Далеко не все понимают, для чего нужны SOAR-системы (Security Orchestration, Automation and Response), когда организации нужно начинать задумываться о внедрении этого класса решений, чем они отличаются от IRP, SGRC и SIEM. Эти темы обсудили эксперты — гости очередной конференции AM Live, а зрители прямого эфира приняли участие в опросах и рассказали, как обстоят дела с реагированием на инциденты из области ИБ в их компаниях.
21 октября 2020 года в студии Anti-Malware.ru состоялась онлайн-конференция AM Live, посвящённая вопросам выбора эффективной SOAR-системы. Гостями прямого эфира, как обычно, стали представители вендоров и системных интеграторов, работающих на российском рынке информационной безопасности, а руководил дискуссией бизнес-консультант Cisco Алексей Лукацкий.
По ходу беседы эксперты обсудили вопросы о том, для чего нужны SOAR-системы и чем они отличаются от решений класса SGRC и IRP, поговорили о технических особенностях различных SOAR и нюансах их внедрения. Мнение спикеров дополнил традиционный опрос аудитории онлайн-трансляции. В качестве обратной связи мы задали зрителям прямого эфира несколько вопросов об использовании SOAR и о процессе реагирования на инциденты в их компаниях, после чего ознакомили участников конференции с результатами анкетирования.
Итоги опроса помогают понять реальные потребности и запросы клиентов — взглянуть на процесс внедрения SOAR «с другой стороны прилавка», поскольку мнение нашей аудитории можно с некоторыми допущениями экстраполировать на других потенциальных и действующих заказчиков ИБ-систем.
Насколько распространены SOAR-системы
Сначала мы спросили у зрителей, используется ли в их организации система SOAR, IRP или SGRC. Спикеры конференции обсудили разницу между этими классами продуктов, однако, как оказалось, она не всегда очевидна заказчикам, поэтому мы сочли разумным объединить все классы в одном вопросе.
Почти четверть опрошенных ответила утвердительно. Как выяснилось, 14,7 % зрителей онлайн-конференции уже внедрили SOAR или систему со схожими функциональными возможностями, а ещё 10 % находятся на этапе пилотного проекта. Чуть более четверти респондентов (28,5 %), напротив, не применяют решения для оркестровки и реагирования на инциденты, а ещё 3,9 % самостоятельно разрабатывают соответствующие скрипты. Интересно, что почти 7 % опрошенных используют встроенные возможности SIEM-систем, частично покрывающие функции SOAR, в качестве альтернативы полноценному внедрению ещё одного ИБ-инструмента.
Некоторое недоумение у спикеров конференции вызвало количество зрителей, выбравших вариант «Другое». Такой ответ дали 36 % опрошенных. Что имели в виду эти респонденты, остаётся загадкой. Возможно, SOAR в их компаниях внедрена, но не запущена в эксплуатацию или используется лишь частично.
Рисунок 1. Используется ли в вашей организации система SOAR, IRP или SGRC?
Количество инцидентов
Затем мы попросили зрителей оценить число инцидентов, фиксируемых ежедневно в их компаниях. Нам хотелось понять масштаб возникающих перед организациями проблем и выявить ту грань, за которой SOAR становится не просто желательным, а необходимым элементом кибербезопасности.
Большая часть опрошенных утверждает, что в их компаниях ежедневно фиксируются лишь единичные инциденты — такой вариант выбрали 40,22 % опрошенных. Ещё 23,91 % зрителей конференции отметили, что имеют дело с десятками инцидентов каждый день. Ровно четверть респондентов сообщила о сотнях ИБ-происшествий, а 10,87 % — о тысячах.
Эти результаты интересно сравнить с итогами из предыдущего раздела. Как вы помните, только 35 % опрошенных используют какую либо систему для реагирования на инциденты или самостоятельно пишут необходимые скрипты. Примерно столько же наших зрителей заявили о сотнях и тысячах ежедневных инцидентов, фиксируемых в их организациях. Казалось бы, граница необходимости SOAR обозначена довольно чётко, но не всё так просто.
Во-первых, термин «инцидент» может толковаться весьма широко. В одних компаниях это — любое срабатывание антивируса или SIEM-системы, а в других — происшествие, требующее дальнейшего расследования.
Во-вторых, как справедливо заметили наши эксперты, в компаниях, исповедующих ручное реагирование на происшествия, даже единственный инцидент, случившийся в неурочное время, может привести к плачевным последствиям. Поэтому чёткой грани, после которой необходимо внедрять SOAR-систему, просто не существует: решение должно приниматься с учётом множества факторов, уникальных для каждой организации.
Рисунок 2. Какой порядок числа инцидентов (не атак) в сутки фиксируется в вашей организации?
Как компании реагируют на инциденты
В заключение мы решили выяснить, как в организациях наших зрителей выстроен процесс реагирования на инциденты в сфере ИБ. Ведь внедрение SOAR — это не только установка ПО и настройка взаимодействия с другими системами обеспечения информационной безопасности, но и почти всегда изменение процессов организации. Об этом по ходу конференции AM Live не раз упоминали наши эксперты.
К сожалению, в компаниях 39,43 % ответивших реагирование на ИБ-происшествия носит бессистемный, хаотичный характер. Такие организации можно рассматривать как потенциальных заказчиков SOAR-систем, их число характеризует потенциал рынка. К этой же категории можно отнести компании, где регламенты реагирования на инциденты являются едиными для всех типов ИБ-происшествий. Таких среди нашей аудитории 22,54 %. И, наконец, 38,03 % опрошенных заявили, что процесс реагирования в их организации детализирован для каждого типа инцидентов.
Рисунок 3. Выстроен ли в вашей организации процесс реагирования на инциденты в сфере ИБ?
Мы очень ценим мнение наших читателей и зрителей. Если вы готовы высказаться по теме выбора и внедрения SOAR-системы, рассказать о своём опыте внедрения или поделиться мнением о решении конкретного вендора — приглашаем вас в комментарии к записи онлайн-трансляции. До конца года пройдут ещё несколько прямых эфиров AM Live, куда мы обязательно позовём ведущих экспертов в сфере информационной безопасности и представителей вендоров. Чтобы не пропускать онлайн-трансляции и иметь возможность принять участие в опросах — подпишитесь на наш YouTube-канал и не забудьте включить уведомления. До новых встреч!
