Рынок систем автоматизации процессов информационной безопасности и реагирования на киберинциденты (Security Orchestration, Automation and Response, SOAR) находится сейчас на начальном этапе своего развития. О том, какие процессы там происходят и какие перспективы ожидают этот рынок в будущем, рассказали эксперты: представители российских вендоров, системных интеграторов, крупных заказчиков.
Введение
Системы SOAR являются частью систем ИБ предприятий. Они служат для автоматизации процессов связанных с реагированием на инциденты в области кибербезопасности.
Тема SOAR представлена в эфире AM Live уже во второй раз. Первое обсуждение состоялось два года назад. Новый эфир от 2 июня получил название «SOAR по-российски» и был посвящён новой ситуации, которая сложилась в России после ухода западных вендоров. Своим мнением о том, что будет происходить с SOAR дальше, поделились эксперты, представляющие участников рынка — российских вендоров, системных интеграторов и крупных заказчиков.
- В дискуссии приняли участие:
- Александр Носарев, руководитель отдела систем мониторинга и реагирования, Angara Security.
- Анна Богданова, руководитель направления SOC центра информационной безопасности компании «Инфосистемы Джет».
- Вячеслав Тупиков, ведущий аналитик Solar JSOC, «РТК-Солар».
- Данил Бородавкин, менеджер продукта R-Vision SOAR, R-Vision.
- Николай Климов, начальник отдела решений в сфере кибербезопасности ДИТ Москвы.
- Роман Овчинников, руководитель отдела исполнения, Security Vision. Модератором дискуссии выступил
- Всеслав Соленик, независимый эксперт.
Российский рынок SOAR
Продукты класса SOAR активно проникают сейчас на российский рынок. Этот тренд наблюдается уже на протяжении не менее чем четырёх лет, отметил Данил Бородавкин. Цель внедрения SOAR-систем — обеспечить многократный рост скорости реагирования на инциденты.
В настоящее время SOAR уже широко представлен в ведущих российских банках, госструктурах, крупных сырьевых компаниях. Теперь за ними подтягиваются другие участники рынка.
Многие компании не ограничиваются применением SOAR только по основному назначению. На их базе создаются центры автоматизации других процессов.
Уход с российского рынка западных вендоров
Уход с российского рынка западных вендоров стал неожиданным испытанием для многих компаний. Отношение к этому у каждой компании сложилось своё.
Так, по мнению Анны Богдановой эффект не был катастрофическим. До начала событий доля зарубежных игроков на российском рынке была невелика. Более того, в последнее время западные компании только начинали осваивать российский рынок. Они делали это неспешно, например компания Palo Alto Networks. Но запустить процесс они так и не успели. Поэтому эффект от их ухода был незначительным.
Особенностью российского рынка SOAR было также то, что разработка новых систем началась одновременно с западными вендорами. Развитие продуктов шло параллельно до сих пор.
По мнению Александра Носарева, многие российские заказчики и ранее учитывали, что российские решения SOAR имеют приоритет для местного рынка. Как минимум с точки зрения техподдержки им была обеспечена более высокая стабильность. Поддерживать партнёрские отношения с российским вендором всегда было проще, чем обращаться к западной компании.
В то же время, как считает Данил Бородавкин, уход западных компаний следует расценивать шире. «Снижение конкуренции для любого рынка — это плохо. Это поворот к стагнации. Это плохо прежде всего для российских вендоров. Снижение конкуренции способно навредить прежде всего качеству дальнейшего развития российских продуктов».
Эту точку зрения поддержал Николай Климов.
Регулятор и SOAR
Есть три направления, где регулятор требует установки SOAR: КИИ, финансово-кредитная сфера и государственные информационные системы (ГИС), заявил Роман Овчинников.
В то же время прямых требований со стороны регулятора по использованию решений класса SOAR нет. Существуют только требования со стороны ФСТЭК России по передаче данных в ГосСОПКА при реагировании на инциденты и аналогичные требования ФинЦЕРТа для компаний банковской сферы.
В то же время, отмечает Роман Овчинников, автоматизация передачи сведений регулятору может сдерживаться самим заказчиком. Например, в компаниях в сфере КИИ предпочитают сначала перепроверять сведения об инцидентах вручную и только потом отправлять данные регулятору. Эти компании не торопятся к автоматизации. Бесконтрольно передавать регулятору сведения об инцидентах, не разобравшись в существе проблемы, — опасение, которое останавливает многих.
SOAR + SIEM: вместе или порознь?
Далее Николай Климов отметил, что неправильно относить к SOAR всю логику обработки инцидентов.
По его словам, сначала задача выявления и классификации инцидентов должна решаться на уровне SIEM. Именно там должна формироваться полная картина инцидента. Это требует сбора сопутствующей информации — данных об инфраструктуре, например. Передаче подлежит не только информация об IP-адресах, в ней должны отражаться сведения о владельцах актива и сотрудниках, которые могут быть причастны к инциденту. Эта информация постоянно обновляется, поэтому далеко не каждая SIEM-система способна обеспечить надлежащую поддержку.
То, какие функции должны быть возложены на SOAR, а какие — на SIEM, является непростым вопросом деления функциональности, считает Николай Климов. Как показала дискуссия, у экспертов нет единого мнения о том, какой выбор следует считать правильным.
По мнению Анны Богдановой, внедрение SOAR необходимо проводить совместно с модернизацией SIEM. В этом случае можно донастраивать SIEM, адаптировать и добавлять наиболее эффективные правила.
Вячеслав Тупиков считает, что многое зависит от особенностей компании-заказчика и наличия у неё сильной команды безопасников. В процессе эксплуатации возникает много нехарактерных ситуаций, которые невозможно описать правилами на этапе разработки.
Экономическая эффективность внедрения SOAR
Если регулятор не оказывает давления на компанию в отношении внедрения SOAR, то ей требуется получить экономическое обоснование эффекта от внедрения такой системы.
«Мы оцениваем исходя из риск-ориентированного подхода», — заявила Анна Богданова. Ссылаться на реальный размер возможного ущерба трудно: все данные носят вероятностный характер, поэтому оценки будут неопределёнными.
«Сейчас имеет смысл обратить внимание на то, что повсюду наблюдается реальный вал инцидентов. Их эффект можно оценивать, а собранные данные станут основой для обоснования внедрения SOAR», — добавила Анна Богданова.
Данил Бородавкин предлагает тем, кто решит воспользоваться этой рекомендацией, взять пример с одного из заказчиков. Тот стал оценивать инциденты с учётом эмпирически заданных им коэффициентов. В результате ему удалось подсчитать сумму потенциального ущерба на собственных данных.
Анна Богданова добавила, что большую пользу приносит также общение с компаниями, которые уже внедрили у себя SOAR. «Их опыт позволяет получить ответы на многие вопросы».
Хотя никто из участников дискуссии не отрицал полезности SOAR, многие говорили, что главным препятствием на пути внедрения SOAR стало то, что часть решаемых задач могут быть решены через SIEM и Service Desk.
Как отметила Анна Богданова, которая горячо поддерживала идею перехода на SOAR, в сервис-деске нет многих полей, которые помогают ускорить процесс принятия решения о реагировании на инцидент. Кроме того, там невозможно обогатить информацию об инциденте. Service Desk больше напоминает тикет-систему, которая позволяет собирать данные об инцидентах в список и устранять их используя накопленную информацию.
Александр Носарев был согласен с Анной отчасти. «Service Desk выстраивается под определённые процессы. Если инциденты возникают в их плоскости, то часть задач действительно можно закрыть средствами Service Desk».
Вячеслав Тупиков считает, что если в компании есть группа сильных аналитиков, то, используя возможности сервис-деска, они могут самостоятельно выстроить процессы обработки инцидентов с разбором заявок и отработкой ответных реакций. Это позволяет обойтись без SOAR.
Внедрение SOAR SOAR-системы априори являются модульными, поэтому их внедрение происходит постепенно, шаг за шагом, с наращиванием функционального набора. Вячеслав Тупиков отметил, что прежде всего необходимо определить, какие задачи планируется решать на момент внедрения SOAR. Если речь идёт только о реагировании на вирусные инциденты, то при интеграции потребуется лишь обогатить систему данными для антивируса. По мере нарастания инцидентной базы, например за счёт дополнения её сетевыми инцидентами, будут появляться другие средства интеграции. При внедрении необходимо также обращать внимание на уровень гетерогенности инфраструктуры. От этого будет зависеть не только объём выполняемых работ, но и продолжительность процесса внедрения SOAR. Как отметил Данил Бородавкин, при внедрении необходимо обеспечить, чтобы SOAR «из коробки» сразу помогла получить полезные результаты. SOAR — это по определению конструктор, его функциональность будет постепенно нарастать с учётом требований конкретного заказчика. По мнению Александра Носарева, на внедрение SOAR уйдёт не менее полугода. Добиться результата быстрее не получится: основные задержки будут возникать на стороне заказчика. «То нет одних данных, то других…». По мнению Николая Климова, названный срок в полгода сильно занижен. Очень многое зависит от инфраструктуры, считает он. В инфраструктуре крупного предприятия внедрение может затянуться на год-полтора.
Будущее рынка SOAR
в России В заключение все участники дискуссии дали свою оценку того, как будет развиваться рынок SOAR в России.
По мнению Александра Носарева, рынок будет постепенно принимать SOAR и внедрять у себя эти системы. С его мнением согласна Анна Богданова, отметившая, что как минимум на первых порах многие заказчики будут внедрять SOAR через сервис-провайдеров.
Вячеслав Тупиков поддержал эту оценку, добавив, что хотел бы увидеть в скором будущем появление элементов ИИ в SOAR. Они помогут составлять автоматический прогноз и выбирать наилучшую реакцию на инциденты, используя накопленный опыт.
Данил Бородавкин подтвердил уверенность, что рынок SOAR в России ждёт рост. Будет повышаться удобство его применения, будут нарастать интеграционные возможности. Российские вендоры будут развивать направления, которые до сих пор закрывали зарубежные поставщики.
Николай Климов хотя и согласился с общей оценкой, но высказал опасения, что складывающаяся на рынке ситуация может привести к стагнации разработок российских вендоров. С этими опасениями согласился Роман Овчинников. Эксперты отметили при этом, что на рынке есть альтернативные решения Open Source, с помощью которых можно частично закрывать ещё неохваченные направления, но отсутствие сильной конкуренции может негативно сказаться на рынке.
Выводы
В эфир AM Live «SOAR по-российски» от 2 июня приняли участие эксперты, которые представляют игроков отечественного рынка систем реагирования на инциденты. Они рассказали о том, зачем внедряются такие системы и как оценивают динамику этого рынка его участники. Дан прогноз его дальнейшего развития.
Самые горячие для российского рынка информационной безопасности темы мы обсуждаем в прямом эфире онлайн-конференции AM Live. Чтобы не пропускать свежие выпуски и иметь возможность задать вопрос гостям студии, не забудьте подписаться на YouTube-канал Anti-Malware.ru. До встречи в эфире!
14.06.2022 17:22:00