SOAR-платформы на российском рынке: основные игроки

Дата: 02.05.2021. Автор: Александр Человеков. Категории: Отчеты и исследования по информационной безопасности
SOAR-платформы на российском рынке: основные игроки

По материалам Аналитического обзора SOAR-платформ коллектива преподавателей МГТУ им. Н.Э. Баумана, исходные данные приложены.

Развитие цифровой экономики и миграция бизнес-процессов в онлайн, ускорившиеся за время пандемии, вполне ожидаемо привели не только к еще большему распространениюИТ-сервисов и решений, но и к разгулу киберпреступности, чьи представители воспользовались сложившейся во время мирового локдауна  ситуацией в своих целях, что подтверждается как официальной статистикой силовых ведомств, так и утверждениями вендоров и специалистов по ИБ. В связи с этим остро встал вопрос ускорения процессов реагирования на киберинциденты, количество которых устойчиво росло на протяжении последних лет, а резкий всплеск пришелся как раз на пандемию. 

Стабильная нехватка квалифицированных кадров в области кибербезопасности лишь усугубляет ситуацию, в которой оказывается современная крупная компания: инцидентов ИБ становится все больше, регуляторные требования растут, увеличивается количество бизнес-процессов, переходящих в киберпространство, со всеми сопутствующими рисками. При этом оснащенность SOC-центров большим количеством современных, непрерывно эволюционирующих средств защиты также требует квалифицированного персонала, которому предстоит разобраться с многообразием консолей и интерфейсов, аработать в во время расследования инцидента нужно быстро и грамотно. Все эти особенности современной кибербезопасности рождают определенные ожидания заказчиков и, соответственно, подталкивают производителей ИБ-продуктов к частичной или даже полной автоматизации рутинных операций по обработке инцидентов ИБ — сборуинформации из различных СЗИ, её обогащению, приоритизации инцидентов, выполнениютиповых операций по сценарию (например, получение хэшей запущенных процессов и списка сетевых подключений, первичный анализ состояния устройства, его изоляция от сети и т.д.). Фактически речь идет о замене легко роботизируемых действий на сценарии реагирования, которые сейчас выполняют специалисты по кибербезопасности иотрабатываются специализированными СЗИ. Эксперты ИБ даже говорят о возможной будущей полной замене роли SOC-аналитиков L1 на системы реагирования, которые будут дежурить 24/7 и выполнять задачи с прогнозируемым результатом — преимущества автоматизации всем известны и легко понятны руководству и бизнесу. Первые решения для полноценной автоматизации большинства процессов реагирования на киберинциденты появились 5-6 лет назад и назывались IRP — Incident Response Platform, т.е. платформы реагирования на киберинциденты. Многие из этих систем «выросли» из решений по ИТ-автоматизации, но некоторые создавались изначально с прицелом на кибербезопасность. Однако, IRP-продукты достаточно быстро эволюционировали в платформы SOAR — Security Orchestration, Automation and Response, т.е. решения по оркестрации, автоматизации и реагированию на инциденты ИБ. Такие платформы хорошо зарекомендовали себя при комплексном решении задач автоматизации реагирования на киберинциденты и пользуются заслуженной популярностью в центрах SOC и у крупных заказчиков со зрелыми, выстроенными процессами управления ИБ. SOAR-платформы предоставляют возможности для упрощения анализа и обогащения данных об инциденте, для автоматизации обнаружения, сдерживания, устранения кибератаки, восстановления после киберинцидента, с последующим поиском причин его возникновения. Решения класса SOAR позволяют осуществлять управление (оркестровку) всем множеством ИТ/ИБ-решений из единой консоли, что ускоряет и упрощает процессы реагирования. Сейчас на рынке также представлены решения класса XDR — Extended Detection and Response, т.е. системы, обеспечивающие расширенное обнаружение и реагирование на киберинциденты. XDR-решения могут прекрасно показать себя в рамках экосистемы одного вендора, когда и сбор, и корреляция, и реагирование на киберинцидент осуществляются средством защиты одного производителя. Такой подход имеет как очевидные плюсы, так и минусы: придется либо заменять СЗИ от других вендоров, либо мириться с недостаточной видимостью инфраструктуры средствами защиты, а также соглашаться с полной зависимостью от единственного производителя. Отметим также, что некоторые вендоры в последнее время начали продвигать концепцию систем класса NG-SIEM (Next GenerationSIEM), которые являются «комбайном» из SIEM-системы, UEBA-модуля поведенческого анализа, модуля интеграции с системами обработки данных киберразведки, а также модуля для реагирования на киберинциденты, однако такому классу решений еще только предстоит показать себя.

Итак, в сегодняшнем обзоре мы рассмотрим 5 продуктов класса SOAR от зарубежных и отечественных вендоров. SOAR-решения предлагают функционал создания сценариев реагирования (playbooks) в интуитивно-понятном графическом интерфейсе, опции совместной работы аналитиков над инцидентами, интеграционные опции для взаимодействия с разнообразными ИТ/ИБ-средствами и системами, возможности создания действий по реагированию и локализации угроз, например, в виде скриптов, запускаемых на СЗИ или атакованных устройствах. Кроме того, SOAR-платформы помогают визуализировать инциденты на дашбордах и графиках, а также могут предоставлять возможности реагирования, построенные на базе искусственного интеллекта, машинного обучения, обработки «больших данных». Мы постараемся продемонстрировать самые интересные «фишки» отобранных в алфавитном порядке популярных в России решений и расскажем как об особенностях конкретных платформ, так и об общих для всех рассматриваемых продуктов свойствах.

1. IBM Security SOAR

Первым на очереди будет решение от компании IBM из США, которая знакома специалистам по ИБ своей SIEM-системой IBM QRadar. Именно для автоматизации процессов реагирования на создаваемые QRadar инциденты и был приобретен стартап Resilient, который уже в стенах IBM получил имя IBM Security SOAR. Данный продукт интересен своей тесной интеграцией с SIEM-системой QRadar, возможностью расширения функционала путем установки приложений из маркетплейса IBM X-ForceExchange, а также поддержкой зарубежного законодательства и комплаенс-процедур, необходимых при реагировании на некоторые виды инцидентов, например, на утечки персональных данных (через опциональный модуль Privacy add-on). Продукт поддерживает установку в облаке и «на земле» (on premises), виртуализацию и работу в MSSP-провайдерах с помощью компонента MSSP add-on, который лицензируется отдельно. В данном решении присутствует графический редактор рабочих процессов, возможность создания скриптов реагирования (на Python), а также интеграция с более чем 180 различных систем и средств от разнообразных вендоров, включая системы CyberThreat Intelligence. Решение поддерживает также простую интеграцию с ИТ/ИБ-системами, которую может настроить сам пользователь с помощью фирменного механизма Resilient App Host. Более того, вендор предоставляет пользователям свой SDK для создания и интеграции кастомных Resilient-приложений. Широкие возможности RESTful API-интеграции позволяют настроить двухстороннее взаимодействие с ИТ/ИБ-системами, с доступом ко всем компонентам решения через API и внутренней передачей информации в стандартных JSON-объектах. Не забыто и удобство эксплуатации: пользователь системы может легко настроить внешний вид решения под себя с помощью тем оформления всего интерфейса решения, а отображение инцидентов («карточки инцидентов») кастомизируется с помощью функции Incident Layouts. Для разработчиков, которые планируют настроить интеграцию своих продуктов с IBM Security SOAR, компания предлагает веб-портал для девелоперов, свой GitHub-репозиторий, а также общение в сетевом сообществе пользователей продукта. Однако, есть у решения и некоторые минусы: например, не реализован механизм отсеивания ложноположительных инцидентов, нет возможностей встроенной корреляции и удаления задвоенныхинцидентов (дедупликации). Функционал оповещения об инцидентах и чаты реализуются не встроенными средствами, а только с помощью устанавливаемых из маркетплейса приложений, также как и методы машинного обучения, которые становятся доступны при установке соответствующего приложения.

2. PaloAlto Cortex XSOAR

Североамериканская компания PaloAlto известна своими системами сетевой безопасности, однако приобретение стартапа Demisto послужило основой развития собственного продукта для реагирования на инциденты ИБ — PaloAlto Cortex XSOAR. Данное решение поддерживает установку в облачной инфраструктуре Azure и AWS, также как и развертывание через Docker, в физической и виртуальной on-prem инфраструктурах. Интересной особенностью данного решения является бесплатная Community Edition, которая ограничена в функционале, но может закрыть некоторые потребности и позволит ознакомиться с функционалом решения перед приобретением. Для реагирования можно использовать скрипты на JavaScript и Python, а совместную работу над инцидентом вести в «War Room» — виртуальном пространстве, содержащем все необходимые данные по инциденту, из которого можно выполнить действия по реагированию. Плейбуки поддерживают формат YAML, что делает их универсальными и готовыми к обмену с коллегами и сообществом специалистов по ИБ через маркетплейс вендора. Для проверки созданных сценариев реагирования и интеграций предоставляется Playground — тестовая «песочница». Решение также отличается самой широкой поддержкой сторонних ИТ/ИБ-систем: вендор заявляет о более чем 500 готовых интеграциях, при этом пользователи могут создать свои интеграции во встроенной среде XSOAR IDE. Для работы с некоторыми внешними системами может применяться модуль DBot, оснащенный функционалом машинного обучения, который, например, может получить данные из систем Cyber Threat Intelligence, проанализировать индикаторы компрометации, отфильтровать ложные срабатывания, обеспечить взаимодействие сотрудников через мессенджер Slack. При этом искусственный интеллект также поможет классифицировать и приоритизировать новые инциденты и подскажет, какого аналитика лучше всего назначить на тот или иной инцидент, в зависимости от его предыдущих успехов и опыта. Отметим и то, что, в отличие от других сравниваемых SOAR-платформ, решение от PaloAltoподдерживает работу агентов реагирования на киберинциденты, которые могут быть установлены на ОС Windows, MacOS и Linux для выполнения на них команд реагирования и сбора данных для расследований. К минусам решения PaloAlto Cortex XSOAR можно отнести отсутствие поддержки нормативных документов, необходимых для реагирования и выполнения законодательных требований, а также потенциальную сложность администрирования (решение требует установки как минимум двух отдельных серверов).

3. R-Vision IRP

Российская компания R-Vision получила свою первоначальную известность как производитель решения класса SGRC (Security Governance, Risk Management, Compliance), заточенного на обработку киберрисков в банковской отрасли. С тех пор у вендора появились новые продукты и решения — например, Threat Intelligence платформа, система выявления аномалий и решение класса Threat Deception Platform для создания ловушек и приманок для атакующих. В нашем сегодняшнем обзоре — продукт R-Vision IRP, который обладает такими очевидными преимуществами по сравнению с западными конкурентами, как сертификат ФСТЭК России, присутствие в реестре отечественного ПО, база нормативно-правовых актов РФ, техподдержка и документация на русском и английском языках. По функциональным характеристикам данное решение имеет достаточно богатый функционал для возможности сравнения с зарубежными игроками: предлагаются и множество предустановленных сценариев обработки киберинцидентов, и графический редактор сценариев для создания пользовательского контента, и интеграция с несколькими десятками ИТ/ИБ-систем, и обработка и извлечение полезных данных из поступающих событий ИБ, а также совместная работа аналитиков над инцидентами и кастомизация отображения данных. Опции непосредственно реагирования включают в себя возможности выполнения автоматических действий в зависимости от преднастроенныхлогических условий, а также возможность ручного выполнения команд реагирования и скриптов (Windows Batch и PowerShell, Linux Shell, Python) на подключенных устройствах. Решение поддерживает работу с отечественными системами ФинЦЕРТ (ЦБ РФ) и ГосСОПКА (НКЦКИ), что обеспечивает автоматизацию отправки данных об инцидентах для выполнения требований законодательства РФ о защите критической информационной инфраструктуры. Из минусов отметим отсутствие поддержки механизмов машинного обучения, ограниченный функционал оповещений и средств коммуникации, отсутствие поддержки версионности сценариев реагирования, а также отсутствие «песочницы» для тестирования плейбуков перед их внедрением. При этом в целом решение R-Vision IRP за счет использования смежных модулей других продуктов R-Vision и интеграции с отечественными СЗИ может быть хорошим вариантом по сравнению с западными SOAR-решениями.Для поддержки этого продукта потребуются компетенции в Open Source платформах, поскольку решение устанавливается на *NIX-подобную ОС, что существенно повышает планку требований к квалификации (и стоимости) администратора ИБ.

4. Security Vision IRP/SOAR

Отечественный вендор Security Vision был фактически пионером российского IRP-рынка. Со временем IRP-решение эволюционировало в полноценную SOAR-платформу, которая тесно интегрирована с решением Security Vision SGRC в части использования модулей графического построения рабочих процессов (workflow) обработки инцидентов, управления активами, уязвимостями и киберрисками, обработки данных киберразведки, визуализации, отчетности, совместной работы над инцидентами. В решении также используется проприетарная технология Auto-SGRC, которая позволяет менять настройки контролируемых активов для возврата в целевое безопасное состояние, что будет полезным для комплаенс-проверок, и для этапа восстановления после киберинцидента. Платформа использует безагентный доступ к устройствам для получения данных об их состоянии и передачи управляющих команд при реагировании, включая выполнение скриптов на скриптов Windows Batch и PowerShell, Linux Shell, Python, JavaScript, команд WMI и Java, работая с активами напрямую. Список интеграций с ИТ/ИБ-системами у Security Vision IRP/SOAR включает в себя 100+ решений, с которыми обеспечивается двухстороннее взаимодействие, и этот перечень может пополнить сам пользователь, используяфункционал создания новых коннекторов. Решение предлагает возможности по автоматизации процессов приоритизации инцидентов, отсеивания false-positive, корреляции и дедупликации поступающих событий ИБ, присутствует также возможность маппинга инцидентов в соответствии с матрицей MITRE ATT&CK и установки меток конфиденциальности на карточку инцидента по модели Traffic Light Protocol (TLP). В базе нормативных документов продукта есть актуальные законы и стандарты, присутствует также возможность загрузки пользовательских стандартов и baseline. Продукт SecurityVision IRP/SOAR обладает расширенной поддержкой механизмов машинного обучения, которые используются для автоматического выбора и исполнения подходящих действий по реагированию, а также (вместе с модулем «Big Data») для анализа истории инцидентов в целях выбора наиболее оптимального сценария реагирования; поддерживается загрузка пользовательских ML-моделей. Продукт сертифицирован ФСТЭК России и состоит в реестре отечественного ПО, поддержка осуществляется круглосуточно на русском и английском языках, поддерживается взаимодействие с ФинЦЕРТ (ЦБ РФ) и ГосСОПКА(НКЦКИ). Платформа Security Vision IRP/SOAR устанавливается как на Windows, так и в *NIX-среду, что облегчит администрирование и дает гибкость в вопросах выделения инфраструктуры. К минусам решения можно отнести отсутствие доступного для сообщества маркетплейса, как это реализовано у некоторых зарубежных конкурентов.

5. Siemplify

Решение от израильского производителя Siemplify заточено на обработку поступающих событий от SIEM-систем, при этом продукт позиционируется как вендоро-нейтральный и обладающий расширенными возможностями API-интеграций. В Siemplify поддерживается создание пользовательских Python-скриптов и сценариев реагирования, для чего можно использовать встроенную IDE-среду. Вендор предоставляет маркетплейс с интеграциями и сценариями реагирования от сообщества с возможностью распространения их между пользователями решения. Продукт предлагает такую интересую функцию, как версионность плейбуков с возможностью восстановления предыдущей версии в случае некорректных изменений. Предлагается также и процедура тестирования плейбуков и кейсов в специальном выделенном тестовом пространстве-песочнице. Для работы с данными киберразведки вендор предлагает использовать фирменную технологию Siemplify ThreatFuse, которая была разработана совместно с CTI-компанией Anomali и использует машинное обучение для обработки данных индикаторов компрометации. Решение позволяет обрабатывать киберинциденты на удаленных площадках с помощью устанавливаемого локально мультиплатформенного Python-агента. Siemplifyподдерживает также отсеивание ложноположительных срабатываний, обработку и корреляцию входящих событий ИБ. Для совместной обработки инцидентов предоставляется специальный интерфейс «Command Center», в котором собирается вся актуальная информация по кейсу, отображаются текущие задачи и timeline инцидента. При этом в продукте широко не применяются механизмы искусственного интеллекта, нет базы нормативных документов, а также присутствуют некоторые «вшитые» неизменяемые настройки, что не позволяет полностью кастомизировать решение под себя — и это можно отнести к минусам данной системы. Кроме этого, по сравнению с западными конкурентами, Siemplify проигрывает как по количеству преднастроенных интеграций, так и по возможностям создания пользовательского контента (плейбуков, скриптов реагирования). К плюсам можно отнести глубокую интеграцию с Python, что позволит «допилить» некоторые функции, а также независимость от производителей средств защиты, что будет плюсом для гетерогенных, разнородных ИТ/ИБ-инфраструктур.

Вложения: обзор мирового рынка SOAR часть 1, обзор мирового рынка SOAR часть 2.

Александр Человеков

Об авторе Александр Человеков

Сертифицированный эксперт в области сетевых технологий и информационной безопасности. 2xCCIE (RS, SP), CCSP Security, CCSE, CEH.
Читать все записи автора Александр Человеков

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *