Совершенствование системы информационной безопасности – основная задача любой крупной компании с серьезной ИТ-инфраструктурой, особенно если она провела цифровую трансформацию и имеет значительную долю цифровых активов. Для их сохранения нужно не просто отражать атаки, но и заниматься постоянным совершенствованием системы защиты. А этого можно достигнуть в частности с помощью расследования инцидентов и принятия ответных мер по результатам. Если вы провели анализ цепочки деятельности хакеров, то сможете понять, куда они целились, на что они рассчитывали и как можно усилить комплексную оборону инфраструктуры. Управление инцидентами и их расследование является ключевым элементом концепции SOAR – Security Orchestration, Automation and Response, которая предполагает автоматизацию деятельности по купированию нападений и работу над ошибками по результатам как отраженных, так и пропущенных атак.
SOAR – аббревиатура четырёхбуквенная, и продукты для нее, как правило, состоят из четырех основных частей:
- Сбор и накопление информации. Ядром SOAR является хранилище информации о событиях ИБ, происходящих в инфраструктуре. Эта информация может получаться как напрямую от средств защиты, так и от какого-нибудь медиатора, типа SIEM. Однако хранилище SOAR не дублирует медиатора, поскольку содержит сведения в формате, необходимом для ретроспективного расследования инцидентов при помощи индикаторов компрометации (Indicators of compromise – IoC). Впрочем, это же хранилище используется и для анализа инцидентов и визуализации результатов.
- Автоматизация. В отличии от SIEM, которая только выявляет признаки нападения – IoC, SOAR предполагает и оперативное реагирование на атаку по заранее подготовленным сценариям. Например, при обнаружении вирусной активности на каком-нибудь устройстве система предложит администратору локализовать соответствующий IP-адрес для блокирования распространения вредоносов по сети. Однако ее сценарии, как правило, носят рекомендательный характер – просто ускоряют оперативное реагирование сотрудников службы ИБ на опасные события.
- Искусственный интеллект. Сейчас в SOAR-платформах все чаще появляются различные технологии анализа данных, такие как машинное обучение и обработка больших данных. Их использование позволяет ускорить реагирование без необходимости обращения за предварительным подтверждением к персоналу. Точнее система сначала блокирует опасные, по ее мнению, действия, а потом запрашивает разрешение на блокировку от оператора. Это и позволяет перейти от мониторинга и реагирования на инциденты к их предотвращению в режиме реального времени. Однако пока этот функционал является необязательным для SOAR и подобные возможности предотвращения наступления наиболее опасных последствий от хакерских атак только тестируются.
- Расследование. Этот элемент предполагает активное взаимодействие с системами TI, из которых и получаются IoC как для оперативного реагирования, так и для ретроспективного поиска признаков нападения. Цель этой деятельности – выявить путь проникновения злоумышленника в информационную систему и тем самым определить слабые места в защите инфраструктуры. Как только подозрительная активность обнаруживается, ее необходимо проанализировать, определить методы противодействия ей и модернизировать правила реагирования на события так, чтобы в дальнейшем аналогичная активность попадала в поле зрения оперативных дежурных ИБ-службы.
В целом, SOAR – это комплексная система реагирования на нападения, которая рассчитана на большие инфраструктуры или представление услуг по защите клиентов. Она может быть сильно распределенной с накоплением данных на нескольких технологических площадках, реагированием в составе SOC и расследованием инцидентов в специально выделенном подразделении. Понятно, что внедрение SOAR требует, как минимум внедрения медиатора для обработки сообщений, поступающих от средств защиты, настройки правил автоматизации с помощью сценариев реагирования, интеграции с TI-сервисами и экспертизы по проведению расследований.