Журнал "Information Security/ Информационная безопасность" #5, 2021

Дмитрий Поливанов, ДиалогНаука: Во-первых, снизить затраты можно благодаря разумной минимизации коли- чества систем, с которыми будет интег- рироваться IRP/SOAR. Понять, что будет полезно автоматизировать, поможет гра- фический или текстовый план действий, выполняемый сотрудниками при наступ- лении различного рода инцидентов до внедрения IRP/SOAR. Второй фактор экономии – наличие у ИБ-специалистов базовых навыков программирования, что снизит зависимость от платных сер- висов интеграции, оказываемых сторон- ними организациями. Многие вендоры предоставляют готовые интеграции, но и их зачастую необходимо приспосаб- ливать под свои цели. Руслан Рахметов, Security Vision: Система IRP/SOAR работает практиче- ски со всеми ИТ- и ИБ-системами компа- нии. Интеграции IRP/SOAR с другими системами образуют транспортную сеть ИБ компании, на которую далее наслаи- ваются ИТ- и ИБ-сервисы, от рутинных сценариев до работы с BigData. От каче- ства транспортной сети зависит дальней- шее качество работы ИБ в целом. Про- мышленные IRP/SOAR имеют коннекторы ко всем системам, а к новым системам позволяют подключаться с помощью уни- версальных коннекторов, тем самым сни- жая затраты на интеграцию. Александр Носарев, Angara: 1. Система IRP/SOAR должна соот- ветствовать имеющейся инфраструктуре (готовые интеграции) и процессам (воз- можности плейбуков), важно смотреть на это в некоторой временной перспек- тиве. Например, локальные производи- тели обычно поддерживают продукты других локальных производителей. 2. Должна быть простота разработки пользовательского контента, а интегра- ция с редкими или самописными систе- мами не должна становиться пробле- мой. 3. Важна экосистема, и производители обычно предлагают дополнить решение модулем SGRC, модулем взаимодей- ствия с ГосСОПКА и т.д. Илья Петров, Innostage: Для снижения затрат на внедрение IRP/SOAR необходимо детально прора- ботать архитектуру внедряемой системы, которая в первую очередь должна учи- тывать организационную структуру ком- пании, ландшафт и особенности ее ИТ- инфраструктры. Сама IRP-/SOAR-систе- ма должна обладать вариативностью внедрения, гибкой настройкой функцио- нала и набором коннекторов – готовых инструментов для интеграции с внешни- ми системами. Всеслав Соленик, R-Vision: Нужно выбрать подходящий продукт уровня Enterprise с большим количеством готовых интеграций, а также партнера или вендора с опытом проектов в ана- логичных компаниях. Окончательный выбор возможен только по итогам пило- тирования решений в вашей инфра- структуре. Проектировать процессы и архитектуру следует с учетом выбранных продуктов, а внедрять – в несколько этапов. Дополнительный функционал IRP можно тестировать на пробных лицензиях и закупать, только если он оказался действительно полезен. Александр Ковалев, Zecurion: Самый простой способ – проводить постепенное внедрение, правильно сформировать техзадание, отказаться от объективно лишних требований, где это возможно. И стоит помнить, что под- держка любых интеграций в дальнейшем требует их содержания и на масштабных инфраструктурах это стоит дороже условных DLP или NGFW. Михаил Савин, КИТ.Р: Самая сложная часть внедрения – заставить купленную "коробку" работать. Это зависит от того, можете ли вы опи- сать сценарии автоматизации на бумаге с тем, чтобы переложить их на язык плейбуков. В большой организации можно запустить систему только в одном подразделении, а если требуются сквоз- ные процессы и интеграции, то важным аспектом станут возможности адаптации. Так как процессы реагирования на инци- денты ИБ меняются и совершенствуются, важна возможность адаптации системы без участия вендора. Алексей Горелкин, Phishman: Необходимы квалифицированные кадры. Немаловажно также, чтобы в отделе ИБ был человек, способный "продать" бизнесу потребность в при- обретении дополнительных средств защиты, которые помогут делать сцена- рии более полноценными и максимально автоматизировать процесс обнаружения, расследования и ликвидации послед- ствий киберинцидента. Именно "продать", так как в большинстве случаев ИБ не способна донести до бизнеса пользу приобретения того или иного решения. Всеслав Соленик, R-Vision: Для начала нужно хорошо проработать процесс реагирования на инциденты: источники данных, рубрикатор, карточки и поля, сценарии, рабочие группы, интег- рации, метрики и пр. Полезно использо- вать лучшие практики – ISO, NIST, MITRE и др. Далее важно начать пользоваться системой и несколькими сценариями в боевом режиме. Постепенно найдутся точки совершенствования сценариев, и можно будет развивать их покрытие, глубину обогащения и автоматизации, удобство, гибкость и отказоустойчивость. Дмитрий Поливанов, ДиалогНаука: Совершенствование сценариев ана- лиза инцидентов достигается в том числе за счет поддержания в актуальном состоянии экспертизы сотрудников, отве- чающих за информационную безопас- ность как в части знаний о реализации современных угроз, так и в части их выявления и предотвращения. Михаил Савин, КИТ.Р: Нужна система поддержки принятия решений – экспертная система, предо- ставляющая аналитикам знания о том, что они могут сделать на очередном шаге проведения расследования. Напри- мер, к каким внешним источникам дан- ных обратиться, проследить связи опре- деленного события с другими сущностя- ми, проверить гипотезу о применении конкретной техники атаки. Результат работы такой системы – готовый плей- бук, автоматизированно разработанный аналитиком для решения конкретной задачи обнаружения и реагирования. Александр Носарев, Angara: Есть три основные составляющие: 1. Совершенствование самих процес- сов. Если при расследовании нужен внеш- ний ресурс (система, специалист), кото- Как можно снизить затраты на интеграцию IRP/SOAR в уже развернутую масштабную мультиспецифическую ИТ- и ИБ-инфраструктуру? Что необходимо для совершенствования сценариев анализа инцидентов в решениях класса IRP/SOAR? • 31 IRP, SOAR, SOC www.itsec.ru