22.03.202322.03.2023 Юлия МальцеваЮлия Мальцева 0 Comment

Хотя концепции SOAR исполнилось всего пять лет, тем не менее российские разработчики уже достаточно давно приступили к разработке SOAR-продуктов. На рынке есть достаточно много разработчиков средств защиты, которые уже выпустили соответствующие продукты. Как правило, SOAR-продукты являются модулями для более общих платформ или экосистем средств защиты, на базе которых строятся решения SOC или защиты крупных холдинговых структур. У продуктов есть вполне понятные направление развития – совершенствование искусственного интеллекта и интеграция с максимальным количеством средств защиты. 

Вот их список:

  • ePlat4mSecurityGRC. Разработчиком продукта ePlat4m Security GRC является екатеринбургский системный интегратор ООО «Компания Информационных Технологий» (ООО «КИТ»). Решение “Система автоматизации обеспечения безопасности (САОБ)” – программный комплекс на базе ePlat4m, обеспечивающий автоматизацию процессов ИБ и их интеграцию в систему управления организацией. Модуль «Управление информированием по вопросам ИБ» (УИВИБ) позволяет автоматизировать процессы регистрации и обработки инцидентов ИБ, создавать оповещения, хранить статистику и результаты проведенных расследований. Кроме модуля реагирования на инциденты, в продукте также присутствует модуль «Центр ГосСОПКА» для организации взаимодействия с НКЦКИ.
  • InnostageNSIRP. Эта разработка казанской компании Innostage в основном предназначена для управления инцидентами, тем не менее она позволяет заниматься расследованием инцидентов, устранением уязвимостей и контролем его корректности, сбором статистики и подготовкой отчетов, а также взаимодействием с ГосСОПКА. Так что основные функции SOAR, которые могут потребоваться российским пользователям, в ней реализованы.
  • JetSignal. Это продукт отечественной ИТ-компании «Инфосистемы Джет», который можно использовать для управления инцидентами ИБ. Система Jet Signal, вероятно, была создана для определенного заказчика. Упоминания о компаниях, которые использует продукт, отсутствуют. Документация по Jet Signal, размещенная в открытом доступе на официальном сайте, датируется 2017 годом. Система имеет сертификаты соответствия требованиям безопасности. 
  • MakvesIRP. Продукт разработан отечественной компанией Makves. Он предоставляет сотрудникам службы безопасности инструменты для регистрации инцидентов, управления их жизненным циклом и создания типовых сценариев реагирования на события. Хотя в продукте и есть функционал расследования инцидентов, однако он построен скорее по методике управления техническим обслуживанием с минимумом автоматизации. Так что этот продукт пока еще не перерос в SOAR, хотя и имеет все необходимые технологии для этого.
  • PTXDR/O2 и «ПТ Ведомственный центр». Выпущенный компанией Positive Technologies в 2022 году продукт Extended Detection and Response предназначен в первую очередь для выявления киберугроз и реагирования на них. Система относится к средствам обеспечения информационной безопасности на базе клиент-серверной архитектуры, предназначена для обнаружения угроз на серверах и рабочих станциях корпоративной сети и реагирования на них. Сама по себе она является инструментом управления инцидентами, однако совместно с метапродуктом maxPatrol O2, решение позволяет проводить расследование инцидентов со всеми возможностями, предусмотренными в концепции SOAR. Кроме того, в арсенале разработчика есть также другой продукт – «ПТ Ведомственный центр», который относится к классу классического IRP, поскольку предназначен для автоматизации процесса обработки инцидентов и информирования о них НКЦКИ и других отраслевых CERT.
  • R-VisionSOAR. Продукт разработан компанией R-Vision для агрегирования данных по инцидентам из множества источников, автоматизации обогащения, реагирования и внедрения защитных мер, обеспечения единого пространства для совместной работы ИБ-специалистов. Компания также разрабатывает решения для анализа состояния кибербезопасности и выявления аномалий (R-Vision SENSE), для обнаружения атак с помощью программных ловушек (R-Vision Threat Deception Platform), для создания центров мониторинга ГосСОПКА (R-Vision КИИ), для управления данными киберразведки (R-Vision Threat Intelligence Platform), а также для централизованного управления информационной безопасностью (R-Vision SGRC).
  • SecurityVisionIRP/SOAR. Этот продукт создан ГК «Интеллектуальная безопасность» для автоматизации действий по реагированию на ИБ-инциденты. Это модуль более общей платформы кибербезопасности Security Vision. Она также включает в себя модули управления соответствием законодательным требованиям и контроль ИБ (Security Vision SGRC/auto-SGRC), обеспечения безопасности критической информационной инфраструктуры при работе с ГосСОПКА (Security Vision КИИ), построения SOC-центров (Security Vision SOC), а также управления киберрисками и операционными рисками (Security Vision CRS).
  • UserGate. Функции SOAR реализованы в контексте сетевой безопасности в продуктах UserGate 5 — российском межсетевом экране нового поколения. В нем также реализованы и множество других модулей для организации системы безопасности предприятия: IDS/IPS, VPN-шлюз, SSL-инспектор, обратный прокси, антивирус, защита электронной почты и даже сборщик статистики, с поддержкой анализа событий ИБ (SIEM-функционал). Технологии UserGate позволяют анализировать поведение различных процессов, выявлять риски и автоматически обеспечивать на основе этого анализа адекватную реакцию, организуя эффективную защиту от угрозы или просто от аномального поведения.

Видно, что большая часть продуктов SOAR является модулем или элементом более общей платформы для организации защиты ИТ-инфраструктуры и расследования инцидентов. Также можно констатировать, что на отечественном рынке сейчас доступно достаточно много продуктов, которые можно отнести к категории SOAR. За 2022 год они прошли боевую проверку на отражении и расследовании инцидентов, которых было очень много.

SOAR Информационная безопасность Новости