IRP/SOAR системы: автоматизация реагирования на инциденты безопасности

В одной из прошлых статей мы вместе с экспертами разбирались, какие системы нужно внедрять в SOC на разных этапах его зрелости. К числу «мастхэв-инструментов» эксперты отнесли решения IRP/SOAR. В этом обзоре рассказываем, как автоматизированные решения помогают компаниям быстро обнаружить кибератаку и свести к минимуму ее негативные последствия.

Скорость реакции на попытки взлома, подозрительную активность ПО или нелегитимные действия в инфраструктуре во многом определяет ущерб от инцидента для бизнеса. Организации следует заранее подготовиться к возможной кибератаке: сформировать план, разработать процессы, довести их до всех задействованных сотрудников.

Системы класса IRP/SOAR (Incident Response Platform/Security Orchestration, Automation and Response) выполняют именно эту задачу: наладить и максимально автоматизировать процессы, чтобы в решающий момент время не уходило впустую.

По данным IBM, в 2022 году на обнаружение взлома уходило в среднем 277 дней. Использование автоматизированных систем сокращает эту цифру на 25% — до 203 дней — и позволяет сократить ущерб от инцидента на $3 млн.

Как работают системы класса IRP

Платформы реагирования на киберинциденты — это базовый компонент архитектуры упреждающих и оперативных мер противодействия кибератакам. Они позволяют обнаруживать аномалии, определять актуальные угрозы и реагировать на угрозы в режиме реального времени с помощью автоматизированных сценариев (плейбуков). Эти сценарии представляют собой спланированные рабочие процессы, которые автоматически координируют реакцию на события безопасности, объединяя множество разрозненных инструментов.

Как правило, решения «из коробки» включают в себя некоторый набор плейбуков, который впоследствии обогащается и дорабатывается с учетом особенностей конкретной организации.

С применением IRP-систем компания получает возможность стратегически спланировать и организовать действия в случае разных инцидентов, а также задокументировать все происходящее в ходе атаки с помощью формализованных отчетов об инцидентах для дальнейшего анализа. Автоматизация действия помогают службам безопасности сократить время и ресурсы для обработки инцидентов, а также выявлять и устранять события, которые могли быть пропущены из-за нехватки ресурсов.

Основные возможности IRP-систем:

• Поддержка рабочих процессов ИБ-аналитиков — обеспечение совместной работы целых команд, создание технологической базы для накопления данных об инцидентах безопасности, расстановка приоритетов для разных событий, обмен данными между всеми участниками процессов. Помимо самих кибератак, специалисты могут анализировать соглашения об уровне обслуживания (SLA), создавать отчеты о случаях нарушения конфиденциальности и соблюдения требований законодательства.
• Аналитика и киберразведка — помощь специалистам по безопасности в сборе данных о событиях безопасности путем интеграции с различными инструментами безопасности, добавление контекста для создания графиков событий и объединение их с анализом угроз. IRP-система собирает воедино события из множества источников, представляет их в наглядном виде для выявления сложных угроз, упрощает подготовку материалов для внутреннего расследования и судебной экспертизы.
• Автоматизация рабочих процедур — запуск преднастроенных процессов при обнаружении инцидента безопасности, чтобы специалисты не тратили время на определение, что именно произошл

о и как нужно действовать. IRP-система автоматизирует эскалацию работы с инцидентов и назначение задач сотрудникам службы безопасности.

Как работают системы класс SOAR

Gartner определяет решения Security Orchestration, Automation and Response (SOAR) как категорию инструментов безопасности, которые могут собирать данные об угрозах из нескольких источников, сортировать события безопасности и автоматически реагировать на большое количество инцидентов безопасности. Ключевое отличие от IRP-систем состоит в оркестровке разрозненных систем безопасности, IT-систем, команд аналитиков и ИБ-специалистов.

SOAR-решения – это мощный инструмент, однако эксперты рекомендуют подходить к автоматизации реагирования постепенно. Первые сценарии нужно создавать на основе ручных операций, которые можно легко отслеживать. Испытав эти процессы на реальных событиях безопасности, компания сможет убедиться, что они действительно эффективны.

После этого можно развивать автоматизацию: после каждого инцидента исследовать, что сработало, а что нет, и донастраивать процессы. Постепенно компания сможет определить шаги, которые можно автоматизировать далее — и цикл повторяется.

Такой подход позволит организации осознанно подходить к автоматизации реагирования. Специалисты смогут создавать шаблоны процессов для разных категорий инцидентов, что позволит повторно использовать общие процедуры для эффективного взаимодействия перед лицом угроз, с которыми компания сталкивается в реальной жизни, а не в теории.

Основные возможности SOAR-систем:

• Оркестровка и координация — организация работы множества инструментов безопасности, ИТ-систем и аналитиков. Например, при обнаружении зловредного вложения в спам-сообщении, система сможет автоматически связаться с антивирусами на хостах, выявить зараженные системы и поместить их в карантин.
• Автоматизация и стандартизация процедур — возможность определять сценарии безопасности с использованием шаблонизированных рабочих процессов. Аналитики безопасности смогут формировать цепочки действий без необходимости разбираться в особенности работы конкретных рабочих инструментов и писать код.
• Централизованное управление инцидентами — возможность собирать и сортировать данные о безопасности из SIEM и других источников, обогащение материалов контекстуальными доказательствами и оперативными данными от групп безопасности. SOAR поддерживает полностью автоматизированное реагирование на инциденты и позволяет аналитикам по безопасности вмешиваться на любом этапе процесса для принятия решений.

Как получить максимум от систем IRP/SOAR

Cyber Media спросил у экспертов по информационной безопасности, какие факторы влияют на эффективность IRP/SOAR.

Какие системы необходимо развернуть, прежде чем внедрять IRP/SOAR?

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ компании «Газинформсервис»

Внедрение IRP/SOAR подразумевает определенную зрелость самих процессов управления информационной безопасностью в организации. К моменту принятия решения о покупке и внедрении этого продукта, как правило в организациях уже есть SIEM, DLP, различие решения по защите рабочих станций и сетевой безопасностью. По своей сути IRP/SOAR решения должны автоматизировать то, что и так происходит в компании в плане инцидентов информационной безопасности.

Сергей Золотухин

Консультант по кибербезопасности компании F.A.C.C.T.

Внедрение платформ IR требует не просто наличия комплекса средств для выявления и отражения угрозы. Чтобы эти средства работали эффективно, они должны централизованно управляться. И, естественно, должны быть отлаженные вручную процессы, которые могут быть эффективно автоматизированы.

Мы рекомендуем компаниям, которые стремятся к повышению зрелости ИБ: начинайте с XDR, расширяйте возможности с помощью MXDR, не отдавая на сторону функцию защиты, и далее двигайтесь к IRP.

Теймур Хеирхабаров

Директор департамента мониторинга, реагирования и исследования киберугроз BI.ZONE

Прежде чем внедрять IRP/SOAR, компания как минимум должна иметь источник подозрений на инциденты кибербезопасности и процесс реагирования на них. Таким источником может быть SIEM-система, срабатывания правил корреляции которой заводятся в IRP/SOAR, иное решение, направляющее уведомления о подозрении на инциденты в IRP/SOAR напрямую, а не через SIEM (например, EDR/XDR), либо внешний коммерческий SOC/MDR.

Если же в компании отсутствуют источник выявления инцидентов и самый простой процесс реагирования на них, внедрение IRP/SOAR преждевременно.

Какая подготовка требуется ИБ-специалистам, чтобы максимально использовать возможности IRP/SOAR?

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ компании «Газинформсервис»

ИБ-специалисты должны хорошо понимать, что из себя представляют те или иные инциденты ИБ и как именно работают имеющиеся в их распоряжении средства ИБ. Без этого понимания отдачи от IRP/SOAR не будет, потому что их задача именно автоматизировать процессы, а не принимать решения за специалистов. Как правило к IRP/SOAR решениям переходят после внедрения SIEM, когда уже сами специалисты в компании умеют разбирать инциденты и понимают, что реагирование на них начало съедать слишком много времени.

Сергей Золотухин

Консультант по кибербезопасности компании F.A.C.C.T.

Наш опыт показывает, что такие платформы не заменяют человека: ни одна автоматизированная платформа не в силах противостоять новой изощренной и дерзкой атаке, управляемой человеком.  Более того, внедрение IRP (Incident Response Platform) требует высокой квалификации сотрудников, а это означает обучение на специализированных курсах и глубокое погружение в различные области: криминалистика, malware-анализ, Threat hunting и так далее.

Какие процессы необходимо выстроить в компании, чтобы решение отрабатывало на 100%?

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ компании «Газинформсервис»

IRP/SOAR автоматизируют работу с инцидентами, соответственно прежде чем внедрять эти решения, работа с инцидентами уже должна вестись с помощью, например, SIEM-системы, руками ИБ-специалистов. В компании должны быть грамотно настроены источники событий, чтобы системе было с чем работать. Ну и конечно нужны квалифицированные кадры, которые не только понимают, как настраивать реакцию на инциденты, но глубоко понимают возможности имеющихся средств защиты, как именно происходят хакерские атаки и что этому можно противопоставить.

Подведем итоги

Отражать кибератаки вручную в сегодняшних условиях физически невозможно: преступники действуют быстро и скрытно. Решения IRP/SOAR автоматизируют множество рабочих задач ИБ-специалистов и потому являются обязательным элементом безопасности цифровых активов. 

Однако прежде чем внедрять эти системы, необходимо выстроить процессы и четко определить цели. В противном случае компания рискует впустую потратить ресурсы и не получить ожидаемых результатов.

В следующих материалах мы продолжим знакомить вас с особенностями и возможностями разных классов продуктов, которые наиболее актуальны при построении SOC-центров.