Журнал "Information Security/ Информационная безопасность" #5, 2018

инцидентами ИБ, интеграцию с поставщиками Threat Intelligen- ce. Так, например, SOAR-реше- ние может стать единой точкой управления инцидентами ИБ в компании. Следует отметить, что доста- точно большая часть функцио- нала SOAR относится к классу SIEM. Поэтому решения SOAR либо включают в себя модуль SIEM как элемент первичного сбора и обработки сведений об инцидентах, либо интегрируют- ся с внешними SIEM для полу- чения сигналов тревоги, векто- ров атаки, признаков компро- метации и других характеристик вредоносной деятельности. Решения В качестве примера продук- тов, относящихся к классу SOAR, можно привести разра- ботки компании RSA NetWitness Orchestrator, IBM Resilient и R-Vision. Так, компания RSA выпускает несколько продуктов, которые в целом и составляют SOAR-систему. В частности, компания предлагает платфор- му Security Orchestration, кото- рая обеспечивает оркестрацию и автоматизацию процессов управления средствами защи- ты, платформу Incident Mana- gement, с помощью которой можно реагировать на инци- денты и восстанавливать штат- ную работу систем после атак, и платформу Interactive Investi- gation, которая обеспечивает интеллектуальную обработку событий для мониторинга систем информационной без- опасности. Все платформы интегрируются между собой и в целом составляют SOAR с максимально функциональной реализацией всех функций. Компания IBM, купившая одного из первых производите- лей SOAR-решений Resilient, предлагает платформу Resilient Incident Response Platform, кото- рая обеспечивает выполнение всех задач SOAR, от оркестра- ции до реагирования на инци- денты. Это единая SOAR-плат- форма, интегрированная с дру- гими защитными продуктами IBM и одной из популярных SIEM IBM QRadar. Таким обра- зом, для IBM платформа Resili- ent является хорошим дополне- нием к другим продуктам, с помощью которых можно построить полноценную SOAR- систему. В этом случае воз- можно использовать связку качественной SIEM QRadar и автоматизации обработки инци- дентов на Resilient Incident Res- ponse Platform. Российская компания R-Vision предлагает продукт R-Vision Inci- dent Response Platform (IRP), это программная платформа для оперативной организации и автоматизации деятельности по мониторингу, регистрации и реагированию на инциденты информационной безопасности. Система позволяет создать еди- ную точку консолидации инфор- мации обо всех инцидентах информационной безопасности (корпоративный SOC), а также платформу для совместной работы группы реагирования на инциденты ИБ с возможностью сбора, анализа и хранения све- дений, относящихся к инциден- там ИБ. R-Vision IRP обеспечи- вает координацию деятельности сотрудников компании, распре- деление задач и учет выпол- ненных мероприятий по реаги- рованию на инциденты ИБ. Однако это, скорее, координа- тор для ручной обработки инци- дентов, который со временем может развиться в полноценную SOAR. Заключение Рынок SOAR достаточно молодой: аналитики сформиро- вали потребность в подобного класса продуктах только в последние два года. Игроков на нем пока немного, хотя уже появляются и российские реше- ния. Тем не менее уже сейчас очевидно, что для эффектив- ного реагирования на инциден- ты информационной безопас- ности будут требоваться инстру- менты для автоматизации этих процессов. В этой связи вос- требованность SOAR-решений в долгосрочной перспективе будет только расти. l • 35 ТЕХНОЛОГИИ www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ АО "ДИАЛОГНАУКА" см. стр. 56 NM 2019 12-14