Журнал "Information Security/ Информационная безопасность" #5, 2022

инфраструктуру компании. Объединение вокруг решения по кибербезопасности, такого как SOAR, позволяет повысить прозрачность и контролируемость биз- нес-процессов и информационных пото- ков, а также своевременно выявить кибе- ругрозы и отреагировать на киберинци- денты. Консолидация вокруг единого решения может также стать и единой точкой отказа для всей инфраструктуры, поэтому логично было бы выстраивать конвергенцию в виде экосистемы взаи- мосвязанных и дополняющих друг друга технологий и решений. Это могут быть как продукты от одного вендора, так и построенные на единой технологической платформе системы (например, на осно- ве стека гибких, масштабируемых и про- веренных решений Open Source). Александр Голубчиков, МегаФон: Ядром современного SOC-центра, как правило, является производительная SIEM-система, в которой тщательно настроены все необходимые источники данных, парсеры, правила корреляции, справочники, интеграции с внешними системами. Архитектурно SIEM проекти- руется для обработки большого потока событий и их корреляции, а SOAR при- нимает на вход сформированные инци- денты от SIEM и взаимодействует с большим количеством интегрируемых систем для обогащения (контекстуали- зация инцидента) и отправки управляю- щих команд в интегрированные ИТ-/ИБ- системы (сдерживание, устранение угро- зы). Серьезные SOAR-платформы пре- доставляют возможности по аналитике киберинцидентов, интеграции с постав- щиками данных о киберугрозах, воз- можности по визуализации и отчетности, а также работу в режиме мультиаренд- ности, что важно для MSSP. Например, для нашей коммерческой услуги Мега- Фон SOC мы выбрали платформу Secu- rity Vision SOAR, функционал которой оптимален для решения всех вышеупо- мянутых задач. Так что SOAR не заменяет SIEM, но существенно автоматизирует работу опе- раторов SOC-центра по управлению киберинцидентами и, таким образом, делает SOC более эффективным. Максим Степченков, RuSIEM: Краткий ответ: да, SOAR нужна, но не обязательна. В первую очередь нужно внедрить SIEM-систему, найти персонал для вашего SOC и правильно выстроить все бизнес-процессы. Если посмотреть чуть детальнее, то для выстраивания эффективной работы SOC вовсе не обязательно использова- ние SOAR. Если все процессы в SOC выстроены правильно, наняты квали- фицированные сотрудники, внедрена и корректно настроена SIEM-система, то такой SOC, безусловно, будет весьма эффективен. После того как данный этап будет выполнен в полном объеме, можно задумываться о даль- нейшем развитии вашего центра управ- ления информационной безопасностью. Для повышения эффективности работы SOC именно SOAR-системы являются одним из наиболее значимых инстру- ментов, так как предлагают множество возможностей для автоматизации про- цесса реагирования на инциденты. Роман Ванерке, ДиалогНаука: SOAR, как и SIEM, – это один из кир- пичиков эффективного SOC. Одно из основных преимуществ SOAR – это авто- матизация рутинных задач, ее еще часто упоминают как средство замены первой линии инженеров в SOC. Другим без- условным преимуществом SOAR являет- ся выстраивание понятного процесса расследования (playbook), элементы которого либо автоматизируются, либо указывают специалисту, что необходимо сделать для дальнейшего движения по процессу Данил Бородавкин, R-Vision: SOAR – это инструмент командной работы над потоком инцидентов и авто- матизации. Если не обсуждать вырож- денные случаи, то решать такие задачи в любом случае необходимо. Разуме- ется, можно использовать различные скрипты, запускать их вручную и парал- лельно использовать дополнительные инструменты для работы с потоком тике- тов (в том числе встроенные в SIEM) – на каком-то этапе развития такое реше- ние может быть приемлемым. Но если мы говорим о повышении эффективно- сти, увеличении скорости реагирования, гибкости SOC в части адаптации своих процессов под новые задачи и возни- кающие угрозы, то необходимо специа- лизированное решение, каким и являют- ся SOAR-системы. Александр Голубчиков, МегаФон: Решения XDR и SSE отличаются от SOAR не только моделью реагирования на киберинциденты: как правило, реше- ния XDR и SSE являются моновендор- ными (то есть могут интегрироваться с решениями только от одного произво- дителя), при этом SSE ориентированы только на облачные инфраструктуры. Платформы SOAR являются более уни- версальными решениями: могут исполь- зоваться и в on-prem, и в облачных инфраструктурах, а вендоронезависи- мые SOAR могут интегрироваться с решениями от различных производи- телей, что повышает гибкость внедрения. При этом зрелые SOAR-решения под- держивают распределенную установку компонент реагирования в различных сегментах сети, и установка в облаке не станет сложностью. Вероятно, в будущем вендоры все же выберут модель взаи- модействия с различными решениями, что отвечает количеству уже внедренных продуктов и скорости появления новых технологий, которые потребуется бес- шовно интегрировать в единую консо- лидированную платформу для обеспече- ния кибербезопасности. Данил Бородавкин, R-Vision: Считаю, что будущее в синергии этих подходов. Простые задачи по реагиро- ванию с низким уровнем ложноположи- тельных срабатываний, где инциденты и внедрение мер локализованы одним хостом, можно и нужно решать авто- номно на оконечных устройствах, а более сложные, требующие предварительного обогащения, оркестрации, а также интер- активного взаимодействия с пользова- телем в ходе расследования и реагиро- вания, – на уровне SOAR. l Является распределенная модель реагирования на инциденты на основе XDR и SSE противопоставлением централизованной идее, заложенной в SOAR? За каким направлением будущее в перспективе 3–5 лет? Нужна ли SOAR для эффективной работы SOC? Можно обойтись другими платформами, например SIEM? 38 • СПЕЦПРОЕКТ Ваше мнение и вопросы присылайте по адресу is@groteck.ru