Журнал "Information Security/ Информационная безопасность" #5, 2021

Security Vision IRP/SOAR позволяет не только гибко выстроить обработку инци- дентов ИБ, но и интегриро- ваться с внешними ИТ- системами для автоматиза- ции действий по реагирова- нию. Security Vision IRP/SOAR позволяет автоматизировать широкий спектр процессов и охватывает полный цикл работы с инцидентами. Security Vision IRP/SOAR позволяет существенно упростить решение про- фильных задач ИБ-аналити- кам, снять с них рутинную нагрузку и, как следствие, высвободить их ценное время для решения более важных задач. С технической точки зре- ния польза от внедрения Security Vision IRP/SOAR заключается в сокращении времени обнаружения инци- дентов и реагирования на них, результатом чего является существенное уменьшение прогнозируемо- го ущерба от кибератак. l выполнение действий по реа- гированию благодаря центра- лизованному управлению (оркестрации) ИТ-/ИБ-система- ми (ОС, ПО, СЗИ); l наличие механизмов визуа- лизации, отчетности, аналитики, логирования выполненных дей- ствий по реагированию, ведения базы знаний; l кейс-менеджмент для совместной работы группы ана- литиков над инцидентами; l возможности по обработке данных киберразведки благо- даря интеграции с поставщика- ми данных киберразведки (индикаторов компрометации, TI-фидов и др.); l возможности по обработке Big Data, механизмы машинного обучения для автоматизации действий и помощи в принятии решений при реагировании на инциденты ИБ. Платформа для индивидуальной автоматизации действий по управлению процессами кибербезопасности – Security Vision IRP/SOAR На сегодняшний день одним из наиболее эффективных про- дуктов класса IRP/SOAR являет- ся система Security Vision IRP/SOAR – российский про- граммный продукт для автома- тизации и роботизации дей- ствий по реагированию на инци- денты кибербезопасности. Security Vision IRP/SOAR позво- ляет автоматизировать широ- кий спектр процессов и охва- тывает полный цикл работы с инцидентами, включая: l подготовку к отражению инцидента; l обнаружение и анализ инци- дента; l сдерживание; l устранение и восстановление после инцидента; l выполнение действий после реагирования (Post-Incident Acti- vity) с анализом "выученного урока"; l корректировку планов реаги- рования и настройку СЗИ. Обнаружение и реагирование Остановимся подробнее на двух базовых составляющих управления инцидентами, обна- ружении и реагировании – активном действии, направлен- ном на локализацию, сдержи- вание, устранение угрозы и на возврат информационной систе- мы в состояние "до начала атаки". В рамках обнаружения инцидентов с помощью Security Vision IRP/SOAR автоматизи- руются следующие процессы: l поиск и сбор дополнительной информации о затронутом инци- дентом активе; l поиск индикаторов компро- метации (IoC – Indicator of Com- promise) и данных о тактиках, техниках, процедурах (TTPs – Tactics, Techniques, Procedures) атакующих в платформах киберразведки (TIP – Threat intelligence Рlatform); l первичная классификация и анализ инцидентов, а также отсеивание явных ложнополо- жительных срабатываний. В рамках реагирования на инциденты с помощью Security Vision IRP/SOAR могут быть автоматизированы следующие действия: l блокировка IP-адреса ата- кующего на сетевом оборудо- вании; l изоляция атакованного хоста от сети; l завершение подозрительных процессов и остановка служб; l удаление непрочитанных фишинговых сообщений с поч- тового сервера; l восстановление работоспо- собности СЗИ на атакованных конечных точках. Результаты применения Security Vision IRP/SOAR Внедрение системы Security Vision IRP/SOAR позволяет достичь следующих результатов: l роботизации выполнения дежурных процедур оператора в режиме реального времени и автоматизированной обратной реакции на инциденты. После громких эпидемий вирусов и тро- янцев-шифровальщиков стало очевидно, что реагирование – это не оповещение, а автоматическое выполнение действий оператора; l снижения риска человеческо- го фактора, а именно ошибок сотрудников, привлекаемых для реагирования на инциденты (две трети инцидентов ИБ связаны с человеческим фактором); l автоматического насыщения и обогащения информацией о событиях со смежных ИТ- и ИБ-систем – двусторонний обмен между ИТ- и ИБ-систе- мами обеспечивает необходи- мые и достаточные условия отсутствия белых пятен; l повышения скорости реаги- рования на инциденты. Как пока- зывает опыт внедрения Security Vision IRP/SOAR, если до исполь- зования продукта специалисту нужно было не менее двух часов для проверки 1–2 сложных инци- дентов, то сейчас система осу- ществляет более 200 проверок за несколько секунд; l систематизации интеграций со средствами защиты и ИТ- системами, такими как: средства обеспечения безопасности элек- тронной почты, средства анти- вирусной защиты, Service Desk, Active Directory, DNS, CMDB, средства контроля изменений межсетевых экранов, средства контроля целостности данных, межсетевые экраны, средства защиты от фишинговых атак, системы предотвращения втор- жений (IPS), "песочницы", систе- мы хранения журналов событий, средства хранения архивов кор- поративной электронной почты, FinCert, Gov-CERT, VirusTotal, UrlScan.io, MXTool.box и др.; l повышения удобства и наглядности реагирования на инциденты ИБ – учет активов в собственной базе CMDB- системы, построение картинки активных инцидентов, построе- ние графических схем инци- дентов (взаимосвязь объектов в рамках расследования), интег- рация более чем с одной SIEM- системой, зонтичная техноло- гия, построение отчетов и даш- бордов для разных ролей, опо- вещение о критичных инциден- тах по e-mail, СМС, IM. Итак, с организационной точки зрения Security Vision IRP/SOAR позволяет существенно упростить решение профильных задач ИБ- аналитикам, снять с них рутинную нагрузку и, как следствие, высво- бодить их ценное время для решения более важных задач, а значит, уменьшить вероятность профессионального выгорания и текучки кадров. С точки зрения бизнеса Secu- rity Vision IRP/SOAR демонстри- рует высокий коэффициент воз- врата инвестиций ROI (Return On Investment) путем подсчета сэкономленных за счет автома- тизации человеко-часов анали- тиков, а также сокращения вре- мени обнаружения и реагиро- вания на инциденты, уменьше- ния расчетного ущерба от реа- лизации киберугрозы, отсут- ствия штрафных санкций со сто- роны регуляторов и выполнения временных нормативов реаги- рования на киберинциденты. l • 19 IRP, SOAR, SOC www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru

RkJQdWJsaXNoZXIy Mzk4NzYw