Давайте посмотрим на ключевые проблемы, связанные с технологиями, процессами и людьми в SOC, а также на то, как их можно решить, используя платформенный подход к обнаружению и реагированию на инциденты.
Авторы:
Анастасия Федоренко, менеджер по развитию бизнеса R-Vision
Максим Ежов, продакт-менеджер R-Vison SOAR
SOC, как известно, декомпозируется на три классических составляющих: людей (аналитиков, инженеров, руководителей), технологии (инструменты, включая SIEM, SOAR, VM, TIP, EDR и др.) и процессы (регламенты, методики расследования и реагирования). Слаженная работа этих трех компонентов позволяет обеспечивать киберустойчивость, но на практике нередко возникают проблемы.
Повышенная нагрузка на аналитиков
Согласно глобальному исследованию Global Security Operations Center Study1, проведенному IBM и Morning Consult, команды SOC успевают проверять лишь 49% всех получаемых оповещений, оставляя более половины потенциальных угроз без анализа. Количество ежедневных алертов огромно и постоянно растет, причем значительная часть из них нерелевантны или представляют собой ложные срабатывания. Поэтому необходимо быстро отфильтровать оповещения, чтобы выявить и обработать реальные угрозы, и при этом избежать сверхнагрузки и последующего выгорания специалистов SOC.
Нехватка экспертизы
Большинству организаций нужна помощь в понимании обычного поведения пользователей, субъектов и групп, что отражает растущую сложность киберугроз. Компании все чаще сталкиваются со сложностью в написании сценариев реагирования на инциденты и превентивной защиты. Насущной проблемой является необходимость улучшения навыков расследования и дефицит экспертов с необходимым уровнем знаний.
В ответ на новые инструменты и тактики киберпреступников в инфраструктуре компаний появляется все больше новых сервисов и компонентов, объем данных стремительно растет, а анализ событий и инцидентов должен выполняться практически на лету. Аналитик должен обладать способностью изучить и встроить в свою работу новое решение в минимальные сроки.
Переключение между различными инструментами
Аналитики SOC тратят значительное время на то, чтобы переключаться между всеми инструментами, панелями мониторинга и реагирования в процессе поиска необходимой информации для принятия решений и расследования. Этот процесс не только утомителен и трудоемок, но с учетом повышенной нагрузки и ручного выполнения, приводит к ошибкам.
Отсутствие полной видимости инфраструктуры
Прозрачность ИТ-ландшафта – еще один важный аспект, на который стоит обратить внимание. Ряд особенностей и специфика компании, например сложная распределенная структура, разные ответственные лица по системам, теневые устройства, создают проблему – организация не имеет полного представления о своей ИТ-инфраструктуре. Такое положение вещей создает пробелы в операциях по обеспечению безопасности. Для корректного триажа событий и расследования инцидентов необходимы улучшенные возможности инвентаризации, мониторинга и наблюдения.
Особенности архитектурных решений
Все вышеуказанное требует от технологического стека инструментов SOC таких особенностей, которые далеко не каждое решение может обеспечить:
- высокую скорость обработки большого объема данных;
- простоту и оперативность масштабирования;
- гибкость и скорость настройки кросс-интеграций всех компонентов SOC;
- переконфигурирование на лету, без остановки процессов компании.
Отсутствие методологии
Сегодня далеко не каждая компания обладает зрелостью, необходимой для выстраивания комплексной методологии кибербезопасности -- от понимания угроз до разработки устойчивых мер их смягчения. Речь идет о создании непрерывного цикла обнаружения, реагирования и улучшения с опорой на автоматизацию. Помним про золотое правило -- не стоит автоматизировать хаос
Платформенный подход к решению проблем
Работа в едином окне платформенного решения, объединяющего SOAR и SIEM, позволяет решить ряд обозначенных сложностей:
- бесшовно объединить экспертизу команды SOC и создать оптимальную среду для работы аналитиков;
- минимизировать когнитивную нагрузку на аналитиков в части сортировки оповещений, ранжирования и приоритизации событий и инцидентов;
- минимизировать трудозатраты на изучение различных сложных систем, а также на переключение между ними, снизить порог входа;
- максимально сфокусироваться на главном – анализе угроз и инцидентов для быстрого принятия решения в рамках одного пользовательского интерфейса.
Единая платформа SOAR+SIEM повышает прозрачность инфраструктуры: аналитики работают с общим реестром активов, сформированным через сканирование и интеграции со средствами защиты. Аудит источников в SIEM помогает находить активы вне мониторинга, а ресурсно-сервисная модель и визуализация цепочки атаки ускоряют сдерживание и расследование инцидентов. SOAR и SIEM в этом случае выступают не как два продукта, а как единое технологически интегрированное решение.
На примере SOAR и SIEM на платформе R-Vision EVO2 подробнее рассмотрим современные возможности архитектурных решений, перекрывающие те самые особенности и сложности технологического стека инструментов SOC, о которых было написано ранее.
ClickHouse для быстрой обработки данных
Колоночная СУБД ClickHouse позволяет работать не с отдельными транзакциями, как раньше, а с целыми потоками информации, обеспечивая беспрецедентную скорость анализа событий безопасности даже в моменты пиковых нагрузок во время атак. По мнению команды Yandex Cloud, архитектура ClickHouse обрабатывает миллиарды строк в секунду.
Высокопроизводительная платформа Vector
Vector – легкий и быстрый инструмент для построения конвейеров наблюдения, позволяющий собирать, обрабатывать и маршрутизировать журналы событий. В R-Vision SIEM он обеспечивает работу с большими корреляционными окнами и высокой нагрузкой (более 500 тыс. EPS), представлен в виде наглядного графического конвейера, адаптируемого под инфраструктуру организации.
Улучшенная контейнеризация
Платформа оркестрации Kubernetes поддерживает декларативный подход, позволяющий определять желаемое состояние инфраструктуры в конфигурационных файлах, что реализует принцип “инфраструктура как код” (Infrastructure as Code). Это дает возможность автоматизировать процесс управления инфраструктурой, повышая отказоустойчивость, гибкость, простоту обновления и масштабирования: самовосстановление, диагностика, распределение нагрузки, управление сетью, гибкая настройка теннантов и многое другое.
Бесперебойная интеграция SIEM и SOAR
Обновления SIEM и других систем защиты нередко нарушают интеграции, что приводит к сбоям в работе плейбуков SOAR. Такие инструменты часто оказываются заложниками ситуации, поскольку вендоры уделяют интеграционному слою второстепенное внимание. В платформенных решениях, таких как R-Vision EVO, эта проблема устранена: компоненты изначально связаны бесшовно, а совместимость закладывается на уровне архитектуры. Универсальная модель данных инцидента в R-Vision SOAR упрощает подключение к любой SIEM, снижает нагрузку и ускоряет обработку. При изменениях в источниках достаточно внести правки только на уровне интеграции.
Предобработка и агрегирование событий и инцидентов
Для снижения шума в SIEM применяются классические методы: отключение или корректировка избыточных правил, использование белых списков, объединение однотипных событий по корреляционному окну и другие подходы. Дополнительно в R-Vision SIEM и R-Vision SOAR реализована предобработка: при всплеске алертов система автоматически агрегирует, фильтрует и группирует связанные события по заданным критериям – источнику, типу атаки, вектору и т. д. Это избавляет аналитика от ручного разбора потока событий и позволяет сразу оценить масштаб и структуру инцидента.
Рубрикатор
Это технология, которая позволяет разные корреляционные правила интерпретировать к одному конкретному инциденту – тем самым создавая единую модель описания инцидента. Ранее при внедрении SOAR и SIEM на данную настройку тратилось значительное количество времени инженеров. Теперь же, благодаря тому, что с R-Vision SOAR из коробки идут рубрикаторы к SIEM, тратить время на преднастройку и анализ сопоставления событий к инциденту больше не нужно.
Автосвязывание
SOAR автоматически обогащает инцидент контекстом: аналитик сразу видит связанные активы, уязвимости и потенциальное влияние на бизнес – без ручных запросов. Объединение SIEM и SOAR на единой платформе позволяет выстроить эффективный мониторинг и автоматизированное реагирование: SIEM отвечает за сбор и интерпретацию событий, SOAR – за обработку, сдерживание и устранение инцидентов.
Ключевое преимущество платформенного подхода – в создании сквозного непрерывного цикла расследования и реагирования на киберинциденты из единого окна.
От карточки инцидента до карточки события – один клик: аналитик плавно переходит от общей картины инцидента к детальным логам, не теряя контекста. Все связи между системами настроены в платформе, все данные рядом, нет необходимости дополнительно делать кросс-интеграции.
Существующие в организации регламенты и методологии сдерживания кибератак легко преобразуются в автоматизированные плейбуки в SOAR и SIEM на платформе R-Vision EVO. Данные сценарии охватывают как процессы мониторинга (сбор данных, обогащение), так и процессы реагирования (блокировка, изоляция, уведомление), делая каждый ответ на инцидент последовательным и контролируемым.
Интуитивно-понятный интерфейс SOAR и SIEM на платформе R-Vision EVO, продуманный функционал каждой карточки, полей, воркфлоу и других сущностей, уже содержит в себе пользовательский опыт, основанный на зрелой экспертизе построения SOC и поможет в грамотном построении процессов кибербезопасности.
Для обмена лучшими практиками в процессах мониторинга и реагирования на инциденты формируются сообщества, где участники обсуждают свои насущные вопросы и делятся своей экспертизой.
Гармония и спокойствие вместо компромиссов
Таким образом, объединение SOAR и SIEM на единой платформе позволяет синхронизировать и усилить все три критических компонента SOC: людей, технологии и процессы.
- Люди работают эффективнее в удобной среде.
- Технологии действуют согласованно, быстро, точно – предоставляя данные и возможности для автоматизации.
- Процессы становятся живыми и работающими.
SOAR и SIEM на платформе R-Vision EVO – готовое решение для безопасного и эффективного SOC, построенная по принципу: комплексная технология должна включать в себя экспертизу, то есть быть максимально продуманной, но обязательно простой в использовании.
Отдельно стоит сказать про экономическую целесообразность. Внедрение двух разрозненных продуктов – это двойные затраты на интеграцию, обучение и последующее сопровождение. Единая аппаратная платформа технологического стека продуктов и единая лицензионная политика также позволяют построить SOC на более выгодных условиях для совокупной стоимости владения SOAR+SIEM.
Реклама: ООО «Р-Вижн». ИНН 7712023924. Erid: 2SDnjbxGkc8