В сложившейся ситуации число событий и инцидентов ИБ быстро растет, и ручное реагирование на инциденты не может обеспечить адекватный ответ на внешние угрозы. Во многих компаниях реагирование на инциденты носит бессистемный характер или не осуществляется вовсе, и автоматизация реагирования становится единственным выходом, позволяющим формализовать процесс, сделать его своевременным и надежным.
В какой момент компаниям нужно задуматься об автоматизации реагирования на инциденты? Каким компаниям это подходит?
Есть два сценария:
Большим компаниям, у которых есть свой SOC и выстроены процессы реагирования.
Для небольших компаний автоматизация реагирования может быть тоже актуальна, даже если нет своего SOC: автоматизация поможет справиться с большим числом оповещений, на ручную обработку которых нет ресурсов. Если компания использует хотя бы два технических решения по защите информации, то автоматизация процесса становится уже актуальной.
Почему надо автоматизировать реагирование на инциденты?
Причина 1. Обучение и сохранение знаний: выстроенный процесс реагирования в ходе автоматизации формализуется, переходит в цифровой формат и передается от сотрудника к сотруднику без искажений. Нужно быть готовыми описывать процессы реагирования в мельчайших подробностях.
Причина 2. Сотрудники не в состоянии обработать большой поток инцидентов информационной безопасности. В день сотрудник может качественно реагировать на 15–20 инцидентов, остальные должны обрабатываться автоматически с учетом внутреннего контекста организации. Зачастую вообще обрабатываются только те инциденты, которые могут быть обработаны автоматически средствами «из коробки», остальные просто формируют массив данных, который далее не используется.
Причина 3. Автоматизация на начальных этапах внедрения систем позволяет экономить очень много времени и усилий впоследствии. Для больших объемов данных и множества систем это единственно возможный выход охватить весь объем поставляемых техническими средствами данных. Автоматизировать можно не только управление инцидентами, но и управление уязвимостями, снизив трудозатраты на цикл их устранения.
Причина 4. Автоматизация реагирования - экономия времени. А время – это почти всегда деньги. Сколько стоит час работы сотрудника SOC? Сколько стоит подписка на внешние IOC? Сколько стоит автоматизация playbook в SOC? Имеет ли смысл бесконечно множить сотрудников 1 и 2 линии в SOC или дешевле и проще автоматизировать процесс? Ответив на эти вопросы, руководитель ИБ сможет решить, насколько целесообразна автоматизация реагирования.
Причина 5. Уход от человеческого фактора. Сотрудники SOC (или службы, ответственной за реагирование) – тоже люди, им свойственно ошибаться. Человек может отреагировать не так, невовремя, не отреагировать вовсе, его может не быть на рабочем месте. В то же время оперативная реакция на некоторые инциденты является критически важной, например, при первых признаках распространения шифровальщика в инфраструктуре.
Нужны ли большинству компаний системы класса SOAR или можно начать с более простых?
Всё зависит от задач, стоящих перед ИБ-подразделением.
Во многие системы информационной безопасности уже встроены базовые средства реагирования, работающие автоматически. В принципе, такая система может работать автономно, решая часть задач по автоматизации.
События, генерируемые этими системами, могут использоваться для обогащения других событий. Тогда базовыми средствами не обойтись, и нужна как минимум SIEM, которая будет заниматься сбором событий из различных источников, заниматься их обогащением и корреляцией, генерируя новые события. SIEM-система является помощником специалиста реагирования, группируя и коррелируя события в те, которые потенциально могу представлять собой инцидент и быть интересны безопаснику, по принципу «единого окна».
Конечно, SOAR может обойтись и без SIEM, получая на вход события и давая на выходе инциденты с процедурами реагирования, которые оцифрованы и документированы чтобы инцидент обрабатывать каждый раз по единому принципу. Однако наличие SIEM позволяет существенно снизить стоимость эксплуатации, агрегируя и отфильтровывая события, поступающие на вход SOAR.
Если в компании стоит задача учета инцидентов и их последующего разбора для аналитики, построения риск-моделей, корректировки процессов, то без SOAR системы обойтись будет сложно.
SOAR (и частично SIEM) система поможет решить проблему совместимости данных о событиях ИБ, поставляемых разными системами.
При необходимости отправить информацию об инциденте регулятору или во внешний реестр SOAR-система обеспечит выполнение этой задачи в установленные временные рамки и с учетом применимых требований, исключив человеческий фактор.
Что делать небольшим компаниям?
У малых компаний поток событий может быть не таким большим, чтобы выделять из них инциденты в количестве, достаточном для построения аналитики и выявления закономерностей. В этом случае необходимо анализировать разные сценарии развития событий с учетом контекста организации и эти сценарии уже автоматизировать.
Есть ли OpenSource решения и стоит ли ориентироваться на них?
Есть, к примеру, системы Graylog или основанные на стеке elk. Они вполне решают задачи по обработке не очень больших объёмов данных.
Часть задач по автоматизации может быть решена и организационными практиками, а не только техническими, к примеру, на основе CIS controls бесплатными решениями, которые эти контроли реализуют.
Импортозамещение и продукты российских вендоров
Большая часть продуктов (и не только российских) основана на opensource-решениях. С развитием тренда на импортозамещение на рынок стали поступать продукты сомнительного качества. Кроме того, по-прежнему актуальны риски, связанные с opensource, которые материализовались в последнее время (отказ от поддержки, отсутствие обновлений, внедрение вредоносного кода в opensource-модули).
Можно выделить по крайней мере два продукта российских вендоров, заслуживающие внимание: Security Vision от компании «Интеллектуальная безопасность» и R-Vision IRP («Р-Вижн»).
Security Vision:
2 параллельные версии, 4 и 5;
Единая платформа автоматизации;
Low-code инструменты автоматизации - не надо ждать реализации необходимых функций от разработчиков;
Конструкторы, облегчающие автоматизацию процессов.
В целом, необходимость внедрения той или иной системы, в том числе SIEM и SOAR, зависит от уровня зрелости компании и стоящих перед ней целей. Должно быть поступательное движение, последовательное внедрение продуктов ИБ и метрик. Без них SOAR-система не принесет пользы. В любом случае, наличие даже простейших систем намного лучше полного их отсутствия. Даже будучи несовершенной, такая автоматизация позволит получить опыт и подготовиться к внедрению более сложных продуктов.
У малых компаний поток событий может быть не таким большим, чтобы выделять из них инциденты в количестве, достаточном для построения аналитики и выявления закономерностей. В этом случае необходимо анализировать разные сценарии развития событий с учетом контекста организации и эти сценарии уже автоматизировать.