Контакты
Подписка 2025
Статьи по информационной безопасности

SOAR и проблема рационального использования СрЗИ

Кирилл Логинов, 03/11/21

В организациях обычно уже существует несколько систем безопасности, но нехватка квалифицированного персонала, проблемы с интеграцией и отсутствие специализированных средств управления делают невозможным полноценное внедрение решений. Особенно это актуально на тех объектах КИИ, где требуется централизация управления ИБ. При этом высокая степень автоматизации современных атак перегружает экспертов команды реагирования, на которых сваливается большое количество рутинных операций.

Авторы: 
Кирилл Логинов , старший аналитик УЦСБ
Михаил Савин, руководитель проекта Eplat4mOrchestra

Современные информационные системы постоянно изменяются, подчас радикальным образом. Новые технологии, такие как гибридные облачные вычисления, удаленный мобильный доступ, SDN и SDS, не только повышают требования к компетенции ИБ-персонала и подразумевают применение специфических подходов к защите, но и критически увеличивают потребность в инструментах имплементации политик безопасности и контроля их исполнения.

Таким образом, выделяются следующие блоки проблем:

  • нехватка квалифицированного персонала;
  • трудоемкость внедрения, эксплуатации СрЗИ и централизованного управления их функциями;
  • разрыв между потребностями руководства в части управления и потенциалом существующих на рынке средств защиты информации;
  • постоянное изменение ландшафта объектов защиты.

Частично решает эти проблемы SOC (Security Operations Center, центр обеспечения безопасности), консолидируя наиболее действенные силы и средства для использования там, где это необходимо [1]. Но для полного решения перечисленных проблем таким центрам необходимо дополнительное оснащение в виде решений типа SOAR.

Понятие SOAR

Назначение систем оркестровки и автоматического реагирования (SOAR, Security Orchestration, Automation and Response) заключается не только в интеллектуальном сборе ИБ-данных сразу из нескольких разнородных источников, но и в автоматизации рутинных, отнимающих много ресурсов задач, таких как:

  • сбор в режиме реального времени данных об ИБ сразу из нескольких источников с необходимым обогащением и агрегацией информации, поступающей с разнородных средств защиты информации;
  • автоматизация типовых цепочек задач, связанных с инцидентами ИБ и выявлением отклонений от установленных политик безопасности и требований;
  • имплементация политик безопасности на средствах защиты информации как в проактивном, так и в реактивном режимах;
  • автоматизация всего перечня организационно-технических задач и процедур обеспечения безопасности в рамках реагирования на инцидент ИБ и выявление отклонений от установленных политик безопасности, в том числе информирование, назначение ответственных, организация их совместной работы;
  • автоматизация всего перечня операций SOC;
  • ретроспективный анализ состояний, условий, предпринятых действий и результатов реагирования на инциденты ИБ для повышения эффективности практик, обучения и дальнейших расследований;
  • формирование и оперативное представление состояния ИБ организации, его оценки с возможностью ретроспективного и предиктивного анализа.

Понятие SOAR возникло относительно недавно. Выделяют три группы функций SOAR: интеграция (Unification), автоматизация (Automation) и оркестровка (Orchestration).

Рис. 1. Процессы организации до и после внедрения SOAR

Интеграция – это унификация различных технологий, процессов, ресурсов и интерфейсов, позволяющая вести эффективную совместную работу средств защиты информации, направленную на обеспечение ИБ.

Автоматизация минимизирует участие персонала в решении задач с сохранением, а зачастую и с повышением качества и согласованности.

Оркестровка направлена на построение сценариев реагирования, имплементацию политик безопасности, выполнение необходимых задач при реагировании и расследовании инцидентов ИБ.

В исследовании [2] приводится следующее обобщенное понятие: "Оркестровка безопасности – это средство, решающее комплекс задач по планированию, интеграции, кооперации и координации активностей, функций средств защиты информации и экспертов, для реализации и автоматизации необходимых действий, направленных на реагирование на инцидент ИБ в рамках разнородных технологических парадигм".

Там же [2] приводится сопоставление работы служб реагирования на инциденты ИБ без использования SOAR и с его использованием. В первом случае эксперты должны заниматься всем множеством задач, связанных с расследованием инцидента ИБ и реагированием на него, включая настройку, имплементацию политик и анализ средств защиты информации, мониторинг в части расследования инцидента ИБ и использование механизмов реагирования с получением дополнительной информации из средств класса TI, применение блокировок и временных политик. Отдельно рассматривается блок задач, связанных с планированием и, в общем случае, управлением ИБ, а также совершенствованием системы управления ИБ.

Во втором случае SOAR позволяет экспертам сфокусироваться на решении задач управления, планирования и совершенствования системы управления ИБ, используя SOAR в качестве единого интерфейса доступа к функциям управления и необходимым данным, который, в свою очередь, автоматизирует весь перечень задач, связанных с реагированием на инциденты ИБ, в том числе: извлечение дополнительной информации, обогащение информации о событиях ИБ, скоординированное управление средствами защиты информации, включая применение долгосрочных и оперативных политик безопасности, настройку средств защиты информации, автоматический анализ и мониторинг.

Платформа SOAR и ее компоненты

В качестве типовой архитектуры SOAR авторы предлагают следующую функциональную схему, сформированную в результате анализа имеющихся на рынке решений, представленных как отечественными, так и зарубежными производителями: Cortex XSOAR, Splunk Phantom, Siemplify, Swimlane SOAR, FortiSOAR, Security Vision IRP/SOAR, RVision IRP и Eplat4m SOAR.

Как следует из определения, основные функции SOAR реализуются в подсистеме оркестровки и автоматизации, предназначенной для интеграции программно-технических средств ИБ, в том числе обогащения контекста события или инцидента ИБ, определения стартовой точки для вмешательства ИБ-эксперта, автоматизации процесса реагирования.

В свою очередь, подсистема оркестровки и автоматизации состоит из двух модулей:

  1. Модуль оркестровки обеспечивает централизованную обработку событий и инцидентов, информация о которых поступает от СрЗИ/SIEM, а также сбор информации об угрозах из различных внешних источников. Этот модуль представлен набором коннекторов к различным системам защиты, а также механизмом управления этими коннекторами, в том числе управления полномочиями и необходимыми учетными данными.
  2. Модуль автоматизации обеспечивает этап реагирования на событие или инцидент ИБ, используя механизм плейбуков.

Плейбук – это технология сценариев реагирования на инциденты ИБ, которая позволяет задать для конкретного типа инцидента ИБ алгоритм действий по реагированию и в автоматическом режиме реализовать его при срабатывании определенного правила. Аналогичный инструмент может использоваться для проактивного и реактивного применения оперативных и долгосрочных политик безопасности, в том числе для реализации установленных требований и контроля отклонений от них.

Каждый плейбук может быть представлен в виде конечного автомата – алгоритма, содержащего последовательности отдельных шагов (состояний). В качестве таких состояний могут выступать скрипты, реализованные на различных языках программирования (Python, PowerShell, Linux script, Node.js и др.) и предназначенные для получения данных или выполнения команд управления СрЗИ. Плейбук может состоять как из полностью автоматических шагов выполнения, полностью ручных шагов выполнения, так и из их сочетания.

Плейбук должен поддерживать определенный уровень абстракции в своем описании, с возможностью реализации конкретных действий и имплементации конкретных политик при выполнении.

Концепция SOAR позволяет эффективно решить обозначенные во введении проблемы, а именно:

  1. Нехватка квалифицированных сотрудников компенсируется фокусировкой имеющегося персонала на задачах управления и планирования. Типовые и рутинные задачи применения политик безопасности, реагирования на инциденты ИБ решаются в автоматическом или полуавтоматическом режимах. Работа может вестись в кооперативном режиме, с использованием единой, точно подобранной информации и подходов, с возможностью вынесения и использования опыта, предиктивного анализа.
  2. Эксплуатация СрЗИ и управление функциями ИБ обеспечиваются автоматизацией функций защиты, настройки и имплементации политик. При этом достигается снижение количества ошибок конфигурирования, повышается оперативность реагирования на инциденты ИБ и качество этих операций.
  3. Разрыв между потребностями руководства в части управления и потенциалом существующих на рынке СЗИ нивелируется за счет интерфейсов единого централизованного управления, имплементации политик и прозрачного получения обратной связи в рамках процесса управления, с учетом минимизации зависимости от знаний и умений конкретных специалистов. Внедрение SOAR способствует повышению эффективности управления ИБ, качества работы специалистов, оптимизации затрат, необходимых на поддержание и развитие системы.
  4. Использование SOAR позволяет масштабировать и унифицировать функции управления ИБ-инфраструктурой, вне зависимости от ее размеров, архитектуры и типа элементов.

Инструментарий SOAR не ограничивается традиционными средствами автоматизации и интерфейсами. Эффективное решение задач, стоящих перед SOAR, возможно при привлечении средств онтологического представления для унификации функций управления и представления политик безопасности. Например, политики межсетевого экранирования должны быть инвариантны к интерфейсам настройки конкретного производителя.

Свое применение должны найти методы машинного обучения. Также следует учитывать конвергентную архитектуру, когда в одном решении могут объединяться системы и сервисы установленные локально, в облаке, по модели SaaS. Решение SOAR должно эффективно использоваться не только в ИБ, но и в управлении инженерными системами: пожаротушении, контроле физического доступа, управлении электропитанием и т.п. Должна быть возможность управлять облачными ресурсами с помощью сервисов провайдера, без использования агентов, скриптов и подобных "доработок".

Eplat4mOrchestra – одна систем, в которых реализованы и получают должное развитие эти принципы.

Рис. 2. Архитектура, реализованая в нашем решении Eplat4mOrchestra

Заключение

SOAR можно рассматривать как средство защиты информации, направленное на решение проблем управления ИБ, связанных не непосредственно с защитой от угроз, а с повышением эффективности и качества данного процесса, при наличии ограничений, обусловленных персоналом и технологиями.

Использование SOAR позволит устранить разрыв между бизнес-целями и применяемыми мерами ИБ, представить полноценную возможность эффективно достигать общие цели с использованием информационных технологий и обеспечением необходимой защиты.

  1. https://www.mitre.org/sites/default/files/publications/pr-13-1028-mitre-10-strategies-cyber-ops-center.pdf 
  2. C. Islam, M. Ali Babar, S. Nepal: A Multi-Vocal Review of Security Orchestration, 2019, DOI: 10.1145/3305268. 
Темы:SOCЖурнал "Информационная безопасность" №2, 2021

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 | Москва | Radisson Blu Belorusskaya. Мероприятия для директоров и специалистов по ИБ, инженеров, ИТ-руководителей и разработчиков
Регистрируйтесь и участвуйте 14-15 октября →
Статьи по той же темеСтатьи по той же теме

  • Обнаружение угроз в SOC: что влияет на эффективность
    Андрей Шаляпин, руководитель BI.ZONE TDR
    Во втором материале цикла расскажем о ключевой функции SOC – обнаружении угроз и киберинцидентов, ради которой и организуется постоянный мониторинг безопасности. Без эффективного обнаружения угроз все остальные процессы в рамках SOC лишены смысла. От чего же зависит эффективность обнаружения?
  • Покрытие мониторингом ИТ-инфраструктуры: как выбрать оптимальный уровень
    Марсель Айсин, руководитель BI.ZONE SOC Consulting
    Компания BI.ZONE совместно с журналом “Информационная безопасность” запускает цикл публикаций о ключевых аспектах функционирования SOC. И при строительстве собственного центра мониторинга, и при взаимодействии с внешним провайдером (MSSP) организации могут допустить ошибки, которые повлияют на эффективность защиты. Эксперты подробно разберут семь направлений работы SOC, а также расскажут о распространенных проблемах, с которыми сталкиваются компании.
  • Аутсорсинг SOC для АСУ ТП: выход или угроза?
    Идея аутсорсинга SOC в промышленности все чаще обсуждается как способ повысить устойчивость и снизить затраты. Однако эксперты сходятся во мнении: применять эту модель в индустриальной сфере напрямую, по шаблону ИТ-инфраструктур, рискованно. Промышленные процессы требуют не просто мониторинга инцидентов, а глубокого понимания технологической специфики и особенностей функционирования АСУ ТП. 
  • EDR как инструмент эффективного реагирования глазами экспертов
    Современные решения класса EDR (Endpoint Detection and Response) становятся частым инструментом для повышения эффективности работы аналитиков SOC. Они не только автоматизируют задачи обнаружения и реагирования на угрозы, но и минимизируют влияние человеческого фактора, ускоряя обработку инцидентов. Редакция журнала “Информационная безопасность" опросила экспертов по актуальным аспектам развития EDR-решений.
  • Зарисовки о реагировании на инциденты в SOC UserGate
    Дмитрий Шулинин, руководитель SOC UserGate
    Основная задача SOC – своевременно обнаруживать и нейтрализовывать инциденты, предотвращая их дальнейшее распространение и минимизируя ущерб для бизнеса. Однако процесс реагирования требует не только высоких профессиональных навыков специалистов, но также инструментария и четкого алгоритма действий, выработанного специально для каждой инфраструктуры. Рассмотрим несколько аспектов реагирования на инциденты из опыта SOC UserGate.
  • Как технологии EDR помогают SOC: теория и практика
    Рассмотрим, почему традиционные SOC могут не справляться с потоком событий ИБ и как современные технологии и продукты класса Endpoint Detection and Response (EDR) способны упростить работу аналитиков.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Персональные данные в 2026 году: новые требования
Обсудим 15 октября на Форуме ITSEC 2025. Регистрация →

More...
ТБ Форум 2025
Защита АСУ ТП и КИИ: готовимся к 2026 году
Регистрация участников на конференцию 16 октября →

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"
Политики конфиденциальности