно, чтобы система не останавливала бизнес-процессы. Мы, например, используем подход, где реагирование строится не только на оценке угроз, но и на анализе положительной ценности действий. Это позволяет запускать автоматизацию безопасно, сохраняя баланс между скоростью реакции и стабильностью работы.
Андрей Жданухин, “Газинформсервис”
В общем и целом, стремиться к полностью единому набору сценариев реагирования не стоит, так как SOAR эффективен только там, где отражает реальные процессы и угрозы конкретной отрасли. Однако вне зависимости от сектора компании встречаются с одинаковыми типами инцидентов: фишингом, популярными уязвимостями, аномалиями трафика, – и в связи с этим должен существовать базовый набор сценариев реагирования, который ускорит внедрение SOAR в организацию и позволит показать заказчику результаты с первых недель работы.
Максим Ежов, R-Vision
Невозможно собрать универсальный набор сценариев для всех заказчиков – каждый из них уникален, как по архитектуре своей ИТ-инфраструктуры, так и по используемым процессам реагирования. Даже если мы возьмем две компании в одной отрасли, многие процессы у них будут индивидуальными. Поэтому сила SOAR – в возможностях гибкой настройки. Причем у заказчика должна быть возможность самостоятельно ее осуществить, изменить интеграции и т. д., поскольку любой SOC постоянно эволюционирует, адаптируясь к новым угрозам.
Роман Овчинников, Security Vision
Идеальная SOAR должна эффективно работать с любыми технологиями, в любой инфраструктуре и в любой организации, при этом сценарии реагирования должны учитывать специфику компании-заказчика, обеспечивая интеграцию даже с самыми сложными бизнес-процессами. Именно поэтому в нашем продукте используются динамические плейбуки (ноу-хау Security Vision), которые автоматически адаптируются под конкретный киберинцидент и учитывают свойства событий ИБ, атрибуты атакованных активов и пользователей, использованные техники и инструменты атаки, одновременно визуализируя цепочки атак и предоставляя специалистам экспертные рекомендации по реагированию с использованием нашего фирменного объектно-ориентированного подхода.
Нужен ли открытый рынок обмена сценариями реагирования, или лучше пусть каждая компания выстраивает свою пусть и уникальную, но продуманную, выстраданную логику реагирования?
Андрей Жданухин, "Газинформсервис"
Практика открытого рынка обмена информацией по части сценариев реагирования не совсем применима в реальности. Это связано с тем, что технологический стек как компаний, так и центров мониторинга не унифицирован. Соответственно, общие сценарии реагирования могут быть применимы в одной организации и совершенно бесполезны в другой. Для повышения собственной зрелости нужно "вариться в своем соку", чтобы получить фундамент для дальнейшего развития. Но все-таки обмен информации имеет место, если найти себе несколько единомышленников на рынке, с кем ваши технологии и процессы похожи, и выстраивать тесные партнерские связи с ними.
Роман Овчинников, Security Vision
Нам открытое взаимодействие ИБ-сообщества представляется более эффективным, чем замкнутость или чрезмерная коммерциализация экспертизы. Коллаборация дает результаты – примерами являются популярные проекты MITRE ATT&CK (комплексная база знаний о тактиках, техниках, инструментах атакующих), Sigma (база вендоронезависимых правил выявления киберугроз), MISP (открытая платформа для обмена данными о киберугрозах). Если же говорить про практическую реализацию подобной унификации плейбуков, то некоторые решения, включая и наш продукт, поддерживают экспорт и импорт сценариев реагирования, что помогает ИБ-специалистам совместно редактировать и улучшать их и обмениваться с сообществом в маркетплейсе. Кроме того, спикеры Security Vision регулярно участвуют в российских и международных конференциях по ИБ, взаимодействуют с регуляторами, проводят занятия в учебном центре и читают лекции в вузах – таков наш вклад в обмен экспертизой по реагированию на киберинциденты.
Максим Ежов, R-Vision
Такая практика будет очень полезной, если использовать ее не в формате слепого копирования, а на уровне Proof of Concept. Это позволит переосмыслить свои процессы и взять в свой арсенал лучшие практики у коллег.
Александр Шульман, "Актив Интернет Продакшн"
Открытый обмен сценариями важен. Мы поддерживаем развитие российского аналога MITRE ATT&CK, идем к интеграции с Sigma – это шаги к единому языку описания угроз и действий. При этом каждый сценарий требует адаптации под инфраструктуру клиента – только так автоматизация реагирования остается точной и не создает лишних рисков.
Насколько глубоко SOAR должен использовать данные Threat Intelligence – ограничиваться обогащением событий или строить сценарии реагирования на основе TI?
Максим Ежов, R-Vision
Мое мнение – очень глубоко. TI является существенным бустом для ускорения реагирования на инцидент. Она ускоряет как первичную оценку "False/не False" и приоритизацию, так и этап расследования и непосредственно реагирования.
Андрей Жданухин, "Газинформсервис"
Threat Intelligence обладает отличным качеством – отсутствием предела совершенства. Масштабировать знания об угрозах, индикаторах компрометации, TTP злоумышленников можно до бесконечности, превращая отдельные сущности в четко связанный профиль атакующего. И ни в коем случае не стоит ограничиваться данными TI только для обогащения событий. SOAR в этом смысле является идеальной платформой для внедрения TI почти во все аспекты обеспечения безопасности, так как добавляет самое важное – контекст. И построение сценариев реагирования – не исключение, ведь благодаря TI можно создать уникальный сценарий, который просочетает в себе несколько типов инцидентов и позволит эффективнее реагировать на угрозу безопасности.
Александр Шульман, "Актив Интернет Продакшн"
Threat Intelligence должен быть не просто источником обогащения, а частью механизма принятия решений. Мы в своем решении используем TI для построения скоринга событий – оценки риска с учетом контекста и доверия к агенту. Это позволяет системе не только понимать, что агент опасен, но и в реальном времени решать, насколько он значим и какие действия оправданы в конкретной ситуации.
Роман Овчинников, Security Vision
Индикаторы компрометации помогают выявить уже наступившие инциденты, в том числе по результатам ретроспективного анализа, а индикаторы атак позволяют обнаружить взломы на ранних стадиях. Обнаружение индикатора компрометации или атаки в инфраструктуре должно приводить к запуску соответствующего сценария реагирования, поэтому интеграция SOAR и TIP должна быть очень глубокой. Именно поэтому наши решения SOAR и TIP нативно интегрированы и часто идут у наших заказчиков в связке – для получения событий ИБ от различных СЗИ, обнаружения совпадений с дедуплицированными и очищенными TI-данными, обогащения индикаторов во внешних аналитических сервисах, ML-обнаружения DGA-доменов и с последующим реагированием в соответствии с динамическими сценариями в SOAR.