SOAR обжился в России

Сег­мент ИБ-ре­шений SOAR при­шел к то­му, что стал од­ним из нем­но­гих, где до­мини­руют оте­чес­твен­ные ре­шения. На до­лю за­рубеж­ных про­дук­тов здесь при­ходит­ся лишь 8% рос­сий­ско­го рын­ка. При этом SOAR от рос­сий­ских раз­ра­бот­чи­ков стал са­мобыт­ным клас­сом сис­тем: оте­чес­твен­ные про­дук­ты имеют спе­цифи­чес­кие фун­кции, ко­торые от­сутс­твуют в за­рубеж­ных сис­те­мах.

2 июня на площадке AM Live в онлайн-режиме прошла конференция "SOAR по-российски". Сам класс систем SOAR (Security Orchestration, Automation and Response - системы оркестрации, автоматизации и реагирования на события и инциденты в сфере безопасности) появился около пяти лет назад.

Востребованность таких систем растет. Участники дискуссии объясняют это общим запросом на решения по автоматизации в условиях жесткого дефицита кадров, а также необходимостью сокращения времени реагирования на инциденты, особенно в условиях кратного роста их количества в последние несколько месяцев. По оценке менеджера продукта R-Vision SOAR Данила Бородавкина, SOAR используют все ведущие российские компании и государственные структуры. Это обусловлено тем, что SOAR лучше остальных реализуют принцип одного окна в управлении разнородными средствами ИТ-инфраструктуры и средств защиты, а автоматизация повышает эффективность работы персонала.

Но пока количество инсталляций систем данного класса, по мнению руководителя отдела систем мониторинга и реагирования Angara Security Александра Носарева, меньше, чем у SIEM. Начальник отдела решений в сфере кибербезопасности ДИТ Москвы Николай Климов отчасти объяснил это тем, что при остром дефиците персонала появление новой системы не снижает нагрузку на кадры, а повышает.

Тем не менее, как отметила руководитель направления SOC центра информационной безопасности "Инфосистемы Джет" Анна Богданова, количество проектов внедрения SOAR год от года растет. А при жестком дефиците кадров поможет использование сервисной модели, которое также все больше востребовано.

При этом запрос на такие проекты, по мнению руководителя отдела исполнения Security Vision Романа Овчинникова, идет снизу. Но до внедрения SOAR, по его мнению, необходимо достичь довольно высокого уровня зрелости. По мнению Николая Климова, чтобы SOAR полноценно заработала, необходим выстроенный процесс управления инцидентами. Также, по общему мнению, SOAR неизбежно приходится настраивать под требования заказчика. Сразу "из коробки" такая система вряд ли заработает в полном объеме. В итоге проект будет длится несколько месяцев.

Экономика ИБ-проектов, по солидарному мнению всех участников дискуссии, является сложной задачей. Однако в случае SOAR довольно легко доказать эффективность ее внедрения. Ее можно рассчитать исходя из отсутствия необходимости найма новых сотрудников, найти которых все сложнее, и требования их к размеру заработной платы все больше. Не менее важно, как отметил Данил Бородавкин, и снижение времени реагирования. Он напомнил, что от получения фишингового письма до начала заражения шифровальщиков обычно проходит около 20 минут, и за это время операторы SOC очень редко успевают предотвратить атаку, тогда как SOAR вполне может купировать такой инцидент.

Соответствующие решения от российских и международных компаний были представлены практически одновременно. За это время российские продукты обросли функциями, которые отсутствуют в зарубежных продуктах, но востребованы у отечественных заказчиков. Ведущий аналитик Solar JSOC "РТК-Солар" Вячеслав Тупиков назвал среди этих функций управление активами и управление уязвимостями. Николай Климов объяснил эту ситуацию тем, что данные задачи являются пограничными между ИТ и ИБ, причем ИТ не в состоянии решать ее адекватно. Наличие данной возможности в системе, которой оперирует ИБ, позволяет получать актуальную информацию. В итоге, по его мнению, SOAR от российских разработчиков, как это в свое время случилось с DLP, становится самобытным классом систем, отличающимся по функциональности от тех, которые применяются за рубежом.

В явном виде, как обратил внимание Данил Бородавкин, ни один из российских регуляторов не требует внедрять SOAR. Однако именно SOAR наилучшим образом решают задачи, связанные с организацией мониторинга событий. В итоге, по мнению Романа Овчинникова, применение SOAR облегчает комплекс задач, которые предписывают нормы по защите критической информационной инфраструктуры, информационных систем банков, а также государственных информационных систем.

03.06.2022 16:03:00

Другие публикации

Как не стать жертвой мошенников: рекомендации по настройке аккаунта в Telegram

Каждое юрлицо – это оператор персональных данных, который собирает большое количество личной информации: ФИО, номера телефонов, адреса, банковские данные.

актуально

26.07.2024

Повышение информационной безопасности АСУ ТП: практический кейс

Михаил Сухов, руководитель отдела анализа защищенности Angara Security, подготовил для Anti-malware статью о пентесте на одном из предприятий промышленного сектора.

06.06.2024

Angara Security: в России выявлены мошеннические площадки для сбора персональных данных в преддверии ЕГЭ и ОГЭ

Аналитики Angara Security выявили, что в апреле 2024 года были зарегистрированы домены, которые используют тематику подготовки к единому государственному экзамену.

31.05.2024

Лада Антипова, Angara Security: Неквалифицированное реагирование на инцидент только усугубит последствия для компании

При возникновении инцидента сотрудники компании без отдела ИБ рискуют совершить ошибки, которые затруднят расследование киберпреступления и могут привести к потере ценных данных. Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, рассказала порталу Cyber Media.

актуально

29.05.2024

Перспективы российских облачных сервисов в условиях санкций

Денис Бандалетов, руководитель отдела сетевых технологий Angara Security, принял участие в подготовке материала об облачных сервисах и выборе решений с учетом задач инфраструктуры заказчиков для Коммерсантъ.

актуально

23.05.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах