Журнал "Information Security/ Информационная безопасность" #4, 2024

TDIR охватывает и объ- единяет в единую систему широкий спектр технологий, процессов и классов реше- ний, включая SIEM, TIP, IRP/SOAR и EDR, обеспечи- вая комплексный подход к управлению угрозами и инцидентами безопасности.. Двигатель под капотом TDIR – это, безусловно, SIEM. Вопрос анализа собы- тий и выявления инцидентов по-прежнему остается ключевым. Вопрос обнаружения и реагирования на киберугрозы в условиях постоянно меняю- щегося ландшафта атак оста- ется актуальной. Одна из ключевых проблем – недо- статочная скорость реакции на инциденты. Учитывая, что атаки могут разворачиваться за считанные минуты, промед- ление даже на несколько часов может привести к значитель- ным последствиям. Исторически для выявления инцидентов используются системы SIEM, но у этого клас- са есть свои ограничения. С одной стороны, по мере увеличения объема как угроз, так и данных решениям SIEM все сложнее справляться с масштабами агрегации, ана- лиза, хранения и выдачи дан- ных. С другой стороны, системы SIEM только выявляют инци- дент, ориентируясь на поток событий от источников, но вопросы реагирования прихо- дится решать интеграцией с продуктами других классов. Эти предпосылки естествен- ным образом подталкивают развитие SIEM в сторону более комплексного решения. Для него Gartner и придумала аббревиатуру TDIR. Что такое TDIR? Концептуально TDIR – это процесс выявления, оценки угроз и реагирования на них. Платформы TDIR, которые реа- лизуют эту концепцию, могут использоваться для выявления действий злоумышленников и, главное, оперативно прини- мать решения о мерах реаги- рования до того, как инцидент затронул критические части инфраструктуры. TDIR объединяет в единую систему широкий спектр тех- нологий, процессов и классов решений, включая SIEM, TIP, IRP/SOAR и EDR, обеспечивая комплексный подход к управ- лению угрозами и инцидентами безопасности. Создание платформ TDIR с нуля маловероятно из-за слож- ности разработки и огромных ресурсов, которые требуются для этого. Более вероятен сце- нарий, когда такие решения будут формироваться через интеграцию отдельных ИБ-про- дуктов со своей функциональ- ностью в единую экосистему. По такому пути пошла эко- система UserGate SUMMA. Она как раз и реализует подход к платформам TDIR за счет априорной интегрированности отдельных продуктов UserGate SIEM – основа решения Двигатель под капотом TDIR – это, безусловно, SIEM. Вопрос анализа событий и выявления инцидентов по- прежнему остается ключевым. В 2024 г. была представлена система UserGate SIEM, кото- рая реализует классический функционал агрегации, норма- лизации, обогащения, корре- ляции событий и выявления инцидентов. Система предлагает более 300 правил корреляции, раз- работанных экспертами UserGate и упорядоченных по матрице MITRE ATT&CK, что значительно облегчает их использование и повышает эффективность работы поль- зователей. Важным аспектом является возможность отправки инци- дентов в ГосСОПКА как в руч- ном, так и в автоматическом режиме для выполнения тре- бований законодательства. В том же 2024 г. компанией был запущен собственный SOC на базе продуктов UserGate SUMMA, включая SIEM. Важно отметить, что SIEM- система является полностью самостоятельной и может эффективно работать даже в тех инфраструктурах, где отсутствуют другие продукты экосистемы UserGate SUMMA. EDR – контроль рабочих станций Рабочие станции – один из наиболее уязвимых компонен- тов инфраструктуры. В том числе и потому, что именно здесь реализуются векторы атак, связанные с фишингом, да и вообще с человеческим фактором. Важную роль в защите рабо- чих станций играет EDR. В эко- системе SUMMA эта функцио- нальность реализована в про- дукте UserGate Client, который собирает и предоставляет детализированные данные о конечных устройствах, таких как компьютеры, ноутбуки и мобильные устройства. Данные включают информацию об их состоянии, конфигурации, уста- новленных приложениях и активности пользователей. Таким образом строится пол- ная картина информационной безопасности на конечных точ- ках инфраструктуры: с помо- щью UserGate Client можно отслеживать устройства как внутри корпоративной сети, 24 • СПЕЦПРОЕКТ Российский TDIR – уже реальность DIR – одна из новых аббревиатур на рынке ИБ. Пару лет назад компания Gartner предсказала слияние нескольких реше- ний в единый класс, заточенный под обнаружение и реагиро- вание на инциденты: Threat Detection and Response. Однако, еще в 2020 г. компания UserGate начала разработку собствен- ной SIEM-системы и в целом движение в сторону раннего обнаружения угроз и оперативного ответа на них. Поэтому сейчас функциональность экосистемы Usergate SUMMA, кото- рая логически и технологически объединяет в себе все продукты и услуги компании, соответствует концепции TDIR. Рассмотрим, как и за счет каких компонентов это происходит. T Дмитрий Чеботарев, менеджер по развитию UserGate SIEM Фото: UserGate