Журнал "Information Security/ Информационная безопасность" #5, 2018

Активный щит Само сокращение SOAR определяет набор функций тех- нологии: оркестрация для интег- рации со средствами защиты и другими ИТ-системами пред- приятия, автоматизация за счет заранее описанных шагов рас- следования (Рlaybook) выявлен- ных инцидентов и реагирование на них с помощью оркестрации. Не стоит также забывать о системе управления и оценки эффективности работы SOC. Следует отметить, что SOAR является продолжением разви- тия технологии SIEM. Однако последняя ограничена монито- ринговыми функциями и подго- товкой отчетов, оставляя реа- гирование на внешние решения. Фактически результатом дея- тельности SIEM является под- робный отчет о инцидентах с возможными рекомендациями по реагированию. В то же время SOAR может не только предла- гать рекомендации, но и авто- матически реагировать на собы- тия. Таким образом, функцио- нальные возможности SOAR следующие: 1. Оркестрация. В рамках рас- следования для сбора допол- нительных данных и контекста аналитику необходимо взаимо- действовать с разного рода средствами и системами как ИБ, так и ИТ. Подобный "руч- ной" труд, с одной стороны, сильно замедляет процесс рас- следования, с другой – доста- точно однотипный и скучный. Эта однотипная работа является одной из причин высокой текуч- ки аналитиков первой линии. Оркестрация позволяет интег- рироваться со сторонними системами для сбора данных и управления, сокращая время на переключение между различ- ными консолями и интерфей- сами. Например, при обнару- жении атаки, когда сработала виртуальная ловушка, запус- каются дополнительные про- цессы проверки показателей компрометации, включаются системы более строгого сег- ментирования корпоративной сети или поиск вредоносных кодов. 2. Автоматизация. SOAR- решение позволяет описать и автоматизировать выполняе- мые в рамках расследования действия посредством заранее подготовленных планов реаги- рования (Рlaybook). Таким обра- зом, система позволяет авто- матизировать однотипные дей- ствия, которые ранее аналитики выполняли вручную, тем самым значительно сокращая время на расследование и сбор необходимых данных для при- нятия решений. Стоит также отметить, что не все операции можно автоматизировать пол- ностью и система должна поз- волять останавливать процесс и ожидать дальнейших дей- ствий от оператора. Например, после автоматического сбора данных о заражении аналитик проводит анализ достаточности доказательств и принимает решение о блокировке учетной записи или переносе узла сети в изолированный сегмент. План реагирования должен позволять строить сложные конструкции с разными путями развития и ветвлениями (в зависимости от результата анализа). 3. Реагирование. За счет оркестрации SOAR-решение имеет возможность автомати- ческого реагирования на выявленные инциденты. Есте- ственно, что не всегда возмож- но в автоматическом режиме решить проблему, но это поз- воляет сделать перевод средств защиты в более "жесткие" режи- мы работы, выполнить сбор более подробной статистики и ограничить потенциально опасные операции. После зара- жений шифровальщикомWanna- Cry актуальной функциональ- ностью стало оперативное реа- гирование на заражения, чтобы минимизировать распростране- ние вредоносных кодов, – от скорости реакции на агрессив- ные заражения может сильно зависеть полученный ущерб. Когда автоматические сценарии с помощью показателей ком- прометации выявили заражен- ные устройства, средства реа- гирования отключают их от основной сети, чтобы блокиро- вать дальнейшее распростра- нение вредоносного кода. Стоит отметить другие важ- ные функции SOAR: оценку эффективности, управление 34 • ТЕХНОЛОГИИ SOAR: автоматизация реагирования акеры используют для проникновения в корпоративные сети автоматизированные инструменты, которые действуют быстро и точно. В то же время средства защиты могут в автоматиче- ском режиме предотвратить только заранее известные атаки, однако ручная работа с инцидентами – это все равно что сражаться шашкой против танков. “Ручная” защита, даже если и успеет отреагировать, то уже на совершенную атаку. Пока оператор будет разбираться в том, что произошло, хакер может успеть закрепиться в системе и уничтожить следы своего проникновения. Для организации и автоматизации процесса расследования и реагирования используется инструментарий, получивший наименование SOAR (Security Orchestration, Automation and Response). Х Роман Ванерке, технический директор АО “ДиалогНаука”