Как SOAR помогает в информационной безопасности

В данном материале эксперт Softline Казахстан Иван Матвеев рассказывает об основных понятиях SOAR.

Сегодня информационные системы находятся в постоянном изменении, порой радикальном. Современные технологии, такие как удаленный рабочий доступ при использовании мобильных устройств, гибридные облачные вычисления способствуют повышению требований к навыкам и знаниям сотрудников ИБ и, в некотором роде, обязывают применять специфические подходы к защите, а также ведут к контролю и критическому увеличению потребности в инструментах политик безопасности.

Проблемы, которые отмечаются при этом:

  • отсутствие специалистов, обладающих всеми необходимыми компетенциями;
  • сложность внедрения, интеграции работы систем и централизованного управления функционалом;
  • частое изменение защитных объектов;
  • потребности руководства касательно управления отличаются от возможностей инструментов средств защиты ИБ, находящихся на рынке.

Какие-то задачи закрывает SOC (Security Operations Center, центр мониторинга и реагирования на инциденты), объединяя самые актуальные силы для использования на том участке, где это наиболее нужно. Однако для полноценного решения выделенных блоков, обязательно решение по типу SOAR (Security Orchestration, Automation and Response).

Основные понятия SOAR

Сама формулировка SOAR появилась не так давно. Существуют три основные функциональные группы SOAR: интеграция — unification, автоматизация — automation, оркестрация — orchestration.

Интеграция включает в себя унификацию разнообразных технологических процессов, интерфейсов и ресурсов, которая способствует эффективной совместной работе инструментов защиты информации при обеспечении ИБ.

Автоматизация — это минимизация участия человеческого фактора в решении задач, при этом сохраняется и даже повышается качество и согласованность в действиях.

Оркестрация отвечает за выполнение условий политик безопасности, построение стратегии реагирования, осуществление требуемых задач при реагировании на ИБ-инциденты и их расследовании.

Цели системы оркестровки и автоматического реагирования не ограничиваются только интеллектуальным сбором ИБ-данных одновременно из ряда разных источников, но и охватывают автоматизацию рутинных, ресурсозатратных задач следующего характера:

  • получение ИБ-данных в формате "здесь и сейчас" одновременно из нескольких ресурсов с их агрегированием, поступающих из разных средств защиты информации;
  • автоматизация стандартных задач, которые связаны с инцидентами информационной безопасности и определением ошибок от требований политик безопасности;
  • проактивное и реактивное осуществление установленных политик безопасности с помощью средств защиты информации;
  • автоматизация целого списка задач в организационном и техническом плане, а также процедур обеспечения безопасности при реагировании на ИБ-инциденты, плюс информирование, назначение ответственных сотрудников и налаживание процесса их совместной работы;
  • автоматизированный перечень SOC-операций;
  • проведение ретроспективного анализа предпринятых мер, условий, состояния и итогов в реагировании на ИБ-случаи в целях улучшения эффективности практик, обучения и последующих разбирательств;
  • составление и немедленное предоставление оценки состояния информационной безопасности компании с функцией проведения ретроспективного/предиктивного анализа.

Компоненты платформы SOAR

Эксперты рекомендуют типовую архитектуру SOAR по функциональной схеме, сформированной по итогам анализа популярных на рынке решений: Cortex XSOAR, Splunk Phantom, Siemplify, Swimlane SOAR, FortiSOAR, Security Vision IRP/SOAR, RVision IRP и Eplat4m SOAR.

SOAR реализуется на основе подсистемы оркестрации и автоматизации для интеграции программно-технических составляющих ИБ, включая: обогащение инцидента ИБ, определение точки вхождения ИБ-специалиста и др.

В подсистему оркестрации и автоматизации входит два модуля:

  1. Как работает модуль оркестрации: централизованная обработка инцидентов, событий, сбор об угрозах поступает из внешних ресурсов, информация передается от СрЗИ/SIEM. В модуле — набор коннекторов к разным защитным системам, механизм координирования данными коннекторами, включая управление полномочий и необходимых учетных данных.
  2. Как работает модуль автоматизации: реагирование на ИБ-событие с использованием механизма плейбуков.

Плейбук создан по технологии сценариев реагирования на ИБ-инциденты. Данная технология задает определенный алгоритм действий по реагированию для конкретных типов ИБ-событий. Автоматический режим срабатывает при наличии заявленных правил.

Плейбук — это, в своем роде, конечный автомат, некий алгоритм, содержащий последовательность отдельных состояний.

Такими состояниями могут быть скрипты, написанные на каком-либо языке программирования (Python, PowerShell, Linux script, Node.js и др.) и созданные для получения сведений или выполнения указаний управления СрЗИ.

Плейбук может работать как на полностью автоматических функциях, так и ручных, или же в гибридном формате (автоматический + ручной режим выполнения). Уровень плейбука должен поддерживаться возможностью проделывания конкретных шагов и политик.

Инструменты SOAR имеют широкий функционал, помимо традиционных средств автоматизации и интерфейсов.

Задачи, стоящие перед SOAR, эффективно решаемы при приведении к единообразной системе или форме функций управления и представления политик безопасности. К примеру, политики межсетевого экранирования по отношению к интерфейсу настройки конкретного производителя должны оставаться инвариантными.

Особое внимание стоит обратить и на способы машинного обучения, и помнить о конвергентной архитектуре — объединенные системы и сервисы в решении, которые устанавливаются локально в облачной модели SaaS.

SOAR прекрасно используется не только в сфере информационной безопасности, но и в инженерных системах, таких как пожаротушение, контроль физического доступа, электропитание и др. Также стоит усилить акцент на возможности управления облачными решениями при помощи сервисных провайдеров, исключая агенты, скрипты и схожие дополнительные функции. Выводы

SOAR — это средство защиты информации, которое решает проблемы в управлении ИБ. Оно не связано напрямую с защитой от угроз, а, скорее, повышает качество этого процесса, если существуют какие-либо ограничения из-за персонала и технологий.

Применение SOAR устраняет разрывы между используемыми мерами ИБ и бизнес-задачами, дает широкие возможности в достижении общих целей при помощи ИТ и выполнения условий по созданию предохранительных механизмов.