Журнал "Information Security/ Информационная безопасность" #5, 2022

в организации виду, настройка пра- вил и поиск похожих инцидентов. 2. Автоматизация реагирования с использованием гибко настраивае- мых сценариев. 3. Оркестрация внешних систем, выполнение управляющих воздей- ствий в рамках сценариев реагиро- вания. 4. Гибкое разграничение доступа, распределение нагрузки между опе- раторами системы, организация совместной работы нескольких линий SOC. 5. Инвентаризация, контроль ИТ- активов и установленного ПО, обна- ружение несанкционированных под- ключений оборудования, агрегация информации об уязвимостях и управ- ление процессом их устранения. 6. Взаимодействие с регуляторами и провайдерами услуг безопасности прямо из карточки инцидента. Security Vision Incident Response Platform (IRP/SOAR) Компания Security Vision одной из первых начала разработку платформы автоматизации реагирования на инци- денты. Система обеспечивает автома- тическое выполнение дежурных проце- дур в режиме реального времени, поз- воляет сократить время реагирования на инциденты в части идентификации, локализации, уничтожения и восста- новления. Security Vision снижает влия- ние человеческого фактора и ошибок персонала, привлекаемого к реагиро- ванию на инциденты кибербезопасно- сти, сокращает время реагирования за счет автоматизации набора заранее разработанных процедур и сценариев реагирования, реализованных в компо- нентах системы. Для работы с источниками данных система поддерживает агентную и без- агентную интеграцию, имеет накопи- тельную базу знаний и позволяет авто- матически анализировать ранее случив- шиеся инциденты безопасности. В систе- ме реализован полноценный Ticketing Workflow с редактором процессов, а также функция проведения киберуче- ний Security Awareness для информиро- вания сотрудников об информационной безопасности. Возможности Secyrity Vision IRP/SOAR. 1. Встроенные механизмы корреля- ции. Встроенные механизмы обра- ботки получаемой информации от внешних систем для автоматическо- го обнаружения инцидентов кибер- безопасности. 2. Продукты Security Vision допол- няют друг друга, обеспечивая ком- плексную безопасность и финансо- вые преимущества использования систем класса IRP/SOAR, SGRC, CRS на одной платформе. Встроенный в Security Vision IRP/SOAR конструктор процессов реагирования покрывает полный жизненный цикл реа- гирования на инциденты. Он позволяет выстроить автоматизацию реагирования в соответствии с рабочими процессами, включая автоматизацию выполнения рутины, связанной с внесением изменений во внешние ИТ-системы и выполнением запросов к этим устройствам для получе- ния данных (обогащение информации об инциденте). Это позволяет заказчику фор- мировать структуру, логику и наполнение решения под бизнес-задачи заказчика без привлечения разработчиков. Универсальные коннекторы имеют широкий спектр механизмов взаимо- действия с источниками данных, они апробированы более чем на 2 тыс. источниках. Экосистема решений UserGate SUMMA Российская компания UserGate, боль- ше известная своим межсетевым экра- ном нового поколения, решила усилить экосистему своих решений SUMMA и системой класса SOAR. Технологии, используемые в новой операционной системе UGOS 7.0, позволяют реализо- вать функциональность, соответствую- щую современной концепции SOAR: ана- лизировать протекание различных про- цессов, выявлять инциденты и на основе этого анализа на самой ранней стадии автоматически обеспечивать адекватную реакцию, защищающую от угрозы или просто от аномального поведения. Функциональность в основном рас- пределена между продуктами UserGate Log Analyzer (LogAn), UserGate Manage- ment Center и UserGate Client, ее можно развернуть и без использования NGFW этого же производителя. Возможности SOAR компании User- Gate. 1. Оценка состояния информацион- ной безопасности компании, види- мость событий безопасности. 2. Мониторинг событий безопасно- сти в реальном времени и расследо- вание инцидентов. 3. Ретроспективный анализ событий безопасности, хранение и резерви- рование данных. 4. Автоматизация процессов без- опасности. 5. Подключение к личному кабинету ГосСОПКА и отправка информации об инцидентах в ручном или автома- тическом режимах. Надо ли привлекать интеграторов и консультантов для внедрения IRP/SOAR? Во многом необходи- мость привлечения интег- раторов и консультантов зависит от следующих основных факторов: l наличие у заказчика свободных ресур- сов для осуществления проекта своими силами; l достаточность описания процессов реагирования на инциденты ИБ в ком- пании; l наличие компетенции по продукту; l возможность выбора наиболее опти- мального способа для контроля над инцидентами ИБ. Для обеспечения эффективности внед- ряемых систем необходимо хорошо про- вести подготовку на начальном этапе проекта, а именно определить, какие основные процессы должны автомати- зироваться и шаблонизироваться, чтобы обеспечить прозрачность процедур реа- гирования на инциденты ИБ. На этом этапе интегратор может помочь в опи- сании процессов и подсказать, с чего стоит начать в первую очередь, исходя из своей практики и наработанного опыта. Опыт cистемного интегратора уже на этапе выбора позволяет подобрать наи- более подходящий под нужды заказчика системный продукт, а анализ инфра- структуры заказчика – проработать опти- мальную архитектуру с возможностью дальнейшего масштабирования. Кроме того, каждый продукт нуждает- ся в адаптации к потребностям заказчи- ка, к используемым в его инфраструкту- ре системам, сервисам и продуктам. Опытный интегратор еще на этапе про- ектирования архитектуры ИБ может ука- зать на подводные камни и скорректи- ровать план внедрения того или иного решения. Обращение в компанию, которая на постоянной основе занимается внедре- нием ИБ-решений, позволит также суще- ственно сократить время внедрения системы IRP/SOAR, успешно запустить ее в эксплуатацию, сократив операцион- ные расходы на внедрение. Заключение Важно не забывать, что главная цель внедрения системы IRP/SOAR – упро- щение работы сотрудникам подразде- лений ИБ и снижение влияния челове- ческого фактора при реагировании на инциденты. Кроме того, внедрение систем этого класса позволит сократить время реакции на инциденты ИБ и уве- личить скорость их расследования. Необходимо задать эти метрики на стар- те проекта внедрения IRP/SOAR, чтобы по его окончании появилась возмож- ность представить бизнесу результат проекта в понятных ему терминах и повысить значимость службы ИБ для топ-менеджмента. l • 25 IRP, SOAR, SOC www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ "Лаборатория информационной безопасности" см. стр. 52 NM Реклама