Перспективные направления развития российских решений класса SOAR
Редакция журнала "Информационная безопасность", 25/11/22
Платформы SOAR активно развиваются на перестраивающемся российском рынке информационной безопасности. Направления этого развития, с одной стороны, вписываются в мировые тренды, но, с другой стороны, учитывают российскую специфику. Редакция журнала “Информационная безопасность” поинтересовалась точкой зрения как разработчиков и интеграторов, так и профессиональных пользователей систем SOAR.
Участники:
Александр Голубчиков, руководитель по продуктам кибербезопасности, МегаФон
Данил Бородавкин, менеджер продукта R-Vision SOAR в компании R-Vision
Роман Ванерке, технический директор, АО “ДиалогНаука”
Максим Степченков, совладелец компании RuSIEM
Как сказывается уход иностранных вендоров на функциональности и стоимости российских систем IRP/SOAR?
Александр Голубчиков, МегаФон: Сужение рынка ИБ-решений за счет ухода иностранных игроков могло обрадовать лишь ограниченное количество отечественных вендоров-новичков. Успешные зрелые игроки на протяжении последних лет побеждали в открытых конкурсах при прямом функциональном сравнении с западными аналогами и поэтому точно знают, что качественные решения рождаются в непрерывной борьбе за заказчика, а без должной конкуренции всегда есть риск деградации продуктов и сервисов. При этом в сложившихся условиях роста кибератак насущные требования клиентов мотивируют российских вендоров на разработку функциональных продвинутых решений, которые смогут в кратчайшие сроки заместить иностранных конкурентов, предлагая в том числе более привлекательную совокупную стоимость владения и выгодные модели лицензирования.
Роман Ванерке, ДиалогНаука: Снижение конкуренции, безусловно, влияет на рынок. На нашем рынке есть несколько конкурентных SOAR-решений, которые используются в крупных организациях. Такая конкуренция также влияет на функциональность – продукты, безусловно, развиваются, а их качество повышается.
Данил Бородавкин, R-Vision: Наличие сильных, разнопланово развитых конкурентов служит стимулом для наращивания функциональности продукта и улучшения его качества. Поэтому уменьшение конкуренции – это всегда негативный фактор для рынка. Но мы в R-Vision продолжаем придерживаться ранее выбранной стратегии и развивать свои продукты с оглядкой на зарубежных конкурентов, чтобы предлагать нашим клиентам решения, не уступающие по функционалу и качеству иностранным.
Что касается стоимости российских SOAR-систем, то существенных изменений в этом вопросе нет. На мой взгляд, ситуаций, когда после ухода зарубежных вендоров российские разработчики резко подняли цены на свои продукты, не наблюдается. Средняя стоимость SOAR на рынке и до этого формировалась в основном на базе ценовых предложений отечественных компаний.
Максим Степченков, RuSIEM: Функционал отечественных IRP-/SOAR-систем уже находится на достаточно хорошем уровне, и они с большим отрывом лидируют на российском рынке по объему продаж. Ведь именно российские решения в полном объеме учитывают специфику нашего рынка, например необходимость автоматизации процессов взаимодействия с ГосСОПКА и ФинЦЕРТ. Ни один иностранный вендор такого предложить не может. Впрочем, и несколько лет назад купить в России SOAR- или IRP-систему иностранного производства было не так-то и просто, так как иностранные вендоры на тот момент не видели больших перспектив развития данного направления в нашем регионе и попросту не поставляли решения этого класса. Единственное следствие ухода иностранных решений – это появление новых российских игроков и рост конкуренции.
Является ли правильным и востребованным внедрение концепции Low-Сode и No-Code в продукты для информационной безопасности?
Александр Голубчиков, МегаФон: В условиях непрерывных кибератак, срочного импортозамещения и растущего спроса на квалифицированные кадры внедрение упрощенных способов настройки продвинутых решений может оказать положительный эффект при внедрении и поддержке продуктов. Указанные концепции не означают упрощение функционала или недоступность каких-то настроек из интуитивно понятного графического интерфейса. Скорость и простота переконфигурирования СЗИ может иметь решающее значение в случае выявления новой актуальной киберугрозы или как мера постреагирования на киберинцидент. Мы при выборе решений обращаем на это внимание и используем в том числе продукты, поддерживающие концепцию Low-Code/No-Code.
Данил Бородавкин, R-Vision: Технологии Low-Code/No-Code во всех областях своего применения – это путь для повышения скорости решения рутинных задач и уменьшения доли ручной работы, при этом без затрат на профессиональную разработку. Но нужно определять необходимость применения этих технологий в конкретных областях. Так, например, такой подход не пригодится для решения задач, где требуется высокая производительность и/или использование очень сложной логики, которую проще реализовать и поддерживать в виде классического программного кода. Тем не менее в ИБ существует огромное количество задач, которые могут решаться с использованием концепции Low-Code/No-Code. К ним относятся обогащение инцидентов данными TI и CMDB, выполнение управляющих команд на средствах защиты, рассылка уведомлений, авто-triage (предварительное выставление приоритета реагирования) и др.
Максим Степченков, RuSIEM: Использование Low-Code/No-Code является правильным, особенно в продуктах для информационной безопасности. Оно позволяет не только увеличить скорость решения определенных задач, но и существенно снизить вероятность ошибок.
Роман Ванерке, ДиалогНаука: Если решение не только функциональное, но и удобное и понятное для широкого круга безопасников, это существенно повышает вероятность того, что внедренную систему будут использовать и она найдет свое место у заказчика.
Есть ли перспектива у облачного SOAR в России? Что является препятствием для развития этого направления?
Александр Голубчиков, МегаФон: Использование облачных технологий в сложившихся условиях может быть действительно экономически целесообразно: замена капитальных затрат операционными расходами, гибкие возможности горизонтального масштабирования, передача провайдеру части задач по администрированию привлекают клиентов. При этом кажущееся размытие зон ответственности, отсутствие возможности оперативно сменить архитектуру решения или провайдера, а также традиционные опасения при передаче чувствительных данных и инструментов "в третьи руки" могут отпугнуть некоторых заказчиков. Однако текущие обстоятельства заставляют пересмотреть консервативный подход в пользу минимизации киберрисков, и одним из самых доступных оперативных выходов будут как раз облачные SOAR-решения, подтвержденные ответственностью, репутацией и опытом крупных MSSP-игроков.
Данил Бородавкин, R-Vision: Вопрос скорее не в облачном SOAR, а в использовании облачных технологий в принципе. На сегодняшний день при прочих равных условиях корпоративный сегмент, на мой взгляд, скорее выбирает решение on-premise.
Максим Степченков, RuSIEM: Если относить к облачному SOAR просто предоставление его под запрос, то это не дает никаких преимуществ, кроме необходимости быстрого разворачивания. И при этом все данные будут передаваться из внутренней сети во внешнюю. Если же рассматривать оказание сервиса через облако, то таких проектов множество и фактически любой SOC, использующий гибридную схему, предоставляет такую услугу.
Как скажется дефицит микроэлектроники на рынке IRP-/SOAR-решений?
Данил Бородавкин, R-Vision: Проблемы с аппаратным обеспечением сказываются на всех сегментах рынков ИТ и ИБ, но в первую очередь страдают высоконагруженные системы. SOAR можно отнести к системам со средними показателями по требованию к железу. И если для больших инсталляций СУБД вопрос железа является краеугольным, то для SOAR это скорее вторичный фактор. Но в текущей ситуации внимания к нему, разумеется, становится больше.
Роман Ванерке, ДиалогНаука: Дефицит скажется на всех, и IRP/SOAR в данном случае не отличается от других ИТ- и ИБ-решений.
Максим Степченков, RuSIEM: На рынке IRP/SOAR дефицит микроэлектроники скажется существенно слабее, чем для других систем, так как требования к ресурсам ничтожны по сравнению с той же SIEM.
В условиях нехватки кадров и роста сложности технологий заказчики неизбежно задумываются о консолидации ИБ-процессов на базе тех или иных ИБ-платформ. В чем для заказчика преимущества подобной консолидации вокруг SOAR-решений? Может быть, есть другие альтернативы?
Данил Бородавкин, R-Vision: Консолидация ИБ на базе SOAR имеет свои преимущества. Так как SOAR изначально является системой-оркестратором, она может управлять совершенно разными продуктами, которые уже используются в организации. Иными словами, на базе SOAR можно обеспечивать управление ИБ в масштабах всей организации в условиях гетерогенной среды.
При этом развитие технологий происходит в парадигме упрощения их использования. ИБ-процессы масштабны и зачастую выходят за рамки SOAR-систем. Вне зависимости от того, какие маркетинговые термины использовать для описания различных классов систем, рынок стремится к появлению экосистем, на базе которых можно обеспечивать управление ИБ из одной точки и бесшовно решать задачи пользователя без переключения между консолями нескольких приложений. Каждый вендор старается создать такую экосистему на базе уже имеющихся у него решений и дополнять ее недостающим функционалом. По такому принципу развивается и наша компания. Совсем недавно мы представили на рынок собственную экосистему технологий для эволюции SOC – R-Vision EVO, которая объединила существующие технологии R-Vision, в том числе и класса SOAR, а также совсем скоро дополнится новыми технологиями.
Максим Степченков, RuSIEM: Очевидным и, наверное, самым главным преимуществом использования SOAR-систем является возможность автоматизировать процессы управления и реагирования на инциденты. Любая автоматизация приводит к снижению нагрузки на персонал и, как следствие, к снижению операционных расходов. В условиях дефицита высококвалифицированных кадров это играет действительно важную роль.
Александр Голубчиков, МегаФон: Действительно, конвергенция технологий, а также целых направлений (например, ИТ и информационной, экономической, физической безопасности) может помочь выстроить эффективную инфраструктуру компании. Объединение вокруг решения по кибербезопасности, такого как SOAR, позволяет повысить прозрачность и контролируемость бизнес-процессов и информационных потоков, а также своевременно выявить киберугрозы и отреагировать на киберинциденты. Консолидация вокруг единого решения может также стать и единой точкой отказа для всей инфраструктуры, поэтому логично было бы выстраивать конвергенцию в виде экосистемы взаимосвязанных и дополняющих друг друга технологий и решений. Это могут быть как продукты от одного вендора, так и построенные на единой технологической платформе системы (например, на основе стека гибких, масштабируемых и проверенных решений Open Source).
Нужна ли SOAR для эффективной работы SOC? Можно обойтись другими платформами, например SIEM?
Александр Голубчиков, МегаФон: Ядром современного SOC-центра, как правило, является производительная SIEM-система, в которой тщательно настроены все необходимые источники данных, парсеры, правила корреляции, справочники, интеграции с внешними системами. Архитектурно SIEM проектируется для обработки большого потока событий и их корреляции, а SOAR принимает на вход сформированные инциденты от SIEM и взаимодействует с большим количеством интегрируемых систем для обогащения (контекстуализация инцидента) и отправки управляющих команд в интегрированные ИТ-/ИБ-системы (сдерживание, устранение угрозы). Серьезные SOAR-платформы предоставляют возможности по аналитике киберинцидентов, интеграции с поставщиками данных о киберугрозах, возможности по визуализации и отчетности, а также работу в режиме мультиарендности, что важно для MSSP. Например, для нашей коммерческой услуги МегаФон SOC мы выбрали платформу Security Vision SOAR, функционал которой оптимален для решения всех вышеупомянутых задач.
Так что SOAR не заменяет SIEM, но существенно автоматизирует работу операторов SOC-центра по управлению киберинцидентами и, таким образом, делает SOC более эффективным.
Максим Степченков, RuSIEM: Краткий ответ: да, SOAR нужна, но не обязательна. В первую очередь нужно внедрить SIEM-систему, найти персонал для вашего SOC и правильно выстроить все бизнес-процессы.
Если посмотреть чуть детальнее, то для выстраивания эффективной работы SOC вовсе не обязательно использование SOAR. Если все процессы в SOC выстроены правильно, наняты квалифицированные сотрудники, внедрена и корректно настроена SIEM-система, то такой SOC, безусловно, будет весьма эффективен. После того как данный этап будет выполнен в полном объеме, можно задумываться о дальнейшем развитии вашего центра управления информационной безопасностью. Для повышения эффективности работы SOC именно SOAR-системы являются одним из наиболее значимых инструментов, так как предлагают множество возможностей для автоматизации процесса реагирования на инциденты.
Роман Ванерке, ДиалогНаука: SOAR, как и SIEM, – это один из кирпичиков эффективного SOC. Одно из основных преимуществ SOAR – это автоматизация рутинных задач, ее еще часто упоминают как средство замены первой линии инженеров в SOC. Другим безусловным преимуществом SOAR является выстраивание понятного процесса расследования (playbook), элементы которого либо автоматизируются, либо указывают специалисту, что необходимо сделать для дальнейшего движения по процессу
Данил Бородавкин, R-Vision: SOAR – это инструмент командной работы над потоком инцидентов и автоматизации. Если не обсуждать вырожденные случаи, то решать такие задачи в любом случае необходимо. Разумеется, можно использовать различные скрипты, запускать их вручную и параллельно использовать дополнительные инструменты для работы с потоком тикетов (в том числе встроенные в SIEM) – на каком-то этапе развития такое решение может быть приемлемым. Но если мы говорим о повышении эффективности, увеличении скорости реагирования, гибкости SOC в части адаптации своих процессов под новые задачи и возникающие угрозы, то необходимо специализированное решение, каким и являются SOAR-системы.
Является распределенная модель реагирования на инциденты на основе XDR и SSE противопоставлением централизованной идее, заложенной в SOAR? За каким направлением будущее в перспективе 3–5 лет?
Александр Голубчиков, МегаФон: Решения XDR и SSE отличаются от SOAR не только моделью реагирования на киберинциденты: как правило, решения XDR и SSE являются моновендорными (то есть могут интегрироваться с решениями только от одного производителя), при этом SSE ориентированы только на облачные инфраструктуры. Платформы SOAR являются более универсальными решениями: могут использоваться и в on-prem, и в облачных инфраструктурах, а вендоронезависимые SOAR могут интегрироваться с решениями от различных производителей, что повышает гибкость внедрения. При этом зрелые SOAR-решения поддерживают распределенную установку компонент реагирования в различных сегментах сети, и установка в облаке не станет сложностью. Вероятно, в будущем вендоры все же выберут модель взаимодействия с различными решениями, что отвечает количеству уже внедренных продуктов и скорости появления новых технологий, которые потребуется бесшовно интегрировать в единую консолидированную платформу для обеспечения кибербезопасности.
Данил Бородавкин, R-Vision: Считаю, что будущее в синергии этих подходов. Простые задачи по реагированию с низким уровнем ложноположительных срабатываний, где инциденты и внедрение мер локализованы одним хостом, можно и нужно решать автономно на оконечных устройствах, а более сложные, требующие предварительного обогащения, оркестрации, а также интерактивного взаимодействия с пользователем в ходе расследования и реагирования, – на уровне SOAR.