Особенности российского рынка SOAR-систем (Security Orchestration, Automation and Response)

Особенности российского рынка SOAR-систем

Особенности российского рынка SOAR-систем

Далеко не все понимают, для чего нужны SOAR-системы (Security Orchestration, Automation and Response), когда организации нужно начинать задумываться о внедрении этого класса решений, чем они отличаются от IRP, SGRC и SIEM. Эти темы обсудили эксперты — гости очередной конференции AM Live, а зрители прямого эфира приняли участие в опросах и рассказали, как обстоят дела с реагированием на инциденты из области ИБ в их компаниях.

 

 

 

 

  1. Насколько распространены SOAR-системы
  2. Количество инцидентов
  3. Как компании реагируют на инциденты

21 октября 2020 года в студии Anti-Malware.ru состоялась онлайн-конференция AM Live, посвящённая вопросам выбора эффективной SOAR-системы. Гостями прямого эфира, как обычно, стали представители вендоров и системных интеграторов, работающих на российском рынке информационной безопасности, а руководил дискуссией бизнес-консультант Cisco Алексей Лукацкий.

По ходу беседы эксперты обсудили вопросы о том, для чего нужны SOAR-системы и чем они отличаются от решений класса SGRC и IRP, поговорили о технических особенностях различных SOAR и нюансах их внедрения. Мнение спикеров дополнил традиционный опрос аудитории онлайн-трансляции. В качестве обратной связи мы задали зрителям прямого эфира несколько вопросов об использовании SOAR и о процессе реагирования на инциденты в их компаниях, после чего ознакомили участников конференции с результатами анкетирования.

Итоги опроса помогают понять реальные потребности и запросы клиентов — взглянуть на процесс внедрения SOAR «с другой стороны прилавка», поскольку мнение нашей аудитории можно с некоторыми допущениями экстраполировать на других потенциальных и действующих заказчиков ИБ-систем.

 

 

Насколько распространены SOAR-системы

Сначала мы спросили у зрителей, используется ли в их организации система SOAR, IRP или SGRC. Спикеры конференции обсудили разницу между этими классами продуктов, однако, как оказалось, она не всегда очевидна заказчикам, поэтому мы сочли разумным объединить все классы в одном вопросе.

Почти четверть опрошенных ответила утвердительно. Как выяснилось, 14,7 % зрителей онлайн-конференции уже внедрили SOAR или систему со схожими функциональными возможностями, а ещё 10 % находятся на этапе пилотного проекта. Чуть более четверти респондентов (28,5 %), напротив, не применяют решения для оркестровки и реагирования на инциденты, а ещё 3,9 % самостоятельно разрабатывают соответствующие скрипты. Интересно, что почти 7 % опрошенных используют встроенные возможности SIEM-систем, частично покрывающие функции SOAR, в качестве альтернативы полноценному внедрению ещё одного ИБ-инструмента.

Некоторое недоумение у спикеров конференции вызвало количество зрителей, выбравших вариант «Другое». Такой ответ дали 36 % опрошенных. Что имели в виду эти респонденты, остаётся загадкой. Возможно, SOAR в их компаниях внедрена, но не запущена в эксплуатацию или используется лишь частично.

 

Рисунок 1. Используется ли в вашей организации система SOAR, IRP или SGRC?

Используется ли в вашей организации система SOAR, IRP или SGRC?

 

Количество инцидентов

Затем мы попросили зрителей оценить число инцидентов, фиксируемых ежедневно в их компаниях. Нам хотелось понять масштаб возникающих перед организациями проблем и выявить ту грань, за которой SOAR становится не просто желательным, а необходимым элементом кибербезопасности.

Большая часть опрошенных утверждает, что в их компаниях ежедневно фиксируются лишь единичные инциденты — такой вариант выбрали 40,22 % опрошенных. Ещё 23,91 % зрителей конференции отметили, что имеют дело с десятками инцидентов каждый день. Ровно четверть респондентов сообщила о сотнях ИБ-происшествий, а 10,87 % — о тысячах.

Эти результаты интересно сравнить с итогами из предыдущего раздела. Как вы помните, только 35 % опрошенных используют какую либо систему для реагирования на инциденты или самостоятельно пишут необходимые скрипты. Примерно столько же наших зрителей заявили о сотнях и тысячах ежедневных инцидентов, фиксируемых в их организациях. Казалось бы, граница необходимости SOAR обозначена довольно чётко, но не всё так просто.

Во-первых, термин «инцидент» может толковаться весьма широко. В одних компаниях это — любое срабатывание антивируса или SIEM-системы, а в других — происшествие, требующее дальнейшего расследования.

Во-вторых, как справедливо заметили наши эксперты, в компаниях, исповедующих ручное реагирование на происшествия, даже единственный инцидент, случившийся в неурочное время, может привести к плачевным последствиям. Поэтому чёткой грани, после которой необходимо внедрять SOAR-систему, просто не существует: решение должно приниматься с учётом множества факторов, уникальных для каждой организации.

 

Рисунок 2. Какой порядок числа инцидентов (не атак) в сутки фиксируется в вашей организации?

Какой порядок числа инцидентов (не атак) в сутки фиксируется в вашей организации?

 

Как компании реагируют на инциденты

В заключение мы решили выяснить, как в организациях наших зрителей выстроен процесс реагирования на инциденты в сфере ИБ. Ведь внедрение SOAR — это не только установка ПО и настройка взаимодействия с другими системами обеспечения информационной безопасности, но и почти всегда изменение процессов организации. Об этом по ходу конференции AM Live не раз упоминали наши эксперты.

К сожалению, в компаниях 39,43 % ответивших реагирование на ИБ-происшествия носит бессистемный, хаотичный характер. Такие организации можно рассматривать как потенциальных заказчиков SOAR-систем, их число характеризует потенциал рынка. К этой же категории можно отнести компании, где регламенты реагирования на инциденты являются едиными для всех типов ИБ-происшествий. Таких среди нашей аудитории 22,54 %. И, наконец, 38,03 % опрошенных заявили, что процесс реагирования в их организации детализирован для каждого типа инцидентов.

 

Рисунок 3. Выстроен ли в вашей организации процесс реагирования на инциденты в сфере ИБ?

Выстроен ли в вашей организации процесс реагирования на инциденты в сфере ИБ?

 

Мы очень ценим мнение наших читателей и зрителей. Если вы готовы высказаться по теме выбора и внедрения SOAR-системы, рассказать о своём опыте внедрения или поделиться мнением о решении конкретного вендора — приглашаем вас в комментарии к записи онлайн-трансляции. До конца года пройдут ещё несколько прямых эфиров AM Live, куда мы обязательно позовём ведущих экспертов в сфере информационной безопасности и представителей вендоров. Чтобы не пропускать онлайн-трансляции и иметь возможность принять участие в опросах — подпишитесь на наш YouTube-канал и не забудьте включить уведомления. До новых встреч!

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru