Linkedin-in
Управление инцидентами
От защиты к нападению восхождение решений SOAR для улучшения Безопасности Оперативности и Автоматизации
_

От защиты к нападению: восхождение решений SOAR для улучшения Безопасности, Оперативности и Автоматизации

Введение
Цифровая трансформация экономики и переход в онлайн бизнес-процессов многих Организаций, повлекли за собой эволюцию не только информационных систем и инфраструктур, но и непрерывно усложняющихся и видоизменяющихся киберугроз, и, как следствие, бросили новые вызовы индустрии кибербезопасности.

Ответственные за информационную безопасность перестали выступать «на вторых ролях», ведь от киберустойчивости систем и сервисов напрямую стали зависеть выручка компании, её репутация и положение на рынке.

Подчас даже само существование бизнеса может быть поставлено под угрозу успешно реализованной кибератакой — будь то утечка клиентских данных, компрометация программного продукта или заражение вирусом-шифровальщиком.

Современные киберугрозы оставляют все меньше времени для реагирования на инциденты: серьезные атаки со значительным ущербом могут быть совершены в течение буквально считанных минут с момента первичного проникновения в компьютерную сеть организации.

При этом сотрудники подразделений информационной безопасности перегружены и находятся в состоянии практически непрекращающегося цейтнота: количество, опасность и изощренность кибератак усугубляются хроническим кадровым дефицитом и спецификой деятельности, требующей постоянной сосредоточенности, а также непрерывно увеличивающимся объемом информации, которую необходимо получать и обрабатывать для актуализации собственных знаний о современных способах и методах нападения.

События 2022 года только ускорили данный тренд: стресс-факторов и кибератак стало еще больше, ответственность — выше, а особенности удаленной работы внесли свои коррективы в эффективность коммуникации.

В ОЦИБ стабильно наблюдается существенная текучка, особенно на должности аналитика первого уровня — устав от выполнения рутинных операций и получив необходимые навыки, аналитики стремятся перейти на более высокие уровни с более разнообразными задачами и повышенной материальной компенсацией, таким образом создавая вполне объяснимую ротацию кадров.

Разнообразие средств защиты лишь усугубляет проблему: регулярно выпускаются всё новые, функционально насыщенные и сложные для восприятия продукты, в каждом из которых свой интерфейс, свой функционал и свои особенности. Которые, чаще всего, необходимо освоить и в кратчайшие сроки.

История
Одна из ведущих платформ IBM Security QRadar SOAR (ex.Resilient), начала разрабатываться в начале 2010-х годов, когда организации начали осознавать необходимость в более эффективных операциях безопасности и возможностях реагирования. Это было обусловлено рядом факторов, включая растущую изощренность и частоту кибер-атак, а также растущую сложность сред безопасности. В ответ на эту потребность IBM начала разработку платформы, объединяющей возможности автоматизации, оркестровки и реагирования, чтобы помочь организациям более эффективно управлять инцидентами безопасности и реагировать на них. Первоначально эта платформа была известна как IBM Resilient и была разработана как комплексное решение для автоматизации и оркестровки операций безопасности.

Со временем IBM продолжала развивать и совершенствовать IBM Resilient, добавляя новые функции и возможности для повышения ее производительности и эффективности. В 2018 году IBM переименовала платформу в IBM Security SOAR, чтобы лучше отразить ее направленность на оркестровку, автоматизацию и реагирование в сфере безопасности. А затем, в 2022 году в IBM Security QRadar SOAR, чтобы продолжать эволюционировать в сторону XDR (Xtended detection and response) и указать на максимальную интеграцию с IBM Security QRadar SIEM.

Сегодня IBM Security QRadar SOAR — это зрелая и широко используемая платформа, которой доверяют организации по всему миру, чтобы улучшить свои операции по обеспечению безопасности и реагированию на киберугрозы. Она продолжает развиваться и совершенствоваться, регулярно добавляя новые функции и возможности.

История IBM Security QRadar SOAR — это история эволюции и инноваций, поскольку IBM реагировала на меняющиеся потребности организаций и меняющийся ландшафт угроз, чтобы разработать мощную и эффективную платформу для улучшения операций безопасности и реагирования.

IBM Security QRadar SOAR построена в полном соответствии со стандартами (специальной публикацией) NIST Special Publication 800-61 rev.2 «Computer Security Incident Handling» («Руководство по обработке инцидентов компьютерной безопасности») и SANS Incident Handler’s Handbook и все динамические сценарии реагирование на киберинциденты заключаются в поэтапном выполнении связанных процессов: подготовка к отражению инцидента, обнаружение и анализ инцидента, затем сдерживание, устранение и восстановление после инцидента, а также выполнение действий после реагирования (post-incident activity) с анализом «выученного урока», корректировкой планов реагирования, перенастройкой Систем защиты информации.

Эволюция от IRP к SOAR
Для снижения нагрузки на аналитиков ИБ было решено роботизировать часть действий по обработке киберинцидентов — например, поиск и сбор дополнительной информации о затронутом инцидентом активе, поиск индикаторов компрометации (IoC — Indicator of Compromise) и данных о тактиках, техниках, процедурах (TTPs – Tactics, Techniques, Procedures) атакующих в платформах киберразведки (TIP — threat intelligence platform), первичный триаж (классификацию) и анализ инцидентов, а также отсеивание явных ложноположительных срабатываний. Автоматизация данных действий позволила бы существенно сократить такой KPI реагирования на киберинциденты, как MTTD — mean time to detect, среднее время детектирования (обнаружения) инцидента. Далее встал вопрос о том, каким образом можно уменьшить показатели еще одной метрики, MTTR — mean time to respond, среднее время реагирования на инцидент. Реагирование подразумевает некое активное действие, направленное на локализацию, сдерживание, устранение угрозы и на возврат информационной системы в состояние «до начала атаки».

Что привело к созданию такого класса продуктов, как IRP — Incident Response Platform, платформа реагирования на киберинциденты. Данный класс решений предполагал как автоматизацию действий по анализу инцидентов ИБ и сбору дополнительной информации (для снижения MTTD), так и интеграцию с разнообразными ИТ/ИБ-продуктами для выполнения автоматических или автоматизированных действий по реагированию (для снижения MTTR), например, путем блокировки IP-адреса атакующего на сетевом оборудовании, изоляции атакованного хоста от сети, завершения подозрительных процессов и остановки служб, удаления непрочитанных фишинговых сообщений с почтового сервера, восстановления работоспособности СЗИ на атакованных конечных точках и т.д. Основными задачами решений класса IRP являются, во-первых, автоматизация обработки киберинцидентов с помощью программируемых рабочих процессов (workflow) или сценариев реагирования (playbook-скриптов), которые описывают порядок действий по реагированию, в том числе путем отправки управляющих команд на СЗИ для активного противодействия угрозе (этапы сдерживания и устранения инцидента), и, во-вторых, предоставление средств совместной работы над инцидентом аналитикам ИБ.

Соответственно, IRP или “Incident Response Platforms” – платформа, предназначенная для автоматизации процессов мониторинга, учета и реагирования на инциденты информационной безопасности (ИБ).

Предпосылками внедрения IRP являются определенные проблемы в ходе управления ИБ: отсутствие централизованной системы сбора данных об инцидентах; недостаточная скорость реакции – потеря времени при расследовании инцидентов, вплоть до пропуска; отсутствие средств представления статистики и аналитики.

Поэтому применение IRP позволяет обеспечить своевременные ответные действия группы реагирования на инциденты информационной безопасности, предоставляя при этом аналитическую информацию и контекст инцидента.

Для эффективной работы IRP должна выполнять следующие функции:

– Автоматизация процесса управления инцидентами ИБ. Является основной задачей IRP и предназначена для снижения нагрузки на персонал компании, связанный с обеспечением ИБ.

– Ведение единой базы знаний инцидентов. Содержание в базе информации о зафиксированных инцидентах ИБ позволяет обеспечить регистрацию фактов выявления инцидентов в едином месте и повысить эффективность деятельности группы реагирования на инциденты.

– Интеграция с существующими в компании средствами защиты посредством механизмов взаимодействия, с целью объединения информации об инцидентах ИБ.

– Совместная работа между группами реагирования на инциденты, а именно, обеспечение механизмов коммуникации, оповещения о вновь появившихся инцидентах, хранения полученных материалов и его совместного анализа.

– Автоматизация реагирования на инциденты. Вследствие того, что в некоторых случаях промежуток времени между обнаружением и реакцией на инцидент ИБ должен быть как можно меньше, необходимо как можно больше автоматизировать процесс реагирования на инциденты. Данные процедуры, как правило, включают готовые сценарии реагирования, совокупность технических мероприятий по обработке инцидента.

– Адаптивность работы. Различие используемой инфраструктуры, средств защиты, процессов управления ИБ в различных компаниях порождает обеспечение адаптивности под группы реагирования на инциденты без участия поставщиков платформы.

– Отчетность о проделанной работе. В связи с тем, что вопросы инцидентов ИБ рассматриваются руководством компании, регуляторами и контрагентами, существует необходимость визуализации полученной информации в виде диаграмм, наглядных графиков и карт, а также реализации отчета, включающего всю информацию, затрагивающую инциденты ИБ.

– Интеграция с внешними источниками. Основной задачей является взаимодействие с другими участниками отрасли, экспертами и внешними организациями, а также центром реагирования на компьютерные инциденты (CERT или НКЦИБ) с целью получения оперативной и актуальной информации для своевременного принятия защитных мер.

Как видим, часть задач по автоматизации и ускорению реагированию на инциденты IRP-платформы действительно решают. Но производители средств защиты решили пойти дальше и объединить решения по автоматизации ответных действий на инциденты в системах класса SOAR — Security Orchestration, Automation and Response платформах оркестрации, автоматизации и реагирования на киберинциденты. В SOAR-платформах интегрированы механизмы по обработке событий ИБ (получаемых, как правило, из систем SIEM или Log Management), автоматизации действий по обработке данных событий в соответствии с рабочими процессами и плейбуками, а также механизмы осуществления действий по реагированию благодаря централизованному управлению (оркестрации) ИТ/ИБ-системами (ОС, ПО, СЗИ).
Дополнительно в SOAR-решениях присутствуют опции кейс-менеджмента для совместной работы группы аналитиков над инцидентами, возможности обработки данных киберразведки (благодаря интеграции с поставщиками данных киберразведки, или Threat Intelligence feeds, TI-фидами), а также механизмы визуализации, отчетности, аналитики, логирования выполненных действий по реагированию, ведения базы знаний.
Опционально могут присутствовать возможности обработки Big Data, механизмы машинного обучения и искусственного интеллекта для автоматизации действий и помощи в принятии решений при реагировании.
Грубо говоря, мы можем вывести логическую формулу: SOAR = IRP + TIP + XDR, где TIP — threat intelligence platform, платформа управления данными киберразведки, XDR — extended detection and response, платформа расширенного обнаружения и реагирования на киберинциденты.

Пример сценария использования (Use case) SOAR-платформы: просканировать входящее сообщение электронной почты (интеграция с почтовым сервером, например, Microsoft Exchange) на наличие вредоносных URL-ссылок или хэшей вложений (интеграция с системами киберразведки, например, VirusTotal или URLScan), проанализировать данные событий ИБ с межсетевого экрана (интеграция с сетевым оборудованием, например, Cisco или FortiGate) для поиска трафика с/на подозрительные IP-адреса, далее отправить уведомления аналитикам ИБ (интеграция с мессенджерами, например, Telegram) и заблокировать вредоносные IP-адреса и URL-ссылки на межсетевом экране. Можно также предположить сценарий, в котором SOAR-система осуществляет взаимодействие с конечным устройством через интеграцию с EDR-решением (например, ReaQta EDR) для активного сдерживания угрозы (например, сетевая изоляция хоста, остановка подозрительных процессов/сервисов) или для сбора сведений для форензик-исследования (timeline — временная шкала работы устройства, дампы памяти, список запущенных процессов, сетевых подключений).
Еще один сценарий использования SOAR-решения: анализ данных системы сканирования на наличие уязвимостей (например, Nessus), оценка сетевой доступности и эксплуатируемости уязвимости на определенном устройстве (например, через Infoblox) и создание задачи на установку обновлений для ИТ-подразделения (например, через Atlassian JIRA).

Независимо от прогресса на рынке SOAR-систем, в последнее время наметился новый тренд: решения класса NG-SIEM (Next Generation SIEM) объединяют в себе функционал SIEM-систем, UEBA-модулей (user and entity behavior analytics, поведенческий анализ пользователей и сущностей), а также SOAR-платформ. При этом многие вендоры позиционируют свой NG-SIEM как легко масштабируемое облачное решение, с коннекторами к облачной и локальной (on-prem) инфраструктурам заказчиков для получения событий ИБ и реагирования на инциденты.
Стремление вендоров объединить решения, выполняющие сходные функции, вполне объяснимо, однако при таком подходе СУИБ (система управления информационной безопасностью) заказчика оказывается практически в полной зависимости от одного продукта одного вендора.
Выход данной системы из строя грозит обернуться крупными проблемами: несоответствием законодательству в части сбора логов, невозможностью оперативного реагирования на инциденты, неконтролируемостью инфраструктуры.

Платформа SOAR, как и платформа IRP, является гибко настраиваемой в зависимости от задач, поэтому ее можно адаптировать к следующим основным вариантам использования:

– Мониторинг и эскалация. Платформа SOAR позволяет вводить инциденты, включая соответствующие данные, пользователями или системами, интегрированными с платформой SOAR. Затем вы можете отслеживать состояние от начала до разрешения инцидента. Данные могут включать такие артефакты, как IP-адреса, хэши файлов, URL-адреса, имена пользователей и имена систем. Все данные ассоциируются с инцидентом.

– Идентификация и обогащение. Автоматический поиск информации об угрозах, рабочие процессы и действия на основе меню позволяют получить ценный контекст и сократить время на определение масштаба и последствий, что обеспечивает быстрое и решительное реагирование. Запускайте оценку в “песочнице” и создавайте правила, чтобы действовать в соответствии с результатами. Поиск журналов и конечных точек и принятие решений на основе полученных данных. Включите информацию CMDB и каталога, чтобы помочь аналитикам точно оценить серьезность и воздействие. Переключайтесь на эти критические элементы данных, чтобы динамически корректировать способы реагирования вашей команды. В продукт интегрировано несколько источников киберугроз, и вы можете интегрировать собственные службы угроз.

– Сдерживание, реагирование и восстановление. На основе условий срабатывания или на основе ручных действий система может отправлять уведомления или инициировать внешние действия для сдерживания и корректировки уровня безопасности в рамках программы реагирования.

– Связь и координация. Включает использование пользовательских действий, функций и REST API для двунаправленной интеграции с вашей средой, в том числе с системой управления билетами и услугами, интеллектуальными уведомлениями, коммуникационными платформами и другими бизнес-приложениями. Благодаря интеграции за пределами SOC пользователи могут координировать быстрое и эффективное разрешение инцидента с помощью платформы.

Будущее SOAR-Систем
Вполне вероятно, что разработка систем SOAR будет продолжать развиваться и совершенствоваться в будущем. Одной из областей, где, вероятно, будет достигнут значительный прогресс, является использование машинного обучения и искусственного интеллекта (ИИ) для расширения возможностей систем SOAR.

По мере дальнейшего развития технологий машинного обучения и ИИ, вероятно, системы SOAR будут включать более продвинутые алгоритмы и возможности, позволяющие им лучше справляться со сложными, динамичными средами. Это может включать такие вещи, как улучшенная обработка естественного языка, позволяющая системам SOAR лучше понимать и интерпретировать неструктурированные данные, а также способность учиться на прошлом опыте и адаптироваться к новым ситуациям.

Еще одна область, в которой в будущем, вероятно, произойдет значительное развитие — это интеграция систем SOAR с другими технологиями, такими как Интернет вещей (IoT) и периферийные вычисления. По мере подключения все большего количества устройств и систем будет расти потребность в системах SOAR, способных обрабатывать большие объемы данных из различных источников и работать в распределенных средах.

Кроме того, вероятно, будет продолжаться развитие использования систем SOAR для более широкого спектра приложений и отраслей. По мере того, как преимущества систем SOAR становятся все более широко признанными, вероятно, что они будут использоваться более широким кругом организаций и отраслей, включая здравоохранение, финансы и розничную торговлю.

В целом, будущее систем SOAR выглядит радужным, поскольку они будут продолжать эволюционировать и развиваться в таких ключевых областях, как машинное обучение и искусственный интеллект, интеграция с другими технологиями и более широкое внедрение в различных отраслях.

Заключение
Возможности автоматизации IBM Security SOAR призваны помочь организациям сэкономить время и снизить нагрузку на команды безопасности за счет автоматизации многих ручных и трудоемких задач, которые обычно выполняются в ходе операций безопасности. Сюда входят такие задачи, как сбор и анализ данных, обогащение информации об угрозах и устранение последствий инцидентов. Автоматизируя эти задачи, IBM Security SOAR освобождает команды безопасности, чтобы сосредоточиться на более сложных и важных задачах, таких как расследование и реагирование на инциденты безопасности. Позволяет командам безопасности координировать действия различных инструментов и систем для реагирования на инциденты безопасности и автоматизировать сложные, многоэтапные процессы и гарантирует, что нужные действия будут предприняты в правильном порядке для эффективного устранения инцидента.

Наконец, IBM Security SOAR включает ряд возможностей реагирования, таких как возможность эскалации инцидентов на соответствующую команду или отдельное лицо, а также возможность общения с пострадавшими сторонами. Это помогает командам безопасности обеспечить быстрое и эффективное устранение инцидентов и принятие необходимых мер для предотвращения дальнейшего ущерба или сбоев.

Одной из ключевых особенностей IBM Security SOAR является возможность использования заранее определенных “динамических сценариев” или «playbooks» для автоматизации реагирования на распространенные инциденты безопасности. Эти «учебники», по сути, представляют собой наборы инструкций, в которых подробно описаны шаги, которые необходимо предпринять для реагирования на определенный тип инцидента. Например, руководство по реагированию на атаку ransomware может включать шаги по изоляции пострадавших систем, восстановлению из резервных копий и внедрению дополнительных мер безопасности для предотвращения будущих атак.

В целом, IBM Security SOAR — это мощная платформа, которая позволяет организациям улучшить свои операции по обеспечению безопасности и реагированию на киберугрозы. Сочетание возможностей автоматизации, оркестровки и реагирования позволяет командам безопасности более эффективно управлять инцидентами безопасности и устранять их последствия, а также помогает организациям снизить воздействие киберугроз. А использование заранее определенных сценариев действий при инцидентах еще больше расширяет возможности решения, позволяя организациям быстро и эффективно реагировать на распространенные инциденты безопасности.

Источники:
https://runsec.ru/art119/ «ОБЗОР МИРОВОГО РЫНКА SOAR СИСТЕМ» Грачева Ю.В., Вайц В.Л., Рудик К.П.
https://www.anti-malware.ru/analytics/Market_Analysis/Security-Orchestration-Automation-and-Response-SOAR-Solution-Overview
https://itsec.ru/articles2/Oborandteh/soar-avtomatizatsiya-reagirovaniya
https://www.fortinet.com/ru/products/fortisoar
https://www.ibm.com/products/qradar-soar

Автор:
Лебедев А.В.