Журнал "Information Security/ Информационная безопасность" #5, 2021

Инструменты автомати- зации R-Vision TIP позво- ляют снизить трудозатраты в разы. Продукт эффекти- вен даже при первоначаль- ном отсутствии у заказчика аналитиков SOC. TIP можно использовать не только как репозиторий и витрину всех данных TI, но и для дополнительного выявления инцидентов за счет автоматического поиска в инфраструктуре интересующих заказчика индикаторов компромета- ции. Решения IRP и TIP в паре дают возможность переве- сти SOC на следующий этап развития. Мы предложили рынку продукт на стыке SIEM и UEBA – R-Vision SENSE. SENSE позволяет настроить схожие с SIEM правила и использовать силу машин- ного обучения – "программ- ных экспертов". Отличным решением для верхнеуровневого контроля являются системы класса SGRC. Еще одна необходимая для SOC возможность – гибкая настройка используе- мых решений "под себя", но так, чтобы это не требовало больших трудозатрат. миллионы. Понятно, что ни одна команда с обработкой такого объема данных не справится. И тут приходят на помощь инстру- менты автоматизации R-Vision TIP, позволяющие снизить трудо- затраты в разы. Продукт эффек- тивен даже при первоначальном отсутствии у заказчика аналити- ков SOC, специализирующихся на TI, так как выступает источни- ком обогащения по индикаторам компрометации карточек инци- дентов в IRP. TIP можно использовать не толь- ко как репозиторий и витрину всех данных TI, но и для дополнитель- ного выявления инцидентов за счет автоматического поиска в инфра- структуре интересующих заказчика индикаторов компрометации. Это применимо за счет отделяемых сенсоров TIP как в централизо- ванном внутреннем SOC, когда заказчик строит его только для себя, так и в распределенных или внешних SOC, которые могут обслуживать свою группу компа- ний, когда сенсоры могут разво- рачиваться у внешних коммерче- ских заказчиков. Решения IRP и TIP в паре дают возможность перевести SOC на следующий этап развития. Но чем больше становится SOC и поток обрабатываемых им событий, тем чаще компании сталкиваются с тем, что очень сложно достаточно качественно настроить правила корреляции для выявления инци- дентов. В итоге большая часть команды занимается бесконеч- ным тюнингом правил в SIEM и разбором False Positive (ложных срабатываний. – Прим. ред.). Такая рутинная работа может сильно демотивировать команду, которую и так нелегко набрать в сфере ИБ. И для бизнеса это дополнительная трата ресурсов. В качестве решения этой про- блемы мы предложили рынку про- дукт на стыке SIEM и UEBA – R-Vision SENSE. SENSE позволяет настроить схожие с SIEM правила и использовать силу машинного обучения – "программных экспер- тов". Они выявляют отклонения в поведении всех объектов инфра- структуры, информация о которых содержится в журналах событий, и автоматически дообучаются. Пограничное использование тех- нологий дает синергетический эффект. С одной стороны, систе- ма работает при минимальном человеческом вмешательстве за счет автоматического выявления аномалий в поведении инфра- структуры. С другой стороны, у пользователя всегда есть воз- можность добавить собственное правило. Таким образом, система позволяет выявить инциденты на самой ранней стадии независимо от интенсивности атаки, реализо- ванной за считанные минуты или растянутой во времени, когда зло- умышленник может вернуться к скомпрометированному узлу или УЗ намного позже. Благодаря работе с различными источниками событий SENSE легко применим как в SOC, где внедрена SIEM- система, так и в компаниях, где процесс Log Management построен без использования SIEM. Со временем, когда SOC заказ- чика "обрастает" десятком раз- личных решений, возникает вопрос: а как теперь этим, уже ставшим практически самостоя- тельным живым организмом, SOC управлять? Естественно, у каждой системы есть своя консоль управ- ления и практически у каждой есть различные средства контро- ля показателей эффективности, как графические, так и в виде отчетов. Но как понять, действи- тельно ли весь SOC работает в соответствии с требованиями ком- пании и защищен ли он сам всеми необходимыми средствами? Отличным решением для тако- го верхнеуровневого контроля являются системы класса SGRC: они позволяют видеть, какие тре- бования к функционированию SOC выполняются, в какой сте- пени и по каким из них есть замечания. Помимо использую- щихся для этого аудитов, SGRC обладает функциональностью оценки рисков, позволяющих смотреть в будущее, оценивать, каким образом необходимо раз- вивать систему защиты и как это сделать максимально эффектив- но. Различные метрики позволят отобразить общее состояние и качество работы SOC в цифрах. Мы и наши партнеры шаг за шагом строим и развиваем SOC заказчиков с помощью техноло- гий R-Vision. Несмотря на раз- личные отрасли и масштабы про- ектов, зачастую мы сталкиваемся со схожими задачами. Одна из самых распространенных – построение SOC для группы ком- паний. Позволяют ли используе- мые решения применять одну инсталляцию для работы с дан- ными нескольких юридических лиц? В этом нашим заказчикам помогает режим multitenancy (мультиарендности), дающий воз- можность еще "на входе" в систе- му автоматически разделить дан- ные по организациям. В этом слу- чае, если SOC предоставляет подключенным организациям доступ к системе, каждая из них видит только свои данные, а SOC – данные всех подключенных организаций с указанием, к какой организации относится каждая сущность, заведенная в системе. Еще одна необходимая для SOC возможность – гибкая настройка используемых решений "под себя", но так, чтобы это не требовало больших трудозатрат. Конечно, это зависит от принци- пов разработки продуктов. Когда системы изначально разрабаты- ваются как конструктор, позво- ляющий гибко настроить необхо- димые поля, карточки и целые разделы под конкретного поль- зователя, не прибегая к помощи разработчика и без написания какого-либо кода, это сильно облегчает администрирование всей системы. Сюда же относится журналирование изменений всех сущностей в системе, возмож- ность настройки плейбуков из графической формы и масшта- бирование их на такое количество подключенных организаций, кото- рому это необходимо. Раз уж мы заговорили о сред- ствах контроля метрик, большое преимущество этих систем в том, что IRP и SGRC работают на одной программной платформе, это позволяет выводить стати- стику и графики в одном интер- фейсе. Все продукты R-Vision склады- ваются в цельную прозрачную экосистему, где каждый продукт занимает свое место для реше- ния определенных задач. Наши продукты можно использовать как для автоматизации работы SOC, так и для контроля защи- щенности всей организации и самого SOC как еще одного эле- мента инфраструктуры органи- зации. Например, SENSE и TIP помогут выявить инциденты ИБ, произошедшие и внутри SOC, IRP – выстроить работу по ним и своевременно отреагировать. SGRC тоже имеет два вектора использования, как для предо- ставления всей организации услуги проведения аудитов сила- ми SOC, так и в качестве инстру- мента верхнеуровневого контро- ля информационной безопасно- сти для самого SOC. Уверены, что и дальше техно- логии SOC и информационной безопасности будут развиваться, как и продукты R-Vision. l • 23 IRP, SOAR, SOC www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru На правах рекламы