Как автоматизация закрывает бреши в безопасности

Дефицит ИБ-кадров и рост атак побуждают бизнес автоматизировать реагирование. В интервью об окупаемости SOAR, приоритете простых сценариев и импортозамещении рассказывает Алексей Тихонов, руководитель группы расследования инцидентов ИБ Infosecurity «Софтлайн Решения» (ГК Softline).

– Алексей, информационная безопасность сегодня переживает острый кадровый голод, а количество атак только растет. Насколько инструменты класса SOAR способны решить эту проблему без кратного увеличения штата?

– Многое зависит от зрелости информационной безопасности в компании. Существует достаточно крупных компаний, где SIEM не используется вовсе. Встречаются структуры, в которых штат ИБ ограничен одним-двумя специалистами, совмещающими функции по организационно-распорядительной документации и сопровождению средств защиты информации. Бывает и так, что целый SOC, Центр мониторинга и реагирования на инциденты, представлен в единственном лице. При таком подходе, естественно, поддержка и развитие еще одной сложной платформы становится задачей заведомо невыполнимой. Но даже в небольшом SOC грамотное применение SOAR (прим. — Security Orchestration, Automation and Response, класс программных решений) способно впоследствии высвободить существенный временной ресурс команды за счет автоматизации.

– Вендоры SIEM и XDR наращивают встроенную автоматизацию — не «умрет» ли SOAR как класс в ближайшие годы?

– Сегодня многие ИТ-продукты, расширяя собственный функционал, стремятся занять нишу смежных решений. SOAR-платформы — не исключение: некоторые из них уже предлагают встроенные SIEM-модули с готовыми пакетами правил корреляции. Иногда за этим стоит не только маркетинг, но и вполне рабочий инструментарий. Как минимум, конкуренция двигает прогресс, и вполне вероятно, что в обозримом будущем мы станем свидетелями появления качественных универсальных платформ либо тесной коллаборации продуктов разных вендоров.

Полагаю, в перспективе SIEM, XDR, SOAR (прим. — ключевые классы систем ИБ для защиты ИТ-инфраструктуры) должны быть объединены в единую экосистему. Определенные намеки на такое движение уже видны у некоторых зарубежных вендоров. При этом важно понимать: автоматизация и применение искусственного интеллекта меняют форму реализации процессов, но не их суть. Как и прежде, необходимо создавать правила корреляции, разрабатывать плейбуки и выстраивать интеграции.

Для нас, как для MSSP-провайдера (прим. — Managed Security Service Provider, внешняя компания, предоставляющая услуги по аутсорсингу ИБ), критически важны широкая функциональность и гибкость инструментов. Полагаю, что с тем объемом возможностей, который сегодня предлагают классические SIEM-решения, поставленных целей не достичь. При этом не исключаю, что для некоторых корпоративных (in-house) SOC достаточно будет одного универсального продукта. И вовсе не факт, что таким продуктом станет именно SIEM.

В пользу SOAR говорит, в частности, то, что его область применения не ограничивается событиями из SIEM или средств защиты информации. Наши клиенты часто используют ручное заведение инцидентов, которые необходимо регистрировать и расследовать, как по событиям из источников, заведенных в SIEM, так и иным артефактам.

– Говорят, что внедрение SOAR — это история про ощутимый возврат инвестиций (ROI). На каких сценариях бизнес быстрее всего почувствует эффект и увидит сэкономленные деньги?

– Для SOC, особенно работающих в модели MSSP, платформы класса SOAR открывают широкие возможности для разработки механизмов по сокращению времени реагирования на инциденты.

Рассмотрим на примере сценария «подозрительной сетевой активности» — атаки или сканирования. При регистрации подобного инцидента SOAR-платформа позволяет автоматически обогатить событие данными об атакующих адресах, и, при необходимости, заблокировать их на межсетевом экране. Для бизнеса это означает переход от реагирования постфактум к предотвращению ущерба в моменте, что кратно снижает потенциальные потери от простоя или утечки данных.

В некоторых сценариях без верификации действий конечным пользователем невозможно определить легитимность события. С помощью SOAR оповещение о событии, уже содержащее сформированные рекомендации по реагированию, может быть направлено непосредственно ответственному лицу, минуя стандартные и часто многоступенчатые линии мониторинга. Причем для обеспечения максимальной оперативности каналы связи могут гибко настраиваться, например, переключаться с электронной почты на мессенджеры в зависимости от времени суток. Это напрямую влияет на скорость восстановления и, как следствие, на финансовые показатели.

– Но есть и обратная сторона: многие компании разворачивают платформу, а потом не могут ее полноценно использовать. Почему софт не работает «из коробки» и к чему здесь готовиться бюджету и ИТ-отделу?

– Развернуть платформу — это даже не полдела. Безусловно, low-code системы (прим. — метод проектирования и разработки приложений с минимумом написания кода) существенно снижают трудозатраты на техническую разработку плейбуков. Но, как правило, в чистом виде редко закрывают все потребности конкретной организации — его почти всегда приходится адаптировать под свои потребности. При этом нельзя забывать о необходимости технической и сетевой интеграции между системами, а также о проработке самой логики плейбука.

По сути, ключевые требования к команде остаются прежними: нужны грамотные аналитики и инженеры. Но главное отличие в том, что время на реализацию плейбуков после внедрения SOAR существенно сокращается, а значит, уменьшается и time-to-value для бизнеса. Аналогичная ситуация складывается и с внедрением искусственного интеллекта в информационную безопасность.

Для организаций с небольшим штатом специалистов ИБ или не имеющим достаточных компетенций стоит обратить внимание на сервис MSSP-провайдера. Готовые платформы с SIEM, SOAR и опыт партнера не только избавят от огромных вложений на старте, но и обеспечат быстрое реагирование на угрозы.

– Если говорить об изменениях в команде: как трансформируется повседневная работа SOC-аналитика после выхода SOAR в «боевой» режим? Сократится ли штат или просто изменится профиль сотрудников?

– Понятие «SOC-аналитик» обширное. В целом, у команды центра мониторинга появляется принципиально больше возможностей для автоматизации рутинных операций, написания сложных, многоступенчатых плейбуков и реализации того функционала и интеграций, о которых ранее только задумывались, но откладывали в силу существенных трудозатрат на разработку. Сотрудники перестают быть «ручными» исполнителями и превращаются в архитекторов процессов защиты, что повышает их ценность для бизнеса. Эксплуатация SOAR в боевом режиме — это непрерывная эволюция процессов реагирования. Всегда найдутся направления, которые можно улучшить и автоматизировать.

– Крупный бизнес в России — это сложная гетерогенная инфраструктура с десятками legacy-систем. Сколько интеграций нужно выстроить, чтобы автоматизация реально «полетела» и не разочаровала топ-менеджмент?

– Все определяется масштабами инфраструктуры и спецификой решаемых задач. В крупной распределенной среде количество коннекторов и внешних систем, интегрируемых с SOAR-платформой, может исчисляться десятками. Помимо SIEM, такие системы могут собирать события напрямую с источника, получать информацию об активах, обогащать данные (например, платформы TI), отправлять и принимать уведомления по разным каналам связи, обеспечивать двустороннюю синхронизацию с ITSM-решениями, отправлять отчеты (например, в ФинЦерт), а также реализовывать механизмы активного реагирования на инциденты. Критически важно подружить весь зоопарк средств защиты информации с возможностью управления процессами из единой точки.

– Насколько сегодня российские SOAR-платформы готовы к работе в такой сложной среде и можно ли на них строить долгосрочную стратегию?

– Около 3 лет я занимаюсь развитием SOAR-платформы в SOC нашей компании. Хорошо известно, что на начальном этапе массового перехода на отечественные ИТ-решения многие сталкивались с определенной «сыростью» продуктов. Для решения собственных задач мы разрабатывали дополнительные модули и наш SOAR даже на тот момент предлагал высокую гибкость в low-code-разработке и широкие возможности интеграции с внешними системами.

За это время эволюция продукта стала более чем заметной. Вендор оперативно устраняет выявленные недостатки и активно развивает библиотеку коробочных функциональных модулей, что позволяет существенно ускорить внедрение платформы у новых заказчиков. Поэтому сегодня SOAR вполне готов к решению широкого круга задач. Хотя, безусловно, направления для дальнейшего развития еще остаются. Но стратегически опираться на отечественные решения вполне можно — они закрывают потребности бизнеса в автоматизации и продолжают активно совершенствоваться.