Контакты
Подписка 2025
Статьи по информационной безопасности

Российский TDIR – уже реальность

Дмитрий Чеботарев, 06/11/24

TDIR – одна из новых аббревиатур на рынке ИБ. Пару лет назад компания Gartner предсказала слияние нескольких реше: ний в единый класс, заточенный под обнаружение и реагирование на инциденты: Threat Detection and Incident Response. Однако, еще в 2020 г. компания UserGate начала разработку собственной SIEM-системы и в целом движение в сторону раннего обнаружения угроз и оперативного ответа на них. Поэтому сейчас функциональность экосистемы UserGate SUMMA, которая логически и технологически объединяет в себе все продукты и услуги компании, соответствует концепции TDIR. Рассмотрим, как и за счет каких компонентов это происходит.

Автор: Дмитрий Чеботарев, менеджер по развитию UserGate SIEM

Вопрос обнаружения и реагирования на киберугрозы в условиях постоянно меняющегося ландшафта атак остается актуальной. Одна из ключевых проблем – недостаточная скорость реакции на инциденты. Учитывая, что атаки могут разворачиваться за считанные минуты, промедление даже на несколько часов может привести к значительным последствиям. Исторически для выявления инцидентов используются системы SIEM, но у этого класса есть свои ограничения.

С одной стороны, по мере увеличения объема как угроз, так и данных решениям SIEM все сложнее справляться с масштабами агрегации, анализа, хранения и выдачи данных.

С другой стороны, системы SIEM только выявляют инцидент, ориентируясь на поток событий от источников, но вопросы реагирования приходится решать интеграцией с продуктами других классов.

Эти предпосылки естественным образом подталкивают развитие SIEM в сторону более комплексного решения. Для него Gartner и придумала аббревиатуру TDIR.

Что такое TDIR?

Концептуально TDIR – это процесс выявления, оценки угроз и реагирования на них. Платформы TDIR, которые реализуют эту концепцию, могут использоваться для выявления действий злоумышленников и, главное, оперативно принимать решения о мерах реагирования до того, как инцидент затронул критические части инфраструктуры.

TDIR объединяет в единую систему широкий спектр технологий, процессов и классов решений, включая SIEM, TIP, IRP/SOAR и EDR, обеспечивая комплексный подход к управлению угрозами и инцидентами безопасности.

Создание платформ TDIR с нуля маловероятно из-за сложности разработки и огромных ресурсов, которые требуются для этого. Более вероятен сценарий, когда такие решения будут формироваться через интеграцию отдельных ИБ-продуктов со своей функциональностью в единую экосистему.

По такому пути пошла экосистема UserGate SUMMA. Она как раз и реализует подход к платформам TDIR за счет априорной интегрированности отдельных продуктов UserGate

SIEM – основа решения

Двигатель под капотом TDIR – это, безусловно, SIEM. Вопрос анализа событий и выявления инцидентов попрежнему остается ключевым.

В 2024 г. была представлена система UserGate SIEM, которая реализует классический функционал агрегации, нормализации, обогащения, корреляции событий и выявления инцидентов.

Система предлагает более 300 правил корреляции, разработанных экспертами UserGate и упорядоченных по матрице MITRE ATT&CK, что значительно облегчает их использование и повышает эффективность работы пользователей.

Важным аспектом является возможность отправки инцидентов в ГосСОПКА как в ручном, так и в автоматическом режиме для выполнения требований законодательства.

В том же 2024 г. компанией был запущен собственный SOC на базе продуктов UserGate SUMMA, включая SIEM.

scheme_siem

Важно отметить, что SIEM-система является полностью самостоятельной и может эффективно работать даже в тех инфраструктурах, где отсутствуют другие продукты экосистемы UserGate SUMMA.

EDR – контроль рабочих станций

Рабочие станции – один из наиболее уязвимых компонентов инфраструктуры. В том числе и потому, что именно здесь реализуются векторы атак, связанные с фишингом, да и вообще с человеческим фактором.

Важную роль в защите рабочих станций играет EDR. В экосистеме SUMMA эта функциональность реализована в продукте UserGate Client, который собирает и предоставляет детализированные данные о конечных устройствах, таких как компьютеры, ноутбуки и мобильные устройства. Данные включают информацию об их состоянии, конфигурации, установленных приложениях и активности пользователей. Таким образом строится полная картина информационной безопасности на конечных точках инфраструктуры: с помощью UserGate Client можно отслеживать устройства как внутри корпоративной сети, так и за ее пределами, учитывая современные гибридные и удаленные рабочие среды, где сотрудники могут использовать личные устройства или работать дистанционно. Контроль со стороны UserGate Client помогает убедиться, что устройства соответствуют корпоративным политикам безопасности, независимо от их местоположения.

В рамках концепции XDR (Extended Detection and Response) UserGate Client предоставляет возможности для обнаружения и реагирования на угрозы. Причем угрозы выявляются на самых ранних стадиях, что помогает предотвратить их распространение и минимизировать потенциальный ущерб.

UserGate Client нативно включен в экосистему SUMMA, то есть обеспечена интеграция с другими компонентами безопасности, что позволяет централизованно координировать действия по защите.

TI – управление данными киберразведки

Эффективность TDIR повышается благодаря использованию данных киберразведки. Важным инструментом для этого является функциональность для управления угрозами TI (Threat Intelligence), которая интегрирует информацию о киберугрозах. У UserGate она входит в состав SIEM.

TI играет важную роль в проактивном подходе к кибербезопасности. В отличие от традиционных методов, которые часто фокусируются на реагировании на уже произошедшие атаки, TI позволяет предвосхищать угрозы и принимать меры до того, как они станут трендовыми.

С другой стороны, обогащение данных о инцидентах с помощью TI снижает количество ложных срабатываний и повышает точность детектирования.

Компания UserGate опирается на собственную экспертизу, разработанную на базе Центра мониторинга и реагирования (MRC UG). С самого старта развития экосистемы, начиная еще с NGFW, накопился обширный опыт, который теперь активно используется для совершенствования всей экосистемы и особенно SIEM-системы.

IRP/SOAR для управления инцидентами и автоматизации реагирования

IRP/SOAR является неотъемлемой частью комплексного подхода к кибербезопасности, который предлагает TDIR. В то время как другие компоненты системы, такие как SIEM и TI, фокусируются на обнаружении угроз и управлении данными, IRP/SOAR обеспечивает четкий и скоординированный ответ на инциденты.

Предназначение IRP/SOAR – автоматизация процессов реагирования на ранее выявленные инциденты, а также для оркестрация действий различных систем. Основная цель состоит в том, чтобы упростить и ускорить реагирование на инциденты, минимизируя человеческое вмешательство.

Помимо этого, важной частью IRP/SOAR является создание и использование плейбуков – заранее определенных сценариев действий при различных типах инцидентов, что ускоряет реагирование и снижает риск ошибок.

UserGate SIEM включает в себя функциональность IRP/SOAR и таким образом обеспечивает полное управление жизненным циклом инцидентов – от их обнаружения и классификации до завершения и ретроспективного анализа.

В UserGate SIEM реализован широкий спектр возможностей для реагирования на инциденты прямо из интерфейса. Это можно делать как в автоматическом, так и в ручном режиме, не переключаясь между различными продуктами. Все управление инцидентами происходит в едином окне.

И не только! NGFW – контроль периметра

NGFW выполняет важнейшую функцию защиты периметра сети. Он служит первой линией обороны, фильтруя входящий и исходящий трафик и обеспечивая защиту от широкого спектра угроз.

Но в интеграции с другими компонентами TDIR образуются дополнительные преимущества – защита периметра становится проактивной. По данным, полученным от IRP/SOAR, NGFW может незамедлительно заблокировать выявленный подозрительный трафик до того, как он сможет причинить более ощутимый вред, а также автоматически обновить правила, чтобы исключить новый вектор атаки в будущем.

В качестве сенсора NGFW и сам передает события с подозрительной активностью в SIEM для дальнейшего анализа и выявления инцидентов на основе корреляции событий от других источников. А в самой SIEM можно долгосрочно хранить логи, передаваемые от NGFW.

Заключение

Атаки становятся все более массовыми, а риски для компаний – все более ощутимыми. В качестве решения UserGate предлагает комплексную экосистему SUMMA, которая не просто соответствует стандартам TDIR, но и задает новый уровень в области кибербезопасности.

UserGate SUMMA работает не просто как набор отдельных инструментов – это единая, слаженная система, где NGFW контролирует периметр, IRP/SOAR автоматизирует реагирование, SIEM собирает и анализирует данные, Threat Intelligence поставляет данные киберразведки, а EDR защищает конечные точки.

Каждое из этих решений работает как часть единого механизма, обеспечивая непрерывную защиту от самых сложных угроз и реализуя сценарии оперативного реагирования на инциденты.

Благодаря интеграции экосистемных решений в инфраструктуру облегчается и администрирование – больше не нужно поддерживать зоопарк из решений различных вендоров. Использование продуктов, входящих в экосистему, обеспечивает заказчику единую точку входа для решения любых вопросов клиентской и технической поддержки.

Простота управления и использования системы – еще одно важное преимущество. Сотрудники подразделений информационной безопасности быстро освоят ее, особенно если у них уже есть опыт работы с продуктами UserGate, например NGFW.
Темы:SIEMUserGateUserGate SummaЖурнал "Информационная безопасность" №4, 2024

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Где кончается SIEM и начинается конвергенция?
    В ближайшие годы SIEM-системы продолжат расширять свою функциональность, интегрируясь с различными ИБ- и ИТ-решениями. Некоторые вендоры делают ставку на кросс-продуктовые сценарии внутри собственной экосистемы, другие – на расширение возможностей через машинное обучение и интеллектуальный анализ данных. Одновременно изменяется подход к управлению данными в SIEM: увеличивающееся количество источников событий и рост объема событий требуют более мощных инструментов нормализации, сжатия и анализа информации. 
  • Как разгрузить SIEM, уже работающую в инфраструктуре?
    Оптимизация SIEM требует внимательного подхода, чтобы добиться реального эффекта в производительности, не навредив работе системы. Эксперты в этой области делятся рецептами, проверенными практикой.
  • Новая роль SIEM в защите персональных данных
    Максим Степченков, совладелец компании RuSIEM
    Закон “О персональных данных” принят почти двадцать лет назад, но получилось так, что весь процесс защиты ПДн воспринимался больше через призму необходимости обоснования затрат и выполнения формальных требований, чем через истинное понимание угроз и рисков. Множество мер защиты, которые были внедрены за эти годы, основывались именно на законодательных установках, а не на реальном анализе угроз.
  • Зарисовки о реагировании на инциденты в SOC UserGate
    Дмитрий Шулинин, руководитель SOC UserGate
    Основная задача SOC – своевременно обнаруживать и нейтрализовывать инциденты, предотвращая их дальнейшее распространение и минимизируя ущерб для бизнеса. Однако процесс реагирования требует не только высоких профессиональных навыков специалистов, но также инструментария и четкого алгоритма действий, выработанного специально для каждой инфраструктуры. Рассмотрим несколько аспектов реагирования на инциденты из опыта SOC UserGate.
  • Обзор новинок UserGate конца 2024 года
    Компания UserGate обычно радует рынок своими новинками в апреле, но в этом году решила, что ждать весны слишком долго, и выстрелила новыми продуктами уже в ноябре. Темп инноваций лишний раз напоминает, что улучшение безопасности – это вопрос не календаря, а готовности разработчиков удивлять своих клиентов.
  • Невыдуманная история расследования одного инцидента
    Василий Кочканиди, аналитик RuSIEM
    В 2024 г. в ходе одного из пилотных проектов по внедрению в инфраструктуру крупной частной клиники системы RuSIEM было обнаружено неизвестное вредоносное ПО, незамеченное ранее в атаках и незафиксированное антивирусом. Подробнее рассмотрим, как удалось обнаружить угрозу.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"