Журнал "Information Security/ Информационная безопасность" #5, 2025

ния должны учитывать специфику ком- пании-заказчика, обеспечивая интегра- цию даже с самыми сложными бизнес- процессами. Именно поэтому в нашем продукте используются динамические плейбуки (ноу-хау Security Vision), кото- рые автоматически адаптируются под конкретный киберинцидент и учитывают свойства событий ИБ, атрибуты атако- ванных активов и пользователей, исполь- зованные техники и инструменты атаки, одновременно визуализируя цепочки атак и предоставляя специалистам экс- пертные рекомендации по реагированию с использованием нашего фирменного объектно-ориентированного подхода. Андрей Жданухин, "Газинформсервис" Практика открытого рынка обмена информацией по части сценариев реа- гирования не совсем применима в реаль- ности. Это связано с тем, что технологи- ческий стек как компаний, так и центров мониторинга не унифицирован. Соот- ветственно, общие сценарии реагиро- вания могут быть применимы в одной организации и совершенно бесполезны в другой. Для повышения собственной зрелости нужно "вариться в своем соку", чтобы получить фундамент для даль- нейшего развития. Но все-таки обмен информации имеет место, если найти себе несколько единомышленников на рынке, с кем ваши технологии и процес- сы похожи, и выстраивать тесные парт- нерские связи с ними. Роман Овчинников, Security Vision Нам открытое взаимодействие ИБ- сообщества представляется более эффективным, чем замкнутость или чрез- мерная коммерциализация экспертизы. Коллаборация дает результаты – приме- рами являются популярные проекты MITRE ATT&CK (комплексная база знаний о тактиках, техниках, инструментах ата- кующих), Sigma (база вендоронезависи- мых правил выявления киберугроз), MISP (открытая платформа для обмена дан- ными о киберугрозах). Если же говорить про практическую реализацию подобной унификации плейбуков, то некоторые решения, включая и наш продукт, под- держивают экспорт и импорт сценариев реагирования, что помогает ИБ-специа- листам совместно редактировать и улуч- шать их и обмениваться с сообществом в маркетплейсе. Кроме того, спикеры Security Vision регулярно участвуют в российских и международных конферен- циях по ИБ, взаимодействуют с регуля- торами, проводят занятия в учебном центре и читают лекции в вузах – таков наш вклад в обмен экспертизой по реа- гированию на киберинциденты. Максим Ежов, R-Vision Такая практика будет очень полезной, если использовать ее не в формате сле- пого копирования, а на уровне Proof of Concept. Это позволит переосмыслить свои процессы и взять в свой арсенал лучшие практики у коллег. Александр Шульман, "Актив Интернет Продакшн" Открытый обмен сценариями важен. Мы поддерживаем развитие российского аналога MITRE ATT&CK, идем к интегра- ции с Sigma – это шаги к единому языку описания угроз и действий. При этом каждый сценарий требует адаптации под инфраструктуру клиента – только так автоматизация реагирования остается точной и не создает лишних рисков. Максим Ежов, R-Vision Мое мнение – очень глубоко. TI являет- ся существенным бустом для ускорения реагирования на инцидент. Она ускоряет как первичную оценку "False/не False" и приоритизацию, так и этап расследова- ния и непосредственно реагирования. Андрей Жданухин, "Газинформсервис" Threat Intelligence обладает отличным качеством – отсутствием предела совер- шенства. Масштабировать знания об угрозах, индикаторах компрометации, TTP злоумышленников можно до беско- нечности, превращая отдельные сущно- сти в четко связанный профиль атакую- щего. И ни в коем случае не стоит ограничиваться данными TI только для обогащения событий. SOAR в этом смыс- ле является идеальной платформой для внедрения TI почти во все аспекты обес- печения безопасности, так как добавляет самое важное – контекст. И построение сценариев реагирования – не исключе- ние, ведь благодаря TI можно создать уникальный сценарий, который просоче- тает в себе несколько типов инцидентов и позволит эффективнее реагировать на угрозу безопасности. Александр Шульман, "Актив Интернет Продакшн" Threat Intelligence должен быть не про- сто источником обогащения, а частью механизма принятия решений. Мы в своем решении используем TI для построения скоринга событий – оценки риска с учетом контекста и доверия к агенту. Это позволяет системе не только понимать, что агент опасен, но и в реальном времени решать, насколько он значим и какие действия оправданы в конкретной ситуации. Роман Овчинников, Security Vision Индикаторы компрометации помогают выявить уже наступившие инциденты, в том числе по результатам ретроспек- тивного анализа, а индикаторы атак позволяют обнаружить взломы на ранних стадиях. Обнаружение индикатора ком- прометации или атаки в инфраструктуре должно приводить к запуску соответ- ствующего сценария реагирования, поэтому интеграция SOAR и TIP должна быть очень глубокой. Именно поэтому наши решения SOAR и TIP нативно интегрированы и часто идут у наших заказчиков в связке – для получения событий ИБ от различных СЗИ, обнару- жения совпадений с дедуплицирован- ными и очищенными TI-данными, обога- щения индикаторов во внешних анали- тических сервисах, ML-обнаружения DGA-доменов и с последующим реаги- рованием в соответствии с динамиче- скими сценариями в SOAR. Нужен ли открытый рынок обмена сценариями реаги- рования, или лучше пусть каждая компания выстраи- вает свою пусть и уникаль- ную, но продуманную, выстраданную логику реа- гирования? Насколько глубоко SOAR должен использовать дан- ные Threat Intelligence – ограничиваться обогащени- ем событий или строить сценарии реагирования на основе TI? • 27 SOC + SOAR www.itsec.ru Рисунок: Гротек