Журнал "Information Security/ Информационная безопасность" #5, 2022

Еще одним значимым нововведением последних лет и этапом эволюции SOC стало добавление в него технологий для создания ложного слоя ИТ-инфра- структуры c помощью набора ловушек и приманок. C их помощью ИБ-специа- листы детектируют присутствие зло- умышленника, затрудняют его продви- жение внутри инфраструктуры, позволяя остановить развитие атаки до того, как она приведет к значимому ущербу. Если же говорить о технологии SOAR, то теперь это не только основной инстру- мент автоматизации, но и связующий элемент всех процессов и продуктов внутри SOC. SOAR агрегирует инфор- мацию обо всех инцидентах ИБ из про- извольных источников, обеспечивает командную деятельность по их обработ- ке, автоматизирует выполнение рутин- ных операций и внедрение мер защиты, а также позволяет пользователю управ- лять всем парком средств и систем защиты из одной точки при помощи встроенных механизмов оркестрации. Проблемы современного SOC Вместе с очередным витком развития SOC, добавлением в него классов и тех- нологий появились и новые сложности, которые возникают в основном из-за использования продуктов от различных вендоров. Причин этому несколько: раз- ный уровень развития интеграционных механизмов продуктов вендоров, невоз- можность настройки и синхронизации ролевой модели между разными про- дуктами и технологиями, а также процесс "выкатки" обновлений, зачастую нося- щий бессистемный и неупорядоченный характер, поскольку вендоры в первую очередь заинтересованы в выдаче собст- венного функционала, а поддержка интеграционного слоя для них вторичная задача. В результате страдают проекты заказчика, а технология SOAR, какая бы продвинутая она ни была, становится "заложником ситуации". Кроме того, каждый вендор сразу предлагает мак- симальный набор функционала своего продукта, что тормозит поэтапное, после- довательное выстраивание процессов заказчика, с учетом специфики решений других вендоров, используемых в SOC. Не стоит забывать, что все это происхо- дит на фоне роста скорости внедрения технологий и процессов, а также уве- личения потребности в ресурсах. Ключевая проблема, на которую ни один заказчик никогда не сможет повли- ять, – разрозненность роадмапов вен- доров, каждый из которых настроен исключительно на свой вектор развития. Ни один вендор не учитывает в своих роудмапах будущие потребности заказ- чика в отношении "чужих" продуктов, задачи, которые возникают на стыке технологий, да и в целом развитие тех- нологий других вендоров. И это очевид- но, так как у каждого вендора есть свои преимущества и ограничения. Экосистемное решение проблем Еще давно осознав эти проблемы, ком- пания R-Vision попыталась решить их через добавление определенных функций в свои продукты, но такой подход не при- вел к желаемым результатам. Но команда не остановилась на этом, а переосмыс- лила сам подход. Мы пошли в сторону эволюции нашего продуктового портфеля в экосистему технологий, чтобы снизить ограничение использования технологий от различных вендоров, а также ком- плексно и стратегически решать все новые задачи, которые будут появляться с развитием атак и угроз на инфраструк- туры наших заказчиков. Переход R-Vision к такому подходу стал логическим продолжением много- летней работы. Поскольку в рамках нашего продуктового портфеля мы точно знали, как интегрировать различные классы продуктов между собой, так как закладывали это в самом начале разра- ботки, изначально создавая продуктовый портфель с уникальным составом тех- нологий для усовершенствования SOC. На сегодняшний день экосистема R-Vision EVO состоит из девяти взаимо- связанных управляемых технологий и ком- понентов кибербезопасности (см. рис.). В процессе развития R-Vision EVO мы стали выявлять все большее количество задач, которые могут решить наши тех- нологии при взаимодействии с другими компонентами экосистемы. Так, напри- мер, технология SAM, помимо своих основных функций, позволяет заказчику приоритизировать, ускорять реагирова- ние и расследование инцидентов, исходя из РСМ активов. Технология UEBA поставляет аномалии в SOAR для даль- нейшей, более качественной проработки инцидентов и реагирования на угрозы, а технология Deception собирает инфор- мацию об инструментах и действиях ата- кующих в отношении инфраструктуры организа- ции и пополняет ими базу Threat Intelligence. И это лишь малая часть того функционала, которым расширились технологии экосистемы, работая в связке с другими компонентами экосистемы R-Vision EVO. Если говорить о преимуществах эко- системного подхода, то его применение позволяет заказчику эффективно рас- ходовать бюджет на ИБ за счет возмож- ности поэтапного наращивания и рас- ширения функционала по мере роста потребностей SOC, а наша многолетняя экспертиза, в частности, позволит сфор- мировать долгосрочный план развития SOC. Все это закономерно приведет к эволюции центра мониторинга и реа- гирования на инциденты, повышению общего уровня кибербезопасности. Вместо заключения Технологии злоумышленников не стоят на месте. "Щит" будет всегда опаздывать за "мечом", но это отставание можно минимизировать за счет использования тесно интегрированной экосистемы тех- нологий от одного вендора. Много лет назад, когда термина SGRC не существовало, мы стояли у истоков автоматизации менеджмента ИБ и про- двигали осознанный риск-ориентированный подход к построению комплексной системы защиты компаний. Далее начался виток развития Security Operation Center, и наш R&D предложил рынку комплекс техноло- гий SOAR для автоматизации процессов SOC, а за ним последовали технологии класса TI (Threat Intelligence. – Прим. Ред.), UEBA и Deception, которые значительно расширили список используемых инстру- ментов SOC и прочно вошли в его состав. Сейчас мы предлагаем заказчикам новый взгляд на построение и развитие SOC, с применением экосистемного под- хода, как и много лет назад, на заре формирования классов SOAR, SGRC и TI, предлагали эти новые для рынка технологии. l • 19 IRP, SOAR, SOC www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ R-Vision см. стр. 52 NM Реклама

RkJQdWJsaXNoZXIy Mzk4NzYw