Если у вас есть вопрос по услуге или задача в рамках направления, напишите нам. Наши специалисты проведут консультацию, помогут найти оптимальное решение вашей проблемы.
5. Перспективы
Автоматизация ИБ-процессов и централизованное управление задачами киберзащиты – два направления, развивающиеся параллельно и одинаково быстро. Правильный «подход к снаряду» обеспечивается качественными IRP- и SOAR-инструментами для оптимизации работы единых центров операционного управления ИБ (SOC).
Что такое IRP и SOAR
Один из трендов развития ИБ-направления сегодня – автоматизация типовых и рутинных задач. Освобождение сотрудников от необходимости управления процессами в ручном режиме повышает их эффективность и снижает влияние человеческого фактора, что значительно снижает сроки обработки инцидентов ИБ.
Распространенный вариант реализации такого перехода к автоматизации ИБ — использование инструментов типа IRP (Incident Response Platform). Системы этого класса предоставляют окружение для специалистов и руководителей разных ролей, позволяющее выстраивать бизнес-логику взаимодействия как между участниками, так и между участниками и большим набором данных, необходимым для предоставления контекста по инциденту ИБ.
Они позволяют реализовать последовательность стандартных действий при возникновении инцидента в типовые сценарии, плейбуки, так, чтобы в дальнейшем автоматически выполнять их на этапах реагирования на компьютерные атаки или инциденты ИБ, тем самым снижая риски реализации угроз. Для каждого типа инцидентов прописывается свой типовой плейбук.
Другая опция – использовать SOAR-системы (Security Orchestration, Automation and Response). Они выполняют задачи оркестрации систем безопасности, то есть координации и управления ими в автоматическом режиме. Встраиваясь в процесс реагирования, SOAR выполняет управляющие воздействия на целевую информационную инфраструктуру, чтобы получить полезные превентивные результаты или информацию, которая обогащает контекст инцидента ИБ.
SOAR системы автоматизируют реагирование на ИБ-инциденты и помогают создавать их единую базу, снижают нагрузку на сотрудников и координируют взаимодействие разных структурных подразделений компании в ситуации с возникшими инцидентами.
Ценность IRP/SOAR
Ценность этих продуктов – автоматизация процессов SOC (Центр противодействия киберугрозам) и сбор необходимой информации внутри одного продукта. IRP аккумулирует в одном месте данные по поступающим инцидентам, учету активов и их характеристик, общей структуре организации и уязвимостям.
IRP — большой агрегатор информации, позволяющий за счет заложенных бизнес-процессов выстроить взаимодействие команды SOC, служб ИБ и ИТ, руководства по оперативному реагированию на инциденты, ликвидацию их последствий и контролю ситуации в организации по безопасности.
Система автоматизирует как логические функции назначения задач и распределения обязанностей, так и программные — по воздействию на целевую инфраструктуру (сервера безопасности, защищаемые сервера и ресурсы, источники знаний об угрозах) при помощи функционала SOAR.
Автоматизация сокращает время на настройку командного взаимодействия, а также выполнять часто применяемые действия (такие как блокировка IP, хоста, файла) без привлечения сотрудников.
Также действия можно направить на получение вердиктов вредоносности объектов информационного взаимодействия (файлов, адресов, доменов), и дополнительной информации о контексте инцидента информационной безопасности.
IRP/SOAR – не SIEM
Основное отличие решения класса IRP/SOAR от SIEM – это возможность автоматизации реагирования на инциденты ИБ. Еще одна особенность —взаимодействие с внешними системами в структуре заказчика в процессе реагирования благодаря компоненту оркестрации. Помимо этого, в IRP есть возможность ведения интуитивно понятной базы знаний, которая включает в себя информацию в том числе и по инцидентам, и по активам компании.
SIEM автоматизирует только выявление инцидентов ИБ и не позволяет привлекать к реагированию несколько участников процесса, вести историю, организовывать бизнес-процессы реагирования и предоставлять необходимую информацию из базы знаний.
Кому это нужно?
Сейчас создание подразделений мониторинга ИБ-инцидентов и, как следствие, автоматизация их рабочих процессов, приходится на организации, попадающие под 187-ФЗ «О критической информационной инфраструктуре» и под регуляторную политику банковской сферы. Это обусловлено требованием по взаимодействию с федеральными центрами аналитики компьютерных атак: ГосСОПКА, ФинЦЕРТ.
Это касается таких сфер, как здравоохранение, наука, транспорт, связь, банковская сфера, топливно-энергетический комплекс, атомная энергетика, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленности, а также организации, обеспечивающие взаимодействие систем или сетей КИИ.
Компании, попадающие под требования 187-ФЗ, должны отслеживать компьютерные атаки на своих критических объектах, фиксировать и расследовать инциденты, и передавать информацию в ГосСОПКА и ФинЦерт (такой функционал есть в IRP).
Кроме этого, продукты класса IRP/SOAR становятся незаменимыми для команд SOC, процессы которых можно и нужно автоматизировать.
Перспективы
Системы класса IRP/SOAR — это метапродукты, для работы которых минимально необходимо наличие SIEM и настроенной информационной инфраструктуры. Как правило, организации задумываются в первую очередь о покупке SIEM и организации взаимодействия на готовом наборе инструментов: тикет-системах, CMDB, почте, телефонах. Либо используют выделенные модули оркестрации (например, Innostage Orchestrator), закрывая потребности в автоматизации рутинных операций — блокировки учетных записей, внесения изменений в политики межсетевого экранирования, — чтобы блокировать вредоносные активности сразу на периметре инфраструктуры, при этом не используя IRP или SOAR системы. Поэтому на сегодняшний день сложно сказать о том, что эти решения распространены на рынке.В то же время, многие компании по-прежнему используют уже внедренные зарубежные решения, которые строились по экосистемному принципу, и разом заменить их достаточно трудозатратно и попросту дорого. Компании только приходят к этому.
Однако на российском рынке достаточно отечественных вендоров, при этом его объемы будут только расширяться с учетом требований регуляторов, изменения ИБ-обстановки и ростом компетенций по киберзащите как профильных специалистов, так и руководства компаний, отвечая на уже существующие и новые вызовы киберустойчивости. Проработка процессов управления инцидентами ИБ, а также их автоматизация все чаще появляется в списках приоритетных задач для SOC команд.
В 2023 году более половины российских компаний в среднем на 20% увеличили расходы на развитие систем информационной защиты, говорится в исследовании Yandex Cloud и компании «Деловые решения и технологии».
С учетом роли IRP/SOAR-систем как фундамента или «стержня» для создания и развития такого популярного формата, как SOC, их распространение в будущем будет только расти.
