Журнал "Information Security/ Информационная безопасность" #2, 2021

Назначение систем SOAR заключается не только в интеллектуальном сборе ИБ-данных сразу из нескольких разнородных источников, но и в автома- тизации рутинных, отнимаю- щих много ресурсов задач. Оркестровка направлена на построение сценариев реагирования, имплемента- цию политик безопасности, выполнение необходимых задач при реагировании и расследовании инциден- тов ИБ. Современные информацион- ные системы постоянно изме- няются, подчас радикальным образом. Новые технологии, такие как гибридные облачные вычисления, удаленный мобильный доступ, SDN и SDS, не только повышают требова- ния к компетенции ИБ-персо- нала и подразумевают приме- нение специфических подхо- дов к защите, но и критически увеличивают потребность в инструментах имплементации политик безопасности и конт- роля их исполнения. Таким образом, выделяются следующие блоки проблем: l нехватка квалифицирован- ного персонала; l трудоемкость внедрения, экс- плуатации СрЗИ и централизо- ванного управления их функ- циями; l разрыв между потребностями руководства в части управления и потенциалом существующих на рынке средств защиты информации; l постоянное изменение ланд- шафта объектов защиты. Частично решает эти про- блемы SOC (Security Opera- tions Center, центр обеспече- ния безопасности), консоли- дируя наиболее действенные силы и средства для исполь- зования там, где это необхо- димо 1 . Но для полного реше- ния перечисленных проблем таким центрам необходимо дополнительное оснащение в виде решений типа SOAR. Понятие SOAR Назначение систем оркест- ровки и автоматического реа- гирования (SOAR, Security Orc- hestration, Automation and Res- ponse) заключается не только в интеллектуальном сборе ИБ- данных сразу из нескольких разнородных источников, но и в автоматизации рутинных, отнимающих много ресурсов задач, таких как: l сбор в режиме реального времени данных об ИБ сразу из нескольких источников с необходимым обогащением и агрегацией информации, поступающей с разнородных средств защиты информации; l автоматизация типовых цепо- чек задач, связанных с инциден- тами ИБ и выявлением отклоне- ний от установленных политик безопасности и требований; l имплементация политик без- опасности на средствах защиты информации как в проактивном, так и в реактивном режимах; l автоматизация всего перечня организационно-технических задач и процедур обеспечения безопасности в рамках реагиро- вания на инцидент ИБ и выявле- ние отклонений от установленных политик безопасности, в том числе информирование, назначе- ние ответственных, организация их совместной работы; l автоматизация всего перечня операций SOC; l ретроспективный анализ состояний, условий, предпри- нятых действий и результатов реагирования на инциденты ИБ для повышения эффективности практик, обучения и дальней- ших расследований; l формирование и оперативное представление состояния ИБ организации, его оценки с воз- можностью ретроспективного и предиктивного анализа. Понятие SOAR возникло отно- сительно недавно. Выделяют три группы функций SOAR: интеграция (Unification), авто- матизация (Automation) и оркестровка (Orchestration). Интеграция – это унификация различных технологий, процес- сов, ресурсов и интерфейсов, позволяющая вести эффектив- ную совместную работу средств защиты информации, направ- ленную на обеспечение ИБ. Автоматизация минимизирует участие персонала в решении задач с сохранением, а зача- стую и с повышением качества и согласованности. Оркестровка направлена на построение сценариев реагиро- вания, имплементацию политик безопасности, выполнение необходимых задач при реаги- ровании и расследовании инци- дентов ИБ. В исследовании 2 приводится следующее обобщенное понятие: "Оркестровка безопасности – это средство, решающее комплекс задач по планированию, интеграции, кооперации и координации активностей, функций средств защиты информации и экспертов, для реализации и автоматизации необходимых действий, направленных на реагирование на инцидент ИБ в рамках разнородных технологических парадигм". 30 • УПРАВЛЕНИЕ SOAR и проблема рационального использования СрЗИ организациях обычно уже существует несколько систем безопасности, но нехватка квалифицированного персонала, проблемы с интеграцией и отсутствие специализированных средств управления делают невозможным полноценное внедрение решений. Особенно это актуально на тех объектах КИИ, где требуется централизация управления ИБ. При этом высокая степень автоматизации современных атак перегружает экспертов команды реагирования, на которых сваливается большое количество рутинных операций. В Логинов Кирилл, старший аналитик УЦСБ Савин Михаил, руководитель проекта Eplat4mOrchestra 1 https://www.mitre.org/sites/default/files/publications/pr-13-1028-mitre-10-strategies-cyber-ops-center.pdf

RkJQdWJsaXNoZXIy Mzk4NzYw