Эволюция SOC: от SOAR к экосистеме технологий ИБ
Игорь Сметанев, 14/12/22
Больше десяти лет назад, когда тематика построения центров мониторинга и реагирования на инциденты (SOC) только выходила на подиумы ИБ-конференций, все обсуждали базовые компоненты, которые нужны среднестатистическому специалисту по ИБ для решения своих операционных задач. К таким компонентам относились мониторинг периметра и хостов, сбор всех событий безопасности, поиск уязвимостей и др. Многие из них уже были на стадии эксплуатации, а объем ежедневной работы ИБ-отдела увеличивался, дополняясь новым количеством внедряемых технологий.
Автор: Игорь Сметанев, директор по стратегическому развитию R-Vision
Главным вызовом для большинства SOC того времени стала серия серьезных громких атак на инфраструктуры компаний по всему миру – они были более масштабные и распределенные во времени. В результате на обработку огромного количества возникающих сработок от СЗИ требовались сотни тысяч рутинных операций, затрагивающих различные элементы инфраструктуры. Все это привело к возникновению новых запросов к SOC: необходимости сокращения среднего времени принятия решений, систематизации взаимодействий систем и технологий внутри SOC, структуризации работы команд, а также автоматизации ИБ-процессов.
Решением этих задач стал новый по тем меркам продукт класса SOAR, основными функциями которого были оркестрация всего имеющегося арсенала средств, систем и технологий SOC, структурирование шаблонных действий (в том числе без участия человека) и автоматизация работы ИБ-подразделения и смежных отделов, участвующих в обработке инцидентов. Таким образом, прошел первый этап эволюции и развития SOC.
Процессы современного SOC
Компания R-Vision начала развитие SOAR, еще когда заказчики говорили, что кроме ServiceDesk им ничего не нужно, а конкуренты даже и не смотрели в сторону создания подобных технологий. Поэтому R-Vision является первооткрывателем этой технологии на российском рынке.
С момента создания класса SOAR и до осознания заказчиками всей важности, обязательности применения этого продукта в центрах мониторинга и реагирования на инциденты прошел длительный период времени, но теперь SOAR безоговорочно считается неотъемлемой частью SOC, которая повышает его эффективность.
В процессе внедрения и эксплуатации SOAR и других наших продуктов у заказчиков мы придерживаемся системного и последовательного подхода – погружаемся во все процессы, технологии и решения, которые используются в SOC организации. Такой подход позволяет нам увидеть ситуацию "изнутри" и сформировать общий перечень процессов, которые включает в себя (но не ограничивается) среднестатистический центр мониторинга и реагирования, а именно:
- управление активами и сбор информации с узлов при помощи агентов;
- управление уязвимостями;
- сбор событий безопасности и их анализ;
- управление инцидентами, реагирование на инциденты, в том числе на хосте при помощи агентов;
- процесс выявления аномалий в поведении объектов ИТ-инфраструктуры;
- процесс работы с данными киберразведки;
- процесс создания ложного слоя инфраструктуры.
Некоторые из заказчиков дополнительно объединяют все это под шапкой процессов менеджмента ИБ, таких как оценка соответствия требованиям, процесс оценки рисков, стратегическое и тактическое планирование ИБ. Это позволяет им выйти на новый этап развития и эволюции SOC.
Безусловно, каждая компания видит наполнение процессов по-своему, но на собственном практическом опыте мы отмечали тенденции заказчиков к обогащению процессов новыми решаемыми задачами. Например, сейчас некоторые заказчики в процессе управления активами автоматизируют построение ресурсно-сервисной модели (далее РСМ), автоматический сбор инвентаризационной информации и сведений о сетевых ресурсах, аппаратном оборудовании и установленном ПО, а также контроль установленных обновлений. В современном SOC выстроенный процесс управления активами позволяет уже гораздо больше: контролировать изменения в ИТ-инфраструктуре, появление новых УЗ, узлов, изменения аппаратной и программной частей, а также их конфигурации и многое другое.
В сценариях реагирования на инциденты зачастую задействованы обработка и анализ уязвимостей с учетом их приоритетов, а также контроль задач по устранению уязвимостей. Все чаще процесс VM в SOC включает агрегацию данных по уязвимостям, приоритизацию их обработки на основании автоматически рассчитанного рейтинга, который адаптируется под конкретную организацию.
Заказчики стали активно использовать технологии машинного обучения, которые теперь участвуют в построении процессов сбора, нормализации и хранения событий и предоставляют возможность для автоматического анализа собранной информации, а в комбинации с методами поведенческой аналитики, сравнительным групповым анализом и другими могут детектировать нарушения в состоянии ИТ- и ИБ-систем, фиксировать подозрительную активность и осуществлять динамическую оценку угроз и аномалий.
С ростом уровня зрелости организаций и их центров мониторинга и реагирования у команд SOC возникла потребность в работе с данными киберразведки, которые ранее использовались крайне редко. Это позволило управлять знаниями об угрозах, искать индикаторы компрометации (IoC) в инфраструктуре, а также обновлять правила блокировки на средствах защиты информации.
Еще одним значимым нововведением последних лет и этапом эволюции SOC стало добавление в него технологий для создания ложного слоя ИТ-инфраструктуры c помощью набора ловушек и приманок. C их помощью ИБ-специалисты детектируют присутствие злоумышленника, затрудняют его продвижение внутри инфраструктуры, позволяя остановить развитие атаки до того, как она приведет к значимому ущербу.
Если же говорить о технологии SOAR, то теперь это не только основной инструмент автоматизации, но и связующий элемент всех процессов и продуктов внутри SOC. SOAR агрегирует информацию обо всех инцидентах ИБ из произвольных источников, обеспечивает командную деятельность по их обработке, автоматизирует выполнение рутинных операций и внедрение мер защиты, а также позволяет пользователю управлять всем парком средств и систем защиты из одной точки при помощи встроенных механизмов оркестрации.
Проблемы современного SOC
Вместе с очередным витком развития SOC, добавлением в него классов и технологий появились и новые сложности, которые возникают в основном из-за использования продуктов от различных вендоров. Причин этому несколько: разный уровень развития интеграционных механизмов продуктов вендоров, невозможность настройки и синхронизации ролевой модели между разными продуктами и технологиями, а также процесс "выкатки" обновлений, зачастую носящий бессистемный и неупорядоченный характер, поскольку вендоры в первую очередь заинтересованы в выдаче собственного функционала, а поддержка интеграционного слоя для них вторичная задача. В результате страдают проекты заказчика, а технология SOAR, какая бы продвинутая она ни была, становится "заложником ситуации". Кроме того, каждый вендор сразу предлагает максимальный набор функционала своего продукта, что тормозит поэтапное, последовательное выстраивание процессов заказчика, с учетом специфики решений других вендоров, используемых в SOC. Не стоит забывать, что все это происходит на фоне роста скорости внедрения технологий и процессов, а также увеличения потребности в ресурсах.
Ключевая проблема, на которую ни один заказчик никогда не сможет повлиять, – разрозненность роадмапов вендоров, каждый из которых настроен исключительно на свой вектор развития. Ни один вендор не учитывает в своих роадмапах будущие потребности заказчика в отношении "чужих" продуктов, задачи, которые возникают на стыке технологий, да и в целом развитие технологий других вендоров. И это очевидно, так как у каждого вендора есть свои преимущества и ограничения.
Экосистемное решение проблем
Еще давно осознав эти проблемы, компания R-Vision попыталась решить их через добавление определенных функций в свои продукты, но такой подход не привел к желаемым результатам. Но команда не остановилась на этом, а переосмыслила сам подход. Мы пошли в сторону эволюции нашего продуктового портфеля в экосистему технологий, чтобы снизить ограничение использования технологий от различных вендоров, а также комплексно и стратегически решать все новые задачи, которые будут появляться с развитием атак и угроз на инфраструктуры наших заказчиков.
Переход R-Vision к такому подходу стал логическим продолжением многолетней работы. Поскольку в рамках нашего продуктового портфеля мы точно знали, как интегрировать различные классы продуктов между собой, так как закладывали это в самом начале разработки, изначально создавая продуктовый портфель с уникальным составом технологий для усовершенствования SOC.
На сегодняшний день экосистема R-Vision EVO состоит из девяти взаимосвязанных управляемых технологий и компонентов кибербезопасности (см. рис.).
В процессе развития R-Vision EVO мы стали выявлять все большее количество задач, которые могут решить наши технологии при взаимодействии с другими компонентами экосистемы. Так, например, технология SAM, помимо своих основных функций, позволяет заказчику приоритизировать, ускорять реагирование и расследование инцидентов, исходя из РСМ активов. Технология UEBA поставляет аномалии в SOAR для дальнейшей, более качественной проработки инцидентов и реагирования на угрозы, а технология Deception собирает информацию об инструментах и действиях атакующих в отношении инфраструктуры организации и пополняет ими базу Threat Intelligence. И это лишь малая часть того функционала, которым расширились технологии экосистемы, работая в связке с другими компонентами экосистемы R-Vision EVO.
Если говорить о преимуществах экосистемного подхода, то его применение позволяет заказчику эффективно расходовать бюджет на ИБ за счет возможности поэтапного наращивания и расширения функционала по мере роста потребностей SOC, а наша многолетняя экспертиза, в частности, позволит сформировать долгосрочный план развития SOC. Все это закономерно приведет к эволюции центра мониторинга и реагирования на инциденты, повышению общего уровня кибербезопасности.
Вместо заключения
Технологии злоумышленников не стоят на месте. "Щит" будет всегда опаздывать за "мечом", но это отставание можно минимизировать за счет использования тесно интегрированной экосистемы технологий от одного вендора.
Много лет назад, когда термина SGRC не существовало, мы стояли у истоков автоматизации менеджмента ИБ и продвигали осознанный риск-ориентированный подход к построению комплексной системы защиты компаний. Далее начался виток развития Security Operation Center, и наш R&D предложил рынку комплекс технологий SOAR для автоматизации процессов SOC, а за ним последовали технологии класса TI (Threat Intelligence), UEBA и Deception, которые значительно расширили список используемых инструментов SOC и прочно вошли в его состав.
Сейчас мы предлагаем заказчикам новый взгляд на построение и развитие SOC, с применением экосистемного подхода, как и много лет назад, на заре формирования классов SOAR, SGRC и TI, предлагали эти новые для рынка технологии.