Управление инцидентами и оркестрацией различных СЗИ. Обзор NG SOAR

[Травыч]

Управление инцидентами и оркестрацией различных СЗИ. Обзор NG SOAR​

Развитие информационных технологий, ускоренное пандемийными эффектами и геополитическими изменениями, привело к росту числа кибератак не только в России, но и по всему миру. Этот рост и увеличение среднего размера ущерба привели к повышенному вниманию общества к проблематике защиты информации.

С изменением методов атак и подходов к защите проблема нехватки кадров в сфере информационной безопасности стала особенно острой. По оценкам, в мире сейчас не закрыто около 3,5 миллиона вакансий для ИБ-специалистов, а за последние 10 лет общее число предложений для киберэкспертов выросло почти в четыре раза.

В текущем обзоре речь пойдет о применении технологий управления инцидентами и оркестрацией различных средств защиты информации (СЗИ) в виде продукта Security Orchestration Automation and Response (SOAR). В продуктовой линейке Security Vision существует как отдельный модуль, так и комплект из модулей (NG SOAR), включающий дополнительно функционал SIEM, EDR и двустороннюю интеграцию с центрами реагирования на киберинциденты регуляторов.

Что скрывает тёмная сторона технологий
Каждый этап обработки инцидентов полностью автоматизирован и реализован с использованием современного объектно-ориентированного подхода.

Система автоматически визуализирует маршрут распространения инцидента по инфраструктуре, с отображением времени компрометации узлов сети и используемых злоумышленником артефактов.

Цепочка атаки и хронология событий

«Для решения задачи автоматизации реагирования на киберинциденты мы выбрали решение Security Vision SOAR. Вендор предлагает широкие возможности по интеграции с различными использующимися у нас ИТ-решениями, максимально адаптивные сценарии реагирования, поддержку подхода low-code/no-code при настройке интеграций и действий по реагированию, использование методов машинного обучения и нейросетей для выявления аномалий в инфраструктуре, а также формирование разнообразной отчетности и различные опции по визуализации атак и взаимосвязей сущностей, затронутых инцидентом.»

Роман Морозов,
Руководитель по информационной безопасности, Capital Group

На основании данных о сегментах сети и таблицах маршрутизации сетевых устройств с помощью ML-модели система отображает на карте сети, куда потенциально может распространиться инцидент, исходя из данных о скомпрометированных узлах и их характеристик.

«По большому счету, на базе Security Vision можно реализовать любой сценарий»

Вячеслав Касимов,
Директор департамента ИБ Московский кредитный банк

Граф достижимости

Граф связей является инструментами аналитики и реагирования, позволяя запускать процессы различные действия управления средствами защиты и устройствами компании. К нему прилагаются рекомендации экспертов Security Vision и возможности коммуникации как в чате внутри компании, так и с подключением внешний ML-моделей.

Граф связей и рекомендации​

Помимо расширяемой базы знаний и рекомендаций с экспертизой аналитиков в модуль включены тепловая карта техник и тактик MITRE ATT&CK и база данных угроз ФСТЭК. Теперь в инцидентах и правилах корреляции можно оперировать этими данными об угрозах и способах реализации, а для коробочных правил в NG SOAR уже настроены соответствующие им способы реализации из БДУ ФСТЭК.

Тепловая карта для БДУ ФСТЭК и MITRE

«Мы перезапустили нашу IRP-платформу на базе Security Vision, что позволяет кратно ускорить реагирование на инциденты»​

Павел Гончаров,
Заместитель директора по развитию Solar JSOC

В продукт заложен набор ML-ассистентов:

Все ML-ассистенты помечены соответствующим тегом ML

«Внедренное по результатам конкурсных процедур решение Security Vision SOAR не только является на 100% российской разработкой, но и обладает продвинутым функционалом на уровне лучших импортных аналогов: визуальными интерактивными инструментами для управления инцидентами и сущностями, подходом low-code или no-code при разработке интеграций и плейбуков, использованием методов машинного обучения и нейросетей для выявления аномалий в инфраструктуре»

Станислав Логинов,
Директор департамента информатизации Тюменской области

С помощью функционала встроенных заметок аналитик может удобно фиксировать ход расследования прямо в системе используя форматирование текста, добавляя файлы и скриншоты. Больше не нужно искать информацию в чатах или локальных файлах – все промежуточные результаты расследования всегда под рукой.

Для быстрого доступа к мировой экспертизе в продукт заложен маппинг инцидентов с Threat Intelligence бюллетенями. Система автоматически связывает инциденты с публичными TI-отчетами при совпадении атрибутивного состава. Это дает аналитику:

Продукт или комплект из модулей решает комплексную задачу управления инцидентами с фокусом на бизнес-объекты, базы знаний и технологии динамических плейбуков, объектно-ориентированного реагирования и применения ML. Решение построено на базе единой Платформы, позволяя пользователям адаптировать работу до тончайших деталей:

• управлять логикой и политиками (матрицы и деревья решений);
• настраивать внешний вид и доступы (ролевая модель, конструктор меню и мультиарендность);
• автоматизировать максимум действий (конструктор рабочих процессов);
• создавать собственные интеграции (конструктор коннекторов);
• модифицировать существующие и разрабатывать новые представления данных в форме карточек и таблиц (конструктор объектов), статичных документов, например, выгружаемых по расписанию (конструктор отчетов), так и в виде интерактивных виджетов и дашбордов (конструктор аналитики).

Такой подход ускоряет адаптацию к любым изменениям, позволяет выстроить вокруг SOAR устойчивую экосистему с возможностью быстрой замены компонентов и закрыть каждый этап обработки инцидентов с минимальным участием человека.

«Мы обратились к вендорам, разрабатывающим продукты класса SOAR. И в этом плане нам очень помогла компания Security Vision, которая занимается как раз разработкой этих продуктов. Мы взаимодействуем до сих пор и уже вышли за рамки обычного SOAR решения»