Журнал "Information Security/ Информационная безопасность" #5, 2021

Мы развиваем IRP с акцентом на задачи ИБ и расследование инциден- тов. Реализованные в IRP механизмы оркестрации позволяют работать с инци- дентами безопасности в одном окне без необходимо- сти переключения в интер- фейсы других систем. Вместе с развитием заказчиков растут и их тре- бования к зрелости и функ- циональности технологиче- ских решений, используе- мых в SOC. R-Vision TIP предназна- чен для работы с данными TI, собранными от постав- щиков и сгенерированными самостоятельно. Известно, что техно- логическим фундамен- том любого SOC являются SIEM- и SOAR-системы. С помощью SIEM обрабаты- вается весь объем данных о событиях в ИТ-инфраструкту- ре компании, чтобы на выходе получить подозрения на инци- денты в удобном для обработки людьми виде. SOAR выступает основой всего SOC и позволяет выстроить процесс реагирова- ния на инциденты (workflow). Когда мы только выводили на рынок IRP-систему, были пер- вопроходцами в этом направ- лении, то часто получали вопро- сы о ее необходимости, если у заказчиков уже были SIEM и Service Desk. Ответ был прост. 1. SIEM- и IRP-системы имеют разное предназначение и раз- работаны совершенно по-раз- ному. SIEM "заточена" на обра- ботку больших объемов сырой информации и их корреляцию согласно правилам, а IRP – для удобного и гибкого выстраива- ния процессов для аналитиков и специалистов по ИБ. 2. Мы развиваем IRP с акцен- том на задачи ИБ и расследо- вание инцидентов. И наделили ее всеми необходимыми узко- специализированными инстру- ментами: сбора инвентариза- ционной информации с учетом задач ИБ, автоматизации реа- гирования на инциденты, вклю- чая динамические сценарии реагирования (плейбуки), а также средствами оркестрации. Реализованные в IRP механиз- мы оркестрации позволяют рабо- тать с инцидентами безопасности в одном окне без необходимости переключения в интерфейсы дру- гих систем и сервисов, в том числе внешних для заказчика. Использование инструментов оркестрации позволяет рассмат- ривать IRP как систему класса SOAR. Для многих заказчиков необходима возможность свое- временного обмена информацией об инцидентах с регуляторами и внешними организациями, например CERT или коммерче- скими SOC. По мере развития темы SOC мы заметили интересную тен- денцию: заказчики не всегда выбирали один способ реализа- ции – развивать только внутрен- нюю команду или приобретать услуги внешнего центра мони- торинга. Все чаще поднимался вопрос гибридных SOC, когда какие-то критичные вещи остаются внутри компании, а менее важные или узкоспе- циализированные услуги при- обретаются у коммерческого SOC. Например, обработка закрытой информации может остаться на стороне заказчика, а расследование инцидентов корпоративного сегмента сети, не касающихся таких данных, передано внешнему провайдеру. Еще один пример – отказ от развития своей команды по Thre- at Hunting (проактивному поиску угроз. – Прим. ред.) и использо- вание внешней глубокой экспер- тизы. Это отличный пример реа- лизации внешних взаимодей- ствий для заказчиков SOC и использования инструментов оркестрации, в том числе для совместной работы с провайде- ром услуг над инцидентами. Чем больше мы помогали нашим клиентам строить SOC, тем очевиднее становилось, что вместе с развитием заказчиков растут и их требования к зрелости и функциональности технологиче- ских решений, используемых в SOC. Повышались и требования к отказоустойчивости используемых платформ. Началось все с про- стейших архитектур, например с использования холодного резер- вирования систем. Сегодня заказ- чики строят SOC с режимом рабо- ты 24/7 и жесткими SLA, отдавая себе отчет в том, что недоступ- ность систем и несвоевременное реагирование на инциденты может привести к значительному ущербу для организации. Все чаще мы участвуем в проектах построения больших катастрофоустойчивых центров на разных площадках в разных городах и часовых поясах. Потребовались принципиально новые решения, которые позво- ляли бы нашим заказчикам совер- шать следующие шаги в экономии трудозатрат специалистов, авто- матизации процессов и, конечно же, получении преимущества в бесконечной гонке со злоумыш- ленниками. Так был задуман и выпущен в свет первый из наших продуктов для раннего обнаружения угроз – R-Vision TIP, который до сих пор не имеет полноценных аналогов на российском рынке. Продукт предназначен для работы с дан- ными TI, собранными от постав- щиков и сгенерированными само- стоятельно. В зависимости от количества каналов (фидов), на которые подписывается заказчик, число поступающих индикаторов компрометации может составлять 22 • СПЕЦПРОЕКТ Развитие SOC на базе продуктов R-Vision се чаще к нам за помощью обращаются ведущие компании российского рынка, расширяющие границы сервисов, предоставляемых силами центров мониторинга и обеспечения информационной безопасности (Security Operations Center, SOC), давно развивающие у себя процессы ИБ и обладающие значительными компетенциями в этом направлении, а также те, кто занимается обеспечением безопасности не так давно. Последние особенно остро нуждаются в консультациях по вопросам: как строить SOC, с чего начать, на что делать основной упор, а что реализовать на более поздних этапах или обходным путем? И тут очень кстати приходится наша накопленная за 10 лет работы экспертиза. В Полина Руэда-Маэстро, ведущий продакт-менеджер R-Vision