Журнал "Information Security/ Информационная безопасность" #2, 2021

Эффективное решение задач, стоящих перед SOAR, возможно при привлечении средств онтологического представления для унифика- ции функций управления и представления политик без- опасности. SOAR можно рассматри- вать как средство защиты информации, направленное на решение проблем управ- ления ИБ, связанных не непосредственно с защитой от угроз, а с повышением эффективности и качества данного процесса, при нали- чии ограничений, обуслов- ленных персоналом и техно- логиями. Каждый плейбук может быть представлен в виде конечного автомата – алгоритма, содер- жащего последовательности отдельных шагов (состояний). В качестве таких состояний могут выступать скрипты, реа- лизованные на различных язы- ках программирования (Python, PowerShell, Linux script, Node.js и др.) и предназначенные для получения данных или выпол- нения команд управления СрЗИ. Плейбук может состоять как из полностью автоматических шагов выполнения, полностью ручных шагов выполнения, так и из их сочетания. Плейбук должен поддержи- вать определенный уровень абстракции в своем описании, с возможностью реализации конкретных действий и импле- ментации конкретных политик при выполнении. Концепция SOAR позволяет эффективно решить обозначен- ные во введении проблемы, а именно: 1. Нехватка квалифицирован- ных сотрудников компенсиру- ется фокусировкой имеющегося персонала на задачах управле- ния и планирования. Типовые и рутинные задачи применения политик безопасности, реагиро- вания на инциденты ИБ решают- ся в автоматическом или полу- автоматическом режимах. Рабо- та может вестись в кооператив- ном режиме, с использованием единой, точно подобранной информации и подходов, с воз- можностью вынесения и исполь- зования опыта, предиктивного анализа. 2. Эксплуатация СрЗИ и управ- ление функциями ИБ обеспечи- ваются автоматизацией функций защиты, настройки и имплемен- тации политик. При этом дости- гается снижение количества ошибок конфигурирования, повышается оперативность реа- гирования на инциденты ИБ и качество этих операций. 3. Разрыв между потребно- стями руководства в части управления и потенциалом существующих на рынке СЗИ нивелируется за счет интер- фейсов единого централизован- ного управления, имплемента- ции политик и прозрачного получения обратной связи в рамках процесса управления, с учетом минимизации зависи- мости от знаний и умений кон- кретных специалистов. Внедре- ние SOAR способствует повы- шению эффективности управ- ления ИБ, качества работы спе- циалистов, оптимизации затрат, необходимых на поддержание и развитие системы. 4. Использование SOAR поз- воляет масштабировать и уни- фицировать функции управле- ния ИБ-инфраструктурой, вне зависимости от ее размеров, архитектуры и типа элементов. Инструментарий SOAR не ограничивается традиционными средствами автоматизации и интерфейсами. Эффективное решение задач, стоящих перед SOAR, возможно при привлече- нии средств онтологического представления для унификации функций управления и пред- ставления политик безопасно- сти. Например, политики меж- сетевого экранирования долж- ны быть инвариантны к интер- фейсам настройки конкретного производителя. Свое применение должны найти методы машинного обуче- ния. Также следует учитывать конвергентную архитектуру, когда в одном решении могут объеди- няться системы и сервисы уста- новленные локально, в облаке, по модели SaaS. Решение SOAR должно эффективно использо- ваться не только в ИБ, но и в управлении инженерными систе- мами: пожаротушении, контроле физического доступа, управлении электропитанием и т.п. Должна быть возможность управлять облачными ресурсами с помощью сервисов провайдера, без исполь- зования агентов, скриптов и подобных "доработок". Eplat4mOrchestra – одна систем, в которых реализованы и получают должное развитие эти принципы. Заключение SOAR можно рассматривать как средство защиты информа- ции, направленное на решение проблем управления ИБ, свя- занных не непосредственно с защитой от угроз, а с повыше- нием эффективности и качества данного процесса, при наличии ограничений, обусловленных персоналом и технологиями. Использование SOAR позво- лит устранить разрыв между бизнес-целями и применяемыми мерами ИБ, представить пол- ноценную возможность эффек- тивно достигать общие цели с использованием информацион- ных технологий и обеспечением необходимой защиты. l 32 • УПРАВЛЕНИЕ Ваше мнение и вопросы присылайте по адресу is@groteck.ru Рис. 2. Архитектура, реализованая в нашем решении Eplat4mOrchestra