Журнал "Information Security/ Информационная безопасность" #5, 2021

IRP – платформа реаги- рования на инциденты кибербезопасности, исполь- зуемая для систематизации данных об инцидентах ИБ, а также автоматизации дей- ствий оператора, специали- ста ИБ, выполняемых при реагировании на инциденты кибербезопасности. IRP-системы Системы IRP (Incident Response Platform) помо- гают выполнить ряд рутинных операций по сбору дополнительной информации, осуще- ствить неотложные дей- ствия по сдерживанию и устранению угрозы, восстановить атакован- ную систему, оповестить заинтересованных лиц, а также собрать и струк- турировать данные о расследованных инци- дентах информационной безопасности. Системы IRP реали- зуют меры противодей- ствия угрозам ИБ в соот- ветствии с заранее заданными сценариями реаги- рования (так называемые play- books или runbooks). Такие сце- нарии представляют собой набор автоматизированных задач по детектированию угроз и анома- лий в защищаемой инфраструк- туре, а также реагированию на угрозы в режиме реального вре- мени. Сценарии реагирования действуют на основании настраи- ваемых правил и типов инци- дентов, выполняя те или иные действия в зависимости от дан- ных, поступающих со средств защиты или от информационных систем. По окончании реагиро- вания на инцидент IRP-платфор- ма поможет создать отчет об инциденте и предпринятых дей- ствиях по его устранению. Security Orchestration, Automation and Response (SOAR) Можно подумать, что работа аналитиков по кибербезопас- ности уже в достаточной мере автоматизирована, а примене- ние разнообразных средств защиты (IRP/SGRC/SIEM) поз- воляет значительно упростить работу сотрудникам SOC-цент- ров. Но зачастую для обеспече- ния кибербезопасности исполь- зуются настолько разные систе- мы и средства защиты, а при обработке киберинцидентов нужно решать столько разно- родных задач, что реагирование на инциденты ИБ требует еще большей степени автоматиза- ции процессов. Причем речь даже не столько про непосред- ственно активное противодей- ствие угрозам (с этим справ- ляются IRP-решения), сколько про интеграцию систем обра- ботки данных киберразведки, обогащение полученных дан- ных, коммуникации по инци- дентам, применение методов машинного обучения и анализа больших данных (Big Data). При необходимости автома- тизировать большое количество смежных процессов реагирова- ния на инциденты применяются системы класса SOAR (Security Orchestration, Automation and Response), платформы оркест- рации, автоматизации и реаги- рования на инциденты ИБ. Дан- ные продукты являются эволю- цией платформ реагирования на киберинциденты и предо- ставляют расширенные функ- ции автоматизации процессов обработки инцидентов инфор- мационной безопасности. Плат- формы SOAR сочетают в себе следующий функционал: l оркестрация – объединение и централизованное управление ИТ-/ИБ-системами, использую- щимися при обработке инци- дентов ИБ; l автоматизация – подразуме- вает алгоритмизацию процес- сов обработки инцидентов ИБ путем реализации бизнес-логи- ки регламентов реагирования на инциденты в плейбуках; l реагирование – обеспечивает сбор информации об угрозе и активное противодействие (лока- лизацию и устранение), а также совместную работу аналитиков над инцидентами ИБ в виде удобной платформы коммуни- кации и обмена информацией. Дополнительно в решения класса SOAR могут быть включены модули управления данными киберразведки (Threat Intelligence), управления конфи- гурациями (Configuration Mana- gement), обновлениями (Patch Management) и уязвимостями (Vulnerability Management) про- граммного обеспечения, модули аналитики и визуализации информации (дашборды, отче- ты, метрики), а также функции машинного обучения и анализа Big Data. Основные возможности систем SOAR: 18 • СПЕЦПРОЕКТ Автоматизация реагирования на инциденты информационной безопасности: плюсы, особенности, решения оличество инцидентов информационной безопасности, особенно в крупных организациях, велико и с каждым годом продолжает расти. При реагировании на них счет идет буквально на минуты, а позволить себе нанять большое количество высококлассных ИБ-специалистов могут далеко не все. Поэтому вопрос о том, как помочь аналитикам ИБ при реагировании на инциденты и снять с них рутинную нагрузку по выполнению однотипных операций, стоит достаточно остро. К Екатерина Черун, коммерческий директор Security Vision Виктор Сердюк, генеральный директор АО “ДиалогНаука”