Система организации безопасности, автоматизации и реагирования SOAR (Security Orchestration, Automation and Response, SOAR) — это технология, которая помогает координировать, выполнять и автоматизировать задачи между разными специалистами и инструментами в рамках одной платформы. Технология позволяет организациям быстро реагировать на кибератаки и предотвращать будущие инциденты.
По определению Gartner, система SOAR должна обладать тремя функциями: управление угрозами и уязвимостями, реагирование на инциденты безопасности и автоматизация операций по обеспечению безопасности.
SOAR принимает данные об оповещениях, которые запускают сценарии (playbooks), автоматизирующие или управляющие (оркеструющие) рабочими процессами или задачами по реагированию. Затем, человеческими силами или с помощью машинного обучения, организации могут анализировать собранные данные, чтобы расставить по приоритету автоматизированные действия по реагированию на инциденты.
Что такое SIEM?
SIEM (Security Information and Event Management) — управление событиями и информацией о безопасности. Это набор сервисов и инструментов, которые собирают и анализируют данные о безопасности, а также помогают ИБ-специалистам создавать политики и настраивать уведомления об инциденте.
Инструменты SIEM позволяют IT-команде:
- Использовать управление журналами событий для объединения данных из разных источников;
- Получить организационную видимость в режиме реального времени;
- Коррелировать события безопасности, собранные из журналов, используя правила «если-то», чтобы эффективно добавить практическую ценность к данным;
- Использовать автоматические уведомления о событиях, которые можно управлять через панель управления.
Сравнение SOAR и SIEM
Многие определяют SOAR и SIEM как похожие продукты, поскольку обе системы обнаруживают проблемы безопасности и собирают данные о характере проблемы. Однако между ними есть различия.
SOAR собирает данные и оповещает специалистов с помощью централизованной платформы, подобной SIEM, а SIEM только отправляет оповещения аналитикам по безопасности.
SOAR автоматизирует процесс расследования и реагирование с помощью сценариев или искусственного интеллекта (ИИ), чтобы предсказывать подобные угрозы до того, как они произойдут.
Что такое оркестрация и автоматизация безопасности?
Автоматизация безопасности — это автоматическое выполнение действий по обнаружению, расследованию и реагированию на киберугрозы без необходимости ручного человеческого вмешательства. Автоматизация выполняет много рутинной работы за команду SOC (Security Operation Center).
Оркестрация безопасности — это автоматическая координация ряда взаимозависимых действий по безопасности в рамках одной сложной инфраструктуры. Система обеспечивает согласованную работу всех инструментов безопасности.
Автоматизация безопасности упрощает операции по обеспечению безопасности и делает их более эффективными, потому что система автоматизации безопасности выполняет отдельные задачи, а оркестрация безопасности соединяет все инструменты безопасности так, чтобы они взаимодействовали друг с другом для лучшей работы.
Что такое управление анализом угроз (TIM)?
Управление анализом угроз (Threat Intelligence Management, TIM) позволяет организациям лучше понимать глобальный ландшафт угроз, предугадывать следующие шаги злоумышленников и принимать оперативные меры для предотвращения атак.
Существует существенная разница между анализом угроз и управлением анализом угроз.
Анализ угроз (Threat Intelligence, TI) — это данные и информация об угрозах, а управление аналитикой угроз (Threat Intelligence Management, TIM) — это сбор, нормализация, обогащение и обработка данных о потенциальных злоумышленниках, их намерениях, мотивах и возможностях. Эта информация может помочь организациям принимать более быстрые и обоснованные решения в области безопасности.
Зачем нужен SOAR?
SOAR развивает управление, анализ и реагирование на оповещения и угрозы. ИБ-команды возлагают на себя ответственность за ручную обработку тысяч оповещений ежедневно, что приводит к ошибкам и низкой эффективности.
С ростом объема угроз и оповещений аналитики вынуждены расставлять приоритеты – на какие оповещения нужно реагировать немедленно, а какие угрозы менее важны. Специалисты часто перегружены работой и допускают ошибки при реагировании на угрозы.
Поэтому критически важно, чтобы у организации были системы SOAR, которые позволяют организовать и автоматизировать процесс оповещения и реагирования. SOAR-система увеличивает эффективность и продуктивность команд по безопасности при расследовании инцидентов, тем самым улучшая общее состояние безопасности организации.
SOAR позволяет компании:
- Интегрировать инструменты безопасности, IT-операций и анализа угроз, чтобы объединить все решения по безопасности для достижения более полного уровня сбора и анализа данных;
- Контролировать всё в одном месте. Команда по безопасности получает доступ к единой консоли, которая предоставляет всю необходимую информацию для расследования и устранения инцидентов;
- Ускорить реагирование на инциденты. SOAR сокращает как среднее время обнаружения (MTTD), так и среднее время реагирования (MTTR). Поскольку многие действия автоматизированы, большая часть инцидентов может обрабатываться немедленно и автоматически;
- Предотвратить действия, требующие большого количества времени. SOAR сокращает число ложных срабатываний, повторяющихся задач и рутинных процессов;
- Улучшить анализ угроз. SOAR-решения собирают и проверяют данные с платформ анализа угроз, брандмауэров, систем обнаружения вторжений, SIEM и других технологий, предоставляя команде по безопасности больше информации и контекста. Так аналитики смогут проводить более глубокие исследования проблемы;
- Улучшить отчетность и коммуникацию. Благодаря тому, что все действия по обеспечению безопасности собраны в одном месте, заинтересованные стороны могут получать всю необходимую информацию, которая поможет определить, как улучшить рабочие процессы и сократить время отклика;
- Повысить способность к принятию решений. SOAR-платформы предлагают такие функции, как предварительно созданные сценарии, функции перетаскивания для создания сценариев с нуля и автоматическая приоритизация оповещений.
SOAR — это ценный инструмент для кибербезопасности, который минимизирует воздействие инцидентов безопасности всех типов, максимизирует ценность существующих инвестиций в безопасность и снижает риск юридической ответственности и простоя бизнеса.
Как SOAR помогает решать задачи кибербезопасности
Обработка сигналов безопасности
SOAR позволяет автоматизировать ряд действий по реагированию на уведомления систем безопасности (IDS, IPS и т.д.), такие как:
- Фишинг: проверка подозрительных электронных писем на наличие вредоносных ссылок или вложений, опрос затронутых пользователей, извлечение и проверка индикаторов компрометации (IoC), определение ложноположительных результатов и подготовка стандартного ответа для службы безопасности;
- Заражение вредоносным ПО: получение данных об угрозе от инструментов защиты конечных точек, сопоставление полученных файлов или хешей с данными SIEM, уведомление аналитиков, очистка зараженных конечных точек и обновление базы данных инструмента защиты конечных точек;
- Неудачные попытки входа: после определенного количества неудачных попыток входа пользователя оценка того, является ли вход легитимным или злонамеренным, запуск сценария (playbook), взаимодействие с пользователями, анализ их ответов, аннулирование паролей и закрытие сценария;
- Вход из необычных мест: определение потенциально злонамеренных попыток доступа к VPN путем проверки наличия VPN и облачного брокера безопасности доступа (CASB), сопоставление IP-адресов, подтверждение нарушения с пользователем, блокировка доступа и закрытие сценария.
Управление операциями по кибербезопасности
Другая задача SOAR — это управление SSL-сертификатами, диагностика конечных точек, управление уязвимостями и другие. SOAR помогает автоматизировать эти процессы и сводить к минимуму человеческий фактор. Например:
- Управление SSL-сертификатами: проверка конечных точек на наличие просроченных или скоро просрочивающихся SSL-сертификатов, информирование пользователей, повторная проверка статуса через несколько дней, эскалация проблемы к соответствующим лицам и закрытие сценария;
- Диагностика конечных точек и запуск: проверка подключения агентов, обогащение контекста, открытие заявки, запуск агентов и закрытие сценария;
- Управление уязвимостями: получение информации об уязвимостях и активах, обогащение данных о конечных точках и общих уязвимостях и эксплойтах (CVE), запрос контекста уязвимости, расчет уровня опасности, передача контроля аналитикам для исправления и расследования и закрытие сценария.
Поиск угроз и реагирование на инциденты
Сюда входит использование различных методов для выявления скрытых или неизвестных атак в сети и принятие мер по нейтрализации угроз. SOAR помогает автоматизировать часть этого процесса и предоставлять аналитикам необходимую информацию для принятия решений. Например:
- Поиск IOC: получение и извлечение IOC из прикрепленных файлов, поиск IOC по инструментам разведки по угрозам (threat intelligence), обновление баз данных;
- Анализ вредоносного ПО: получение данных из разных источников, извлечение и детонация вредоносных файлов, генерация и отображение отчета, проверка наличия вредоносных целей, обновление базы данных;
- Облачное реагирование на инциденты: потребление данных из облачно-ориентированных инструментов обнаружения угроз и журналирования событий (event logging), объединение процессов между облачной и локальной инфраструктурами безопасности (on-premises security infrastructures), корреляция с SIEM, извлечение и обогащение индикаторов (indicators), проверка наличия зла намерения (malice), передача контроля аналитикам для просмотра информации (reviewing information), обновление базы данных.
Автоматизация обогащения данных
Сюда входит использование различных источников данных – базы данных угроз, сервисы анализа угроз, общедоступные ресурсы и другие – для получения дополнительной информации о потенциальных угрозах и инцидентах. SOAR помогает автоматизировать этот процесс и предоставлять аналитикам более полную картину ситуации. Например:
- Обогащение IOC: получение данных из разных источников, извлечение индикаторов, которые нужно проверить, обогащение URL, IP-адресов и хешей, проверка наличия зла намерения (malice), обновление базы данных, приглашение аналитиков для просмотра и расследования информации и закрытие сценария;
- Назначение уровня опасности инцидента: проверка других продуктов на наличие оценки уязвимости и того, были ли существующим индикаторам назначены оценки, назначение серьезности, проверка имен пользователей и конечных точек на наличие в критическом списке, назначение критической серьезности и закрытие инцидента.
Как выбрать SOAR-платформу?
При сравнении разных поставщиков SOAR есть ряд различных факторов, которые нужно учесть перед внедрением SOAR-решения. Факторы включают оценку своей собственной зрелости, необходимых технологических интеграций и стека инструментов (tool stack), существующих процессов, а также выбранного способа развертывания.
После того, как компания проведет внутренний аудит своего состояния безопасности, она должна рассмотреть факторы, относящиеся к самому SOAR-продукту. К таким факторам относятся:
- Простота использования и подключения к другим инструментам: инструмент должен действовать как связующее звено между обнаружением, обогащением данных, реагированием и союзными инструментами. В идеале SOAR-решение принимает оповещения от средств обнаружения и в автоматическом режиме координирует действия инструментов реагирования;
- Возможности пользовательской интеграции: имеет ли платформа механизм (например, внутренний SDK) для создания пользовательских интеграций? Включает ли период внедрения платформы поддержку пользовательских интеграций со стороны службы поддержки? Являются ли эти услуги дополнительными или входят в стоимость покупки продукта?
- Готовые к использованию (OOTB)/Предварительно созданные интеграции: сколько интеграций имеет платформа? Добавляются ли новые интеграции к платформе со временем и как части? Являются ли обновления бесплатными или дополнительными услугами?
- Управление инцидентами: имеет ли платформа встроенное управление или интегрируется с соответствующими инструментами управления? Позволяет ли платформа восстанавливать хронологию инцидентов? Поддерживает ли платформа документирование после инцидента и его просмотр?
- Интеграция с аналитикой угроз: Расследование инцидентов ускоряется с возможностью сопоставления анализа угроз, что потенциально может раскрыть ранее не обнаруженную вредоносную активность. Автоматизированные рабочие процессы позволяют в режиме реального времени распространять процесс анализа угроз на точки обеспечения безопасности;
- Возможности рабочего процесса и сценария: имеет ли платформа возможности рабочего процесса? Показывает ли платформа живой запуск сценариев для каждого инцидента? Поддерживает ли платформа вложение сценариев? Поддерживает ли платформа создание пользовательских задач сценария (как автоматических, так и ручных)? Поддерживает ли платформа передачу пользовательских задач между сценариями?
- Гибкость развертывания: какие гибкие варианты развертывания имеет платформа? Разработана ли платформа для многопользовательского использования и имеет ли она необходимую безопасность для поддержки сегментации сети для связи между организационными сетями? Имеет ли платформа горизонтальную масштабируемость на нескольких клиентах и уровень гарантированной высокой доступности?
- Ценообразование: сегодня существуют следующие методы ценообразования - цена за действие, цена за узел или конечную точку, годовая подписка с дополнительными ценами за дополнительных администраторов;
- Дополнительные услуги и функции: помимо основных компетенций SOAR, какие другие функции предлагает компания, которые принесут пользу вашей организации?
- Профессиональные услуги: предоставляет ли компания профессиональные услуги своим клиентам, обеспечивая успешное развертывание от начала до конца?
- Послепродажная поддержка: какую поддержку предоставляет компания после установки SOAR?
Выбор лучшего решения SOAR для любых операций по кибербезопасности требует соответствия предложений поставщика и потребностей организации службы безопасности в повышении эффективности и результативности.
Правильное SOAR-решение должно не только дополнять и быть совместимым с установленными продуктами, сценариями и процессами, но также оптимизировать сотрудничество, предоставить гибкость как в развертывании, так и в возможностях хостинга, а также иметь модель ценообразования, соответствующую потребностям организации.