Журнал "Information Security/ Информационная безопасность" #5, 2025

Роман Овчинников, Security Vision Первые SOAR-решения еще 6–8 лет назад действительно использовались в основном крупными SOC-центрами и ИБ- провайдерами, но сейчас мы наблюдем интерес к SOAR среди более широкого круга компаний. Ведь если кибератака может привести к катастрофическому финансовому и репутационному ущербу или даже полностью остановить все биз- нес-процессы, то инвестиции в SOAR- системы будут оправданы. Растет также уровень регуляторных требований, в соот- ветствии с которыми необходимо в сжа- тые сроки выполнять оповещения регу- ляторов. Все это в совокупности требует оперативной реакции и координации мно- жества заинтересованных лиц, а как след- ствие – максимальной автоматизации. Максим Ежов, R-Vision Прямой связи между объемом инци- дентов и необходимостью в SOAR нет. Основная цель этого класса решений – не уменьшить количество инцидентов, а ускорить время реагирования и авто- матизировать рутинные действия ана- литиков. За счет этого любой SOC будет более эффективно решать свои задачи. В нашем проектном опыте есть множе- ство заказчиков, у которых относительно низкий объем инцидентов и небольшие команды ИБ. И автоматизация, доступ- ная в SOAR, помогает им рационально использовать свои ресурсы. Андрей Жданухин, "Газинформсервис" В реалиях небольшого объема инци- дентов и текущего уровня продуктов SIEM внедрение решения типа SOAR может быть не совсем оправдано. Для внутренней безопасности или при малом масштабе компании достаточно использовать внед- ренный SIEM, так как большинство совре- менных продуктов поддерживают базовые функции управления инцидентами и необходимость в автоматическом распре- делении может быть излишней при отсут- ствии непрерывного мониторинга. Александр Шульман, "Актив Интернет Продакшн" В классической модели SOAR самые дорогие элементы – внедрение и спе- циалисты. И часто это становится барь- ером. В своем решении мы снижаем эти ограничения: заказчик видит первые результаты уже через неделю после установки, для запуска достаточно одно- го сетевого администратора. Система работает автономно и может поддержи- ваться внешними подрядчиками. По сути, клиент получает автоматический SOC, доступный не только крупным, но и сред- ним и малым компаниям. Анастасия Федоренко, R-Vision Если считать трудозатраты на обра- ботку инцидентов и стоимость простоя, то автоматизация даже небольшого объема окупается. Как минимум за счет сэкономленного времени высокооплачи- ваемых аналитиков, которые вместо списания трудозатрат на разбор инци- дента формируют свои практики в виде плейбука в SOAR. Не говоря уже об автоматизации рутинных задач, что сни- жает нагрузку с ФОТ. Я бы обратила внимание на наличие выстроенных процессов. Это то, что однозначно есть в SOC, и именно это обеспечивает экономическую целесооб- разность внедрения SOAR. Александр Шульман, "Актив Интернет Продакшн" Основная проблема единых сценариев реагирования – высокий риск ложных срабатываний. Важно, чтобы система не останавливала бизнес-процессы. Мы, например, используем подход, где реа- гирование строится не только на оценке угроз, но и на анализе положительной ценности действий. Это позволяет запус- кать автоматизацию безопасно, сохраняя баланс между скоростью реакции и ста- бильностью работы. Андрей Жданухин, “Газинформсервис” В общем и целом, стремиться к пол- ностью единому набору сценариев реа- гирования не стоит, так как SOAR эффективен только там, где отражает реальные процессы и угрозы конкретной отрасли. Однако вне зависимости от сектора компании встречаются с одина- ковыми типами инцидентов: фишингом, популярными уязвимостями, аномалия- ми трафика, – и в связи с этим должен существовать базовый набор сценариев реагирования, который ускорит внедре- ние SOAR в организацию и позволит показать заказчику результаты с первых недель работы. Максим Ежов, R-Vision Невозможно собрать универсальный набор сценариев для всех заказчиков – каждый из них уникален, как по архитек- туре своей ИТ-инфраструктуры, так и по используемым процессам реагирования. Даже если мы возьмем две компании в одной отрасли, многие процессы у них будут индивидуальными. Поэтому сила SOAR – в возможностях гибкой настройки. Причем у заказчика должна быть воз- можность самостоятельно ее осуществить, изменить интеграции и т. д., поскольку любой SOC постоянно эволюционирует, адаптируясь к новым угрозам. Роман Овчинников, Security Vision Идеальная SOAR должна эффективно работать с любыми технологиями, в любой инфраструктуре и в любой орга- низации, при этом сценарии реагирова- Окупается ли внедрение SOAR в условиях россий- ского рынка, особенно при небольшом объеме инци- дентов? Или это инстру- мент, который оправдан только для крупных SOC и MSSP? Стоит ли стремиться к еди- ному набору сценариев реагирования, применимо- му для всех заказчиков, или все же сила SOAR в глубокой отраслевой спе- циализации – финансы, промышленность, госсек- тор и т.д.? 26 • СПЕЦПРОЕКТ Основной инстинкт реагирования OAR уже не модный атрибут, а почти обязательный элемент зрелого SOC. Он обещает скорость, предсказуемость и снижение нагрузки на аналитиков, но практика продолжает предъявлять к SOAR все больше и больше требований. Что происходит с автоматизацией реагирования и как меняется ее ценность, мы обсудили с экспертами. S Максим Ежов, руководитель продукта R-Vision SOAR Андрей Жданухин, руководитель группы аналитики первой линии GSOC, “Газинформсервис” Роман Овчинников, директор департамента внедрения Security Vision Анастасия Федоренко, менеджер по развитию бизнеса, R-Vision Александр Шульман, генеральный директор компании “Актив Интернет Продакшн”