SOAR: что это такое и зачем нужно в кибербезопасности

Система организации безопасности, автоматизации и реагирования SOAR (Security Orchestration, Automation and Response, SOAR) — это технология, которая помогает координировать, выполнять и автоматизировать задачи между разными специалистами и инструментами в рамках одной платформы. Технология позволяет организациям быстро реагировать на кибератаки и предотвращать будущие инциденты.

По определению Gartner, система SOAR должна обладать тремя функциями: управление угрозами и уязвимостями, реагирование на инциденты безопасности и автоматизация операций по обеспечению безопасности.

SOAR принимает данные об оповещениях, которые запускают сценарии (playbooks), автоматизирующие или управляющие (оркеструющие) рабочими процессами или задачами по реагированию. Затем, человеческими силами или с помощью машинного обучения, организации могут анализировать собранные данные, чтобы расставить по приоритету автоматизированные действия по реагированию на инциденты.

Что такое SIEM?

SIEM (Security Information and Event Management) — управление событиями и информацией о безопасности. Это набор сервисов и инструментов, которые собирают и анализируют данные о безопасности, а также помогают ИБ-специалистам создавать политики и настраивать уведомления об инциденте.

Инструменты SIEM позволяют IT-команде:

• Использовать управление журналами событий для объединения данных из разных источников;
• Получить организационную видимость в режиме реального времени;
• Коррелировать события безопасности, собранные из журналов, используя правила «если-то», чтобы эффективно добавить практическую ценность к данным;
• Использовать автоматические уведомления о событиях, которые можно управлять через панель управления.

Сравнение SOAR и SIEM

Многие определяют SOAR и SIEM как похожие продукты, поскольку обе системы обнаруживают проблемы безопасности и собирают данные о характере проблемы. Однако между ними есть различия.

SOAR собирает данные и оповещает специалистов с помощью централизованной платформы, подобной SIEM, а SIEM только отправляет оповещения аналитикам по безопасности.

SOAR автоматизирует процесс расследования и реагирование с помощью сценариев или искусственного интеллекта (ИИ), чтобы предсказывать подобные угрозы до того, как они произойдут.

Что такое оркестрация и автоматизация безопасности?

Автоматизация безопасности — это автоматическое выполнение действий по обнаружению, расследованию и реагированию на киберугрозы без необходимости ручного человеческого вмешательства. Автоматизация выполняет много рутинной работы за команду SOC (Security Operation Center).

Оркестрация безопасности — это автоматическая координация ряда взаимозависимых действий по безопасности в рамках одной сложной инфраструктуры. Система обеспечивает согласованную работу всех инструментов безопасности.

Автоматизация безопасности упрощает операции по обеспечению безопасности и делает их более эффективными, потому что система автоматизации безопасности выполняет отдельные задачи, а оркестрация безопасности соединяет все инструменты безопасности так, чтобы они взаимодействовали друг с другом для лучшей работы.

Что такое управление анализом угроз (TIM)?

Управление анализом угроз (Threat Intelligence Management, TIM) позволяет организациям лучше понимать глобальный ландшафт угроз, предугадывать следующие шаги злоумышленников и принимать оперативные меры для предотвращения атак.

Существует существенная разница между анализом угроз и управлением анализом угроз.

Анализ угроз (Threat Intelligence, TI) — это данные и информация об угрозах, а управление аналитикой угроз (Threat Intelligence Management, TIM) — это сбор, нормализация, обогащение и обработка данных о потенциальных злоумышленниках, их намерениях, мотивах и возможностях. Эта информация может помочь организациям принимать более быстрые и обоснованные решения в области безопасности.

Зачем нужен SOAR?

SOAR развивает управление, анализ и реагирование на оповещения и угрозы. ИБ-команды возлагают на себя ответственность за ручную обработку тысяч оповещений ежедневно, что приводит к ошибкам и низкой эффективности.

С ростом объема угроз и оповещений аналитики вынуждены расставлять приоритеты – на какие оповещения нужно реагировать немедленно, а какие угрозы менее важны. Специалисты часто перегружены работой и допускают ошибки при реагировании на угрозы.

Поэтому критически важно, чтобы у организации были системы SOAR, которые позволяют организовать и автоматизировать процесс оповещения и реагирования. SOAR-система увеличивает эффективность и продуктивность команд по безопасности при расследовании инцидентов, тем самым улучшая общее состояние безопасности организации.

SOAR позволяет компании:

• Интегрировать инструменты безопасности, IT-операций и анализа угроз, чтобы объединить все решения по безопасности для достижения более полного уровня сбора и анализа данных;
• Контролировать всё в одном месте. Команда по безопасности получает доступ к единой консоли, которая предоставляет всю необходимую информацию для расследования и устранения инцидентов;
• Ускорить реагирование на инциденты. SOAR сокращает как среднее время обнаружения (MTTD), так и среднее время реагирования (MTTR). Поскольку многие действия автоматизированы, большая часть инцидентов может обрабатываться немедленно и автоматически;
• Предотвратить действия, требующие большого количества времени. SOAR сокращает число ложных срабатываний, повторяющихся задач и рутинных процессов;
• Улучшить анализ угроз. SOAR-решения собирают и проверяют данные с платформ анализа угроз, брандмауэров, систем обнаружения вторжений, SIEM и других технологий, предоставляя команде по безопасности больше информации и контекста. Так аналитики смогут проводить более глубокие исследования проблемы;
• Улучшить отчетность и коммуникацию. Благодаря тому, что все действия по обеспечению безопасности собраны в одном месте, заинтересованные стороны могут получать всю необходимую информацию, которая поможет определить, как улучшить рабочие процессы и сократить время отклика;
• Повысить способность к принятию решений. SOAR-платформы предлагают такие функции, как предварительно созданные сценарии, функции перетаскивания для создания сценариев с нуля и автоматическая приоритизация оповещений.

SOAR — это ценный инструмент для кибербезопасности, который минимизирует воздействие инцидентов безопасности всех типов, максимизирует ценность существующих инвестиций в безопасность и снижает риск юридической ответственности и простоя бизнеса.

Как SOAR помогает решать задачи кибербезопасности

Обработка сигналов безопасности

SOAR позволяет автоматизировать ряд действий по реагированию на уведомления систем безопасности (IDS, IPS и т.д.), такие как:

• Фишинг: проверка подозрительных электронных писем на наличие вредоносных ссылок или вложений, опрос затронутых пользователей, извлечение и проверка индикаторов компрометации (IoC), определение ложноположительных результатов и подготовка стандартного ответа для службы безопасности;
• Заражение вредоносным ПО: получение данных об угрозе от инструментов защиты конечных точек, сопоставление полученных файлов или хешей с данными SIEM, уведомление аналитиков, очистка зараженных конечных точек и обновление базы данных инструмента защиты конечных точек;
• Неудачные попытки входа: после определенного количества неудачных попыток входа пользователя оценка того, является ли вход легитимным или злонамеренным, запуск сценария (playbook), взаимодействие с пользователями, анализ их ответов, аннулирование паролей и закрытие сценария;
• Вход из необычных мест: определение потенциально злонамеренных попыток доступа к VPN путем проверки наличия VPN и облачного брокера безопасности доступа (CASB), сопоставление IP-адресов, подтверждение нарушения с пользователем, блокировка доступа и закрытие сценария.

Управление операциями по кибербезопасности

Другая задача SOAR — это управление SSL-сертификатами, диагностика конечных точек, управление уязвимостями и другие. SOAR помогает автоматизировать эти процессы и сводить к минимуму человеческий фактор. Например:

• Управление SSL-сертификатами: проверка конечных точек на наличие просроченных или скоро просрочивающихся SSL-сертификатов, информирование пользователей, повторная проверка статуса через несколько дней, эскалация проблемы к соответствующим лицам и закрытие сценария;
• Диагностика конечных точек и запуск: проверка подключения агентов, обогащение контекста, открытие заявки, запуск агентов и закрытие сценария;
• Управление уязвимостями: получение информации об уязвимостях и активах, обогащение данных о конечных точках и общих уязвимостях и эксплойтах (CVE), запрос контекста уязвимости, расчет уровня опасности, передача контроля аналитикам для исправления и расследования и закрытие сценария.

Поиск угроз и реагирование на инциденты

Сюда входит использование различных методов для выявления скрытых или неизвестных атак в сети и принятие мер по нейтрализации угроз. SOAR помогает автоматизировать часть этого процесса и предоставлять аналитикам необходимую информацию для принятия решений. Например:

• Поиск IOC: получение и извлечение IOC из прикрепленных файлов, поиск IOC по инструментам разведки по угрозам (threat intelligence), обновление баз данных;
• Анализ вредоносного ПО: получение данных из разных источников, извлечение и детонация вредоносных файлов, генерация и отображение отчета, проверка наличия вредоносных целей, обновление базы данных;
• Облачное реагирование на инциденты: потребление данных из облачно-ориентированных инструментов обнаружения угроз и журналирования событий (event logging), объединение процессов между облачной и локальной инфраструктурами безопасности (on-premises security infrastructures), корреляция с SIEM, извлечение и обогащение индикаторов (indicators), проверка наличия зла намерения (malice), передача контроля аналитикам для просмотра информации (reviewing information), обновление базы данных.

Автоматизация обогащения данных

Сюда входит использование различных источников данных – базы данных угроз, сервисы анализа угроз, общедоступные ресурсы и другие – для получения дополнительной информации о потенциальных угрозах и инцидентах. SOAR помогает автоматизировать этот процесс и предоставлять аналитикам более полную картину ситуации. Например:

• Обогащение IOC: получение данных из разных источников, извлечение индикаторов, которые нужно проверить, обогащение URL, IP-адресов и хешей, проверка наличия зла намерения (malice), обновление базы данных, приглашение аналитиков для просмотра и расследования информации и закрытие сценария;
• Назначение уровня опасности инцидента: проверка других продуктов на наличие оценки уязвимости и того, были ли существующим индикаторам назначены оценки, назначение серьезности, проверка имен пользователей и конечных точек на наличие в критическом списке, назначение критической серьезности и закрытие инцидента.

Как выбрать SOAR-платформу?

При сравнении разных поставщиков SOAR есть ряд различных факторов, которые нужно учесть перед внедрением SOAR-решения. Факторы включают оценку своей собственной зрелости, необходимых технологических интеграций и стека инструментов (tool stack), существующих процессов, а также выбранного способа развертывания.

После того, как компания проведет внутренний аудит своего состояния безопасности, она должна рассмотреть факторы, относящиеся к самому SOAR-продукту. К таким факторам относятся:

• Простота использования и подключения к другим инструментам: инструмент должен действовать как связующее звено между обнаружением, обогащением данных, реагированием и союзными инструментами. В идеале SOAR-решение принимает оповещения от средств обнаружения и в автоматическом режиме координирует действия инструментов реагирования;
• Возможности пользовательской интеграции: имеет ли платформа механизм (например, внутренний SDK) для создания пользовательских интеграций? Включает ли период внедрения платформы поддержку пользовательских интеграций со стороны службы поддержки? Являются ли эти услуги дополнительными или входят в стоимость покупки продукта?
• Готовые к использованию (OOTB)/Предварительно созданные интеграции: сколько интеграций имеет платформа? Добавляются ли новые интеграции к платформе со временем и как части? Являются ли обновления бесплатными или дополнительными услугами?
• Управление инцидентами: имеет ли платформа встроенное управление или интегрируется с соответствующими инструментами управления? Позволяет ли платформа восстанавливать хронологию инцидентов? Поддерживает ли платформа документирование после инцидента и его просмотр?
• Интеграция с аналитикой угроз: Расследование инцидентов ускоряется с возможностью сопоставления анализа угроз, что потенциально может раскрыть ранее не обнаруженную вредоносную активность. Автоматизированные рабочие процессы позволяют в режиме реального времени распространять процесс анализа угроз на точки обеспечения безопасности;
• Возможности рабочего процесса и сценария: имеет ли платформа возможности рабочего процесса? Показывает ли платформа живой запуск сценариев для каждого инцидента? Поддерживает ли платформа вложение сценариев? Поддерживает ли платформа создание пользовательских задач сценария (как автоматических, так и ручных)? Поддерживает ли платформа передачу пользовательских задач между сценариями?
• Гибкость развертывания: какие гибкие варианты развертывания имеет платформа? Разработана ли платформа для многопользовательского использования и имеет ли она необходимую безопасность для поддержки сегментации сети для связи между организационными сетями? Имеет ли платформа горизонтальную масштабируемость на нескольких клиентах и уровень гарантированной высокой доступности?
• Ценообразование: сегодня существуют следующие методы ценообразования - цена за действие, цена за узел или конечную точку, годовая подписка с дополнительными ценами за дополнительных администраторов;
• Дополнительные услуги и функции: помимо основных компетенций SOAR, какие другие функции предлагает компания, которые принесут пользу вашей организации?
• Профессиональные услуги: предоставляет ли компания профессиональные услуги своим клиентам, обеспечивая успешное развертывание от начала до конца?
• Послепродажная поддержка: какую поддержку предоставляет компания после установки SOAR?

Выбор лучшего решения SOAR для любых операций по кибербезопасности требует соответствия предложений поставщика и потребностей организации службы безопасности в повышении эффективности и результативности.

Правильное SOAR-решение должно не только дополнять и быть совместимым с установленными продуктами, сценариями и процессами, но также оптимизировать сотрудничество, предоставить гибкость как в развертывании, так и в возможностях хостинга, а также иметь модель ценообразования, соответствующую потребностям организации.