Обзор решений класса Security Orchestration, Automation and Response (SOAR)

Обзор решений класса Security Orchestration, Automation and Response (SOAR)

Обзор решений класса Security Orchestration, Automation and Response (SOAR)

Организовать и автоматизировать процессы расследования ИБ-инцидентов и принятия контрмер по ним позволяет инструментарий, получивший наименование SOAR / СОАР (Security Orchestration, Automation and Response / системы оркестровки, автоматизации и реагирования). Мы собрали продукты класса СОАР, представленные на российском и мировом рынках, кратко описав каждый из них.

 

 

 

 

 

  1. Введение
  2. Что такое SOAR?
  3. Мировой рынок SOAR
  4. Российский рынок SOAR
  5. Краткий обзор популярных продуктов класса SOAR
    1. 5.1. Cisco SecureX
    2. 5.2. Cortex XSOAR
    3. 5.3. Cyberbit SOC 3D
    4. 5.4. FortiSOAR
    5. 5.5. IBM Resilient SOAR
    6. 5.6. R-Vision Incident Response Platform (IRP)
    7. 5.7. Security Vision Incident Response Platform (IRP / SOAR)
    8. 5.8. UserGate 5
  6. Выводы

 

Введение

Непрерывное усложнение среды реагирования на инциденты в сфере ИБ влечёт за собой необходимость масштабирования операционной деятельности компаний, а также сокращения среднего времени принятия контрмер и повышения эффективности сервисов. Однако при этом, как следствие, возникают проблемы управления трудовыми ресурсами, процессами и технологиями. Эти проблемы обусловлены следующими факторами: сложные целевые атаки на информационные системы, большое разнообразие применяемых средств защиты информации, большое количество оповещений по безопасности как от систем управления ИБ-событиями, так и от других источников.

Усложнилась сама природа атак, вышли на первый план направленные нападения, для детектирования которых необходимо сопоставлять не имеющие явных связей и разнесённые во времени события. На команды оперативных центров обеспечения кибербезопасности (Security Operations Center, SOC) обрушивается интенсивный поток инцидентов, количество задач стремительно растёт. Отсюда появилась потребность в выполнении шаблонных действий без участия человека, и возник соответствующий класс систем оркестровки, автоматизации и реагирования (СОАР).

В данном обзоре мы рассмотрим продукты класса СОАР. Всякий из них является специальным инструментом для обобщения информации об угрозах безопасности, поступающей из разных источников, с последующим анализом таких данных; при этом СОАР позволяет автоматизировать часть аналитической работы специалиста по ИБ с помощью машинных алгоритмов.

 

Что такое SOAR?

В статье «Обзор решений UBA, SIEM и SOAR: в чём различие?» мы определяем SOAR как инструментарий, позволяющий сводить получаемые из разных источников данные об угрозах безопасности для последующего анализа. СОАР автоматизирует этот процесс — от назначения приоритета до работы с шаблонными «ответами» на инциденты.

Что напрямую относится к работе SOAR:

  • Оркестровка (Orchestration) — интеграция технологий и инструментов для принятия решений на основе информации об уровне риска и состоянии системы.
  • Автоматизация (Automation) — для замещения задач, которые ранее выполняли «вручную», автоматическими действиями со стороны системы по заготовленным сценариям (playbooks).
  • Управление киберинцидентами и совместная деятельность (Incident management and collaboration) — сквозной подход по работе с «назначением приоритета», «протоколированием действий» и «принятием решений на основе политик компании».
  • Формирование отчётов (Dashboards and reporting) — визуализация информации по ключевым метрикам и составление сводок для трёх типов сотрудников — аналитиков, руководителей SOC и директоров по ИБ (Chief Information Security Officer, CISO).

 

Рисунок 1. Основные функции SOAR-систем

 

 

SOAR обладают функциональностью, позволяющей сократить время расследования значимых инцидентов в сфере ИБ. Это, в частности:

  • интеграция технологий / инструментов, необходимых для принятия решений на основе отчётов о состоянии системы безопасности и оценки возможного уровня риска;
  • автоматизация процессов;
  • управление инцидентами с использованием сквозного подхода (определение приоритетов, регистрация всех действий по реагированию на инциденты, принятие решений в соответствии с политикой компании);
  • визуализация данных, связанных с ключевыми показателями, отчётами сотрудников и документацией.

Огромным преимуществом использования SOAR является то, что они позволяют автоматизировать процессы управления инцидентами, начиная от назначения приоритетов и заканчивая собственно реагированием. Благодаря заранее созданным планам действий («плейбукам») система способна самостоятельно среагировать на то или иное происшествие, тем самым повысив точность и скорость выполнения операций. При этом следует обратить внимание на то, что автоматизация процессов реагирования при всей своей сложности и витиеватости должна быть гибкой и предусматривать включение человека в рабочий процесс, а иногда и вообще останавливаться, ожидая решения аналитика.

За счёт оркестровки SOAR обеспечивает скоординированный автоматический ответ на выявленную несанкционированную активность. Конечно, полностью решить проблему в автоматическом режиме не всегда представляется возможным, но SOAR должна быть способна переводить средства защиты в более строгие режимы работы, своевременно начинать сбор подробной статистики либо ограничивать операции, которые потенциально могут привести к утечкам данных. Кроме того, важно, чтобы SOAR умела обрабатывать и сортировать оповещения, поступающие от внешних систем (например, SIEM), вести детальный журнал, быть источником для создания базы знаний о возможных атаках, предоставлять данные для аналитики и расследования инцидентов, и к тому же была готова к интеграции с платформами киберразведки (Threat Intelligence).

SOAR может интегрировать данные об угрозах, поступающие из разных источников. Это достигается с помощью трёх основных модулей, перечисленных далее.

  • Модуль реагирования на инциденты в области безопасности (Security Incident Response, SIR) облегчает процесс выявления происшествий. Он также импортирует информацию из других применяемых решений и настраивает ИБ-процедуры.
  • Для приоритизации уязвимостей продукты класса SOAR используют модуль Response Vulnerability. Он помогает определить степень подверженности критических бизнес-систем угрозам.
  • Модуль анализа угроз на основе данных киберразведки предназначен для выявления признаков возможной компрометации, а также для углублённого отслеживания угроз. Его основное преимущество заключается в том, что он поддерживает различные стандарты, применяемые для обмена данными об угрозах. Кроме того, этот модуль позволяет добавлять пользовательские источники и обмениваться информацией с внешними системами.

 

Мировой рынок SOAR

Согласно исследованию Gartner «Emerging Technology Analysis: SOAR Solutions», рынок SOAR сейчас находится на стадии развития. При этом в прогнозном анализе «Forecast Analysis: SOAR, Worldwide» Gartner оценивает, что рынок SOAR вырастет до 550 миллионов долларов США в течение пятилетнего периода (2018—2023 годы).

В отличие от Gartner, компания KBV Research смотрит на рынок SOAR более оптимистично: в исследовании «Security Orchestration Automation and Response (SOAR) Market Size» ожидается, что к 2025 году объём рынка SOAR достигнет 2,3 млрд долларов США, в среднем ежегодно увеличиваясь на 16,3 %. На рост рынка влияют такие факторы, как рост числа кибератак, нехватка персонала, требования законодательства, отсутствие у сотрудников необходимых компетенций по обнаружению угроз и атак. Всё это вносит значительный вклад в развитие рынка SOAR.

 

Рисунок 2. Динамика глобального рынка SOAR, 2019—2025 годы (KBV Research)

 Динамика глобального рынка SOAR, 2019—2025 годы (KBV Research)

 

В зависимости от типа развёртывания рынок подразделяется на локальный (on-premise) и облачный (модель SecaaS).

 

Рисунок 3. Матрица KBV Research для рынка SOAR

 Матрица KBV Research для рынка SOAR

 

Основными стратегиями участников рассматриваемого сегмента являются запуск продуктов, партнёрство и сотрудничество. На основе анализа, представленного в матрице выше, IBM Corporation и  Cisco Systems можно назвать родоначальниками рынка SOAR. Помимо них отчёт о маркетинговых исследованиях охватывает таких игроков, как FireEye, Palo Alto Networks (Demisto), Rapid7, Splunk, Swimlane, ThreatConnect, LogRhythm и Tufin.

Участники рынка применяют поэтапные подходы к использованию рыночных возможностей. Компании ориентируются на инновационные рыночные конкурентные стратегии. Например, в августе 2019 года Splunk интегрировалась с Deloitte, чтобы наладить автоматизированный мониторинг безопасности и обеспечить возможности по реагированию, которые помогали бы повысить точность и согласованность рабочих процессов и результатов в сфере корпоративной киберзащиты. Аналогичным образом Tufin сотрудничала с Cisco, чтобы запустить Tufin Orchestration Suite R19-2 для оказания помощи клиентам Cisco ACI в смягчении последствий киберинцидентов.

Компания MarketsandMarkets также в отличие от Gartner прогнозирует более высокий рост рынка SOAR: в своём исследовании она предвидит повышение его объёма с 868 млн долларов США в 2019 году до 1791 млн к 2024 году (в среднем — на 15,6 % в год). Основным фактором, влияющим на рынок, является увеличение числа ложных предупреждений об атаках.

 

Рисунок 4. Динамика объёма рынка SOAR на 2019—2024 годы по прогнозам MarketsandMarkets

 Динамика объёма рынка SOAR на 2019—2024 годы по прогнозам MarketsandMarkets

 

По мнению MarketsandMarkets, ключевыми игроками рынка являются IBM Corporation, FireEye, Cisco Systems, Rapid7, Splunk, Swimlane, Tufin, ThreatConnect, Demisto (Palo Alto Networks), DFLabs, LogRhythm, Siemplify, Resolve Systems, CyberSponse и Exabeam. Основные стратегии роста данных вендоров — партнёрские отношения, сотрудничество и заключение соглашений, а также запуск новых продуктов и усовершенствование старых.

Таким образом, согласно исследованиям MarketsandMarkets и KBV Research, а также руководству Gartner «Market Guide for Security Orchestration, Automation and Response Solutions», на мировом рынке можно выделить следующие предложения:

  • ATAR SOAR Platform;
  • Ayehu NG Platform;
  • CyberSponse CyOPs;
  • Cisco SecureX;
  • Cyberbit SOC 3D;
  • Palo Alto Networks Cortex XSOAR (ранее продукт назывался Demisto SOAR);
  • IBM Resilient SOAR;
  • FireEye Helix Platform;
  • Fortinet FortiSOAR;
  • D3 Security  D3 SOAR;
  • DFLabs  IncMan;
  • EclecticIQ Platform;
  • Exabeam Security Management Platform;
  • LogRhythm RespondX SOAR Platform;
  • Micro Focus ArcSight SOAR;
  • Splunk Phantom;
  • Rapid7 InsightConnect;
  • Resolve;
  • ServiceNow Security Operations;
  • Siemplify;
  • Swimlane;
  • Syncurity IR Flow;
  • ThreatConnect;
  • ThreatQ ThreatQuotient;
  • Tufin Orchestration Suite.

Как можно увидеть, на сегодняшний день выбор поставщиков на мировом рынке SOAR-решений весьма велик.

 

Российский рынок SOAR

Потребность в SOAR на российском рынке возникла не так давно, но их популярность растёт стремительными темпами. На рынке представлены как отечественные разработчики, так и зарубежные. Особой специфики в российском рынке SOAR автору не удалось найти, но локальные игроки традиционно ведут более гибкие продуктовые и ценовые политики.

К соответствующему классу можно отнести следующие продукты отечественных разработчиков:

  • R-Vision IRP,
  • Security Vision IRP / SOAR («Интеллектуальная безопасность»),
  • UserGate 5 (NGFW с функциями SOAR).

К сожалению, мы не располагаем сведениями об объёмах продаж и долях рынка этих компаний, поэтому не сможем в рамках данной статьи представить их ранжирование.

Краткий обзор SOAR-решений, популярных на мировом и российском рынках, приведён ниже.

 

Краткий обзор популярных продуктов класса SOAR

 

 

Cisco SecureX

Cisco SecureX предоставляет больше возможностей для интеграции с другими решениями, чем обычные SOAR или SIEM-платформа (в том числе и как источник информации, и как потребитель), позволяя выстроить любые сценарии анализа и реагирования. Cisco SecureX является открытой многовендорной платформой.

Cisco SecureX использует возможности всех решений Cisco по информационной безопасности для обеспечения осведомлённости об угрозах, а также предоставляет аналитику и автоматизирует рабочие процессы, ускоряя обнаружение и отражение кибератак. Продукт представляет собой облачную платформу, которая упрощает работу с продуктами компании Cisco в сфере информационной безопасности и решает проблему излишней сложности систем, ставшую одной из приоритетных для директоров по кибербезопасности.

Cisco SecureX предлагает пользователям возможность полнофункциональной работы со всем портфолио продуктов Cisco для обеспечения информационной безопасности и со всей существующей инфраструктурой заказчика. Cisco SecureX формирует единую прозрачную среду, выявляет неизвестные угрозы и автоматизирует рабочие процессы, укрепляя кибербезопасность на уровне сети, оконечных точек, облака и приложений. Поскольку простота имеет существенное значение для защиты процессов цифровой трансформации, сервисы Cisco SecureX включаются в состав всех разработок Cisco Security.

Подробная информация о продукте доступна здесь.

 

 

Cortex XSOAR

По словам производителя, Cortex XSOAR — первая «eXtended SOAR»-платформа, которая обеспечивает и управление заявками, и контроль KPI / SLA, и автоматизацию действий сотрудников с одновременным повышением их квалификации, а также совместное расследование инцидентов в режиме реального времени, проактивный поиск угроз (Threat Hunting) и связь с мировыми киберразведывательными данными (Threat Intelligence). Cortex XSOAR получает оповещения и индикаторы компрометации из различных источников обнаружения (от SIEM-систем до EDR / XDR и почтовых сообщений), наполняет базы знаний и запускает автоматические процессы для реагирования на инциденты. На сегодняшний день Cortex XSOAR умеет интегрироваться с уже почти 500 сторонними решениями и продуктами, и эта цифра продолжает постоянно расти. Открытая торговая площадка (marketplace) модулей интеграции ещё сильнее расширяет спектр этих возможностей. Скоординированные сценарии охватывают все технологии, ресурсы ИБ-команд и внешних пользователей для получения единой и полной картины и централизованного выполнения необходимых действий.

Cortex XSOAR позволяет повышать эффективность расследования, пользоваться пространством для совместной работы, машинным обучением для помощи и выдачи рекомендаций аналитикам безопасности, перекрёстной корреляцией, выполнять повторяемые шаги без участия человека. Автоматизация действий даёт возможность унифицировать реакцию на инциденты в нужном масштабе, объединить функции по безопасности и агрегировать всю аналитику от разных продуктов в общей консоли.

Подробная информация о продукте доступна здесь.

 

 

Cyberbit SOC 3D

Cyberbit SOC 3D — это средство автоматизации и управления безопасностью на основе собранных данных, которое дополняет SIEM-систему в части ускорения принятия решений и реагирования на инциденты. Автоматизация действий на основе накопленных данных и готовых библиотек с описаниями процессов реагирования позволяет аналитикам сосредоточить внимание на расследовании и устранении причин происшествий, что экономит в среднем по 12 минут на каждом инциденте. Благодаря анализу «больших данных» (Big Data), применению современных средств визуализации и автоматизированных инструментов расследования продукт не требует от пользователя специальных знаний, оптимизирует корпоративные инвестиции в технологии обеспечения безопасности.

Среди достоинств системы — быстрый доступ к статистическим и исходным данным, Google-подобный поиск и визуализация в режиме реального времени с использованием единой платформы. SOC 3D автоматически определяет приоритетность проблем по степени их важности для бизнеса, облегчает расследование по бизнес-контексту и бизнес-процессам, обеспечивает постоянный и последовательный мониторинг критически важных областей вкупе с автоматическим созданием отчётов и BI-показателей для всех заинтересованных сторон. Варианты развёртывания системы предусматривают настройки корпоративной и командной моделей управления информационной безопасностью, а также сервисной модели (MSSP) для оказания аутсорсинговых услуг по управлению системами информационной безопасности клиентов.

Прочитать обзор на данный продукт на нашем сайте можно здесь.

Подробная информация о продукте доступна на сайте производителя.

 

 

FortiSOAR

Система FortiSOAR предназначена для согласования работы (оркестровки) систем кибербезопасности и для управления реагированием на инциденты в режиме реального времени. При помощи гибких сценариев система не только собирает информацию об индикаторах компрометации, но и обогащает её сведениями из внешних источников, после чего формирует управляющие команды для купирования кибератаки. Это освобождает операторов SOC от выполнения рутинных операций и позволяет сконцентрироваться на анализе действительно важных инцидентов.

Благодаря функциям анализа оповещений и управления данными специалисты по безопасности получают более полное представление об угрозах. Продуманная архитектура, предполагающая как корпоративную, так и мультитенантную модели использования, предусматривает возможности масштабирования в различных режимах работы. FortiSOAR содержит визуальный редактор автоматических сценариев и большое количество готовых плейбуков, которые можно использовать «из коробки» и которые не требуют навыков программирования. Также система обеспечивает эффективное администрирование доступа на основе ролей, благодаря чему организации могут управлять конфиденциальными данными в соответствии с политиками и рекомендациями SOC.

Прочитать обзор на данный продукт на нашем сайте можно здесь.

Подробная информация о продукте доступна на сайте производителя.

 

 

IBM Resilient SOAR

IBM Resilient SOAR — платформа координации и автоматизации процессов реагирования на инциденты. Она быстро и легко интегрируется с имеющимися средствами защиты и ИТ. Это решение позволяет незамедлительно отрабатывать предупреждения по безопасности, предоставляет ценную аналитическую информацию и контекст инцидента, обеспечивая адаптивное реагирование на сложные кибератаки. Новейшее дополнение к платформе Resilient — Dynamic Playbooks — добавляет возможность гибкого интеллектуального реагирования на сложные атаки с автоматической адаптацией к инцидентам в режиме реального времени.

Основные функции платформы: прогностическое управление реагированием (компонент Security Module), координация и автоматизация реагирования (Action Module), управление уведомлениями о несанкционированном доступе (Privacy Module). Помимо уже упоминавшегося гибкого интеллектуального реагирования с помощью Dynamic Playbooks, доступны визуализация среды в модуле Incident Visualization, упрощение сложных процессов с инструментом Visual Workflows, а также возможность обучения специалистов при помощи компонента Resilient Simulations.

Подробная информация о продукте доступна здесь.
 

 

R-Vision Incident Response Platform (IRP)

Платформа R-Vision IRP представляет собой продукт класса SOAR, предназначенный для автоматизации деятельности центров мониторинга и реагирования на ИБ-инциденты. R-Vision IRP агрегирует данные о происшествиях изо множества источников, обогащает их контекстом, автоматизирует рутинные процессы по их обработке, процедуры реагирования и координацию действий команды SOC, повышая эффективность и скорость реакции на киберугрозы. Автоматизация операций в рамках реагирования на инцидент осуществляется с помощью динамических сценариев (плейбуков), которые легко настраиваются в визуальном редакторе. Платформа интегрирована с максимально возможным количеством систем, сервисов и продуктов; доступны универсальная интеграция через базы данных, а также управление и обмен сведениями с любыми системами при реагировании с помощью конструктора коннекторов. Поддерживается интеграция с платформой киберразведки (Threat Intelligence) R-Vision TIP и работа с индикаторами компрометации из других платформ и информационных потоков («фидов»). Доступна опция передачи необходимых сведений по инцидентам в государственные центры ФинЦЕРТ и ГосСОПКА.

Стоит также отметить редкие для этого класса решений функциональные возможности по учёту и администрированию активов и уязвимостей, что позволяет сразу увидеть в карточке инцидента весь необходимый контекст для приоритизации и быстрого принятия решений. Контроль эффективности реагирования реализуется через набор метрик и показателей; для отслеживания статистики по инцидентам, уязвимостям, задачам и другим параметрам доступны панели мониторинга («дашборды»), а также возможность формирования и рассылки отчётности в автоматическом режиме. Гибкая архитектура R-Vision IRP позволяет реализовать многоуровневые варианты инсталляций и масштабирования, использовать продукт в крупных территориально распредёленных организациях. Продукт также можно доступен по подписке через MSS-провайдеров.

Прочитать обзор на данный продукт на нашем сайте можно здесь.

Подробная информация о продукте доступна на сайте производителя.

 

 

Security Vision Incident Response Platform (IRP / SOAR)

Программный продукт Security Vision IRP / SOAR, созданный ГК «Интеллектуальная безопасность», предназначен для централизованного управления информационной безопасностью и автоматизации ключевых ИБ-процессов организации. 

Security Vision IRP / SOAR обеспечивает автоматическое выполнение дежурных процедур в режиме реального времени. Также продукт позволяет сократить время реагирования на киберинциденты в вопросах идентификации, локализации, уничтожения и восстановления. Внедрение платформы помогает многократно уменьшить риски, связанные с действием «человеческого фактора» и ошибками персонала, привлекаемого к реагированию на инциденты, а также ускорить работу с происшествиями при помощи набора заранее разработанных процедур и сценариев реагирования, реализованных в компонентах Security Vision.

Универсальные коннекторы Security Vision IRP / SOAR имеют широкий спектр механизмов взаимодействия с источниками данных и апробированы на более чем 2000 источников. Security Vision IRP / SOAR обеспечивает возможность интеграции с любой IP-ориентированной системой.

Прочитать обзор на данный продукт на нашем сайте можно здесь.

Подробная информация о продукте доступна здесь.

 

 

UserGate 5

Технологии, используемые в межсетевом экране UserGate, соответствуют современной концепции SOAR, позволяют анализировать поведение различных процессов, выявлять риски и автоматически обеспечивать на основе этого анализа адекватную реакцию, обеспечивая защиту от угрозы или просто от аномального поведения на самой ранней стадии. Администратор может задавать сценарии и ответные действия на события, что сокращает время между обнаружением угрозы и ответом на неё, а также приоритизировать события, обеспечивая своевременную реакцию на критические атаки.

Обеспечение сетевой безопасности становится всё более сложной проблемой из-за постоянного появления новых угроз и увеличения объёма данных, связанных с инцидентами. Для решения этой проблемы необходимы усовершенствованные средства, позволяющие анализировать разнообразные данные вроде записей в журналах безопасности. Инструмент UserGate Log Analyzer предоставляет дополнительные возможности по анализу данных о происшествиях, их мониторингу, сбору статистики и созданию отчётов. Решение может быть развёрнуто отдельно от шлюза безопасности и в состоянии агрегировать данные из нескольких источников. Разделение функций обработки трафика и анализа данных позволяет обеспечить лучшую надёжность и масштабируемость.

Прочитать статью «Реализация функций SOAR с помощью UserGate» на нашем сайте можно здесь.

Подробная информация о продукте доступна на сайте производителя.

 

Выводы

В условиях постоянно расширяющегося потока сообщений о возможных инцидентах и стремительного проведения современных кибератак эффективное реагирование становится невозможным без автоматизации выполняемых действий и применения готовых алгоритмов.

Использование СОАР позволит:

  • повысить эффективность обработки сложных инцидентов за счёт дополнительной видимости конечных точек, возможности проактивного поиска угроз и наглядного представления информации об обнаруженных событиях в сети;
  • обогатить базу SOC предварительно обработанными релевантными данными для сопоставления с журналами, поступающими из других источников, для эффективного расследования;
  • значительно сократить количество часов, затрачиваемых аналитиками на утомительные, но необходимые задачи, связанные с проверкой данных от рабочих мест и серверов, а также с реагированием на инциденты.

Рынок СОАР весьма молод, и игроков на нём пока не очень много, хотя в дополнение к зарубежным разработкам уже появляются и российские решения. При этом, учитывая развитие направлений, связанных с SOC и ГосСОПКА, можно утверждать, что решения класса СОАР актуальны для отечественных заказчиков и дальнейший спрос на них будет только расти. Это, несомненно, должно положительно сказаться на развитии российского рынка таких продуктов.

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru