Дмитрий Беляев: Современные SOAR-платформы берут на себя от 70 до 90% рутинных операций
Сфера информационной безопасности демонстрирует высокие темпы роста. Если прежде для создания защитных систем применялись изолированные продукты, данные журналов сводились в Excel, а реакция на угрозы определялась навыками отдельных сотрудников, то сейчас отечественные поставщики предлагают комплексные ИБ-платформы. Они автоматизируют основную часть повседневных задач, позволяя специалистам сконцентрироваться на борьбе со сложными и неординарными атаками, — отмечает независимый эксперт Дмитрий Беляев.
CNews: Как за последние годы изменилась структура угроз для организаций, занимающихся массовым внедрением ПО, и какие новые задачи вышли на первый план в защите распределённой инфраструктуры?
Дмитрий Беляев: В последнее время фокус атак сместился с отдельных узлов на цепочки поставок и распределённую инфраструктуру, где проще воздействовать на разработчиков, интеграторов и облачные сервисы, получая доступ к широкому кругу их клиентов. Для многих компаний ключевыми стали задачи обеспечения полной прозрачности активов и версий программного обеспечения с библиотеками, управления рисками на уровне бизнес-сервисов, а также налаживания автоматического реагирования во всех сегментах.
CNews: Какие инструменты и методы лежали в основе построения систем безопасности несколько лет назад, и чего тогда недоставало в наборе решений для успешного отражения атак и снижения рисков?
Дмитрий Беляев: Оглядываясь назад, можно сказать, что многие полагались на стандартный набор сетевых средств защиты, разрозненные журналы событий и базовую инвентаризацию, сводимую в Excel или CMDB (причём функционал последней часто использовался менее чем на 80%). Попытки вручную восстановить картину инцидентов и оценить риски были обычной практикой.
Очевидно, этого было недостаточно: отсутствовала актуальная и детализированная модель активов, не было единой панели для оценки рисков, а реагирование носило запаздывающий характер и во многом зависело от опыта конкретных аналитиков.
В настоящее время этот вопрос решается благодаря применению платформенных решений. Так, компонент «Управление активами и инвентаризация» от Security Vision самостоятельно выявляет и классифицирует оборудование, базы данных, сетевые устройства и программное обеспечение, интегрируя информацию из Active Directory, CMDB, сканеров и средств защиты. Это позволяет сформировать актуальную модель ИТ-инфраструктуры, которая служит фундаментом для системы безопасности.
На основе этих данных модуль Security Vision (Risk Management) аккумулирует сведения о рисках из SOAR, инвентаризации и систем анализа уязвимостей, прорабатывает возможные сценарии и вычисляет ключевые показатели риска. Именно этот инструмент в сочетании с квалифицированной технической поддержкой Security Vision позволил мне и моей команде грамотно выстроить внутренние процессы, выходящие за рамки стандартных настроек.
CNews: Какие основные ограничения ранних систем мониторинга и реагирования приходилось преодолевать с помощью ручных операций, и как изменилась ситуация с приходом современных платформ автоматизации?
Дмитрий Беляев: Первые системы мониторинга и реагирования в основном фокусировались на сборе и корреляции событий, но практически не поддерживали сам процесс реагирования. Из-за этого множество задач ложилось на плечи аналитиков SOC, которые выполняли их вручную. С появлением полноценных SOAR-платформ значительная часть рутинных операций была автоматизирована, а роль специалиста сместилась в сторону принятия решений, работы со сложными случаями и, конечно, разработки сценариев автоматического реагирования.
Существовало несколько существенных пробелов, которые заполнялись вручную. Во-первых, отсутствовали сквозные процессы реагирования: SIEM генерировал оповещения, но вопросы о том, кто, кому и что передает, кто является владельцем системы или риска, в какие сроки происходит эскалация и как фиксируется результат — всё это требовало ручного регламентирования и контроля.
Во-вторых, осуществлялось ручное обогащение данных: проверка IP-адресов, доменов, хэшей, учетных записей в различных системах, запросы к Threat Intelligence, CMDB и службе поддержки выполнялись людьми, что отнимало немало времени на каждый потенциальный инцидент. В-третьих, многие действия не были автоматизированы: блокировки в Active Directory и на межсетевых экранах, создание заявок, уведомления НКЦКИ и регуляторов, запуск скриптов на хостах проводились по отдельным чек-листам, а не по единым отработанным сценариям.
Современные SOAR-решения объединяют события, автоматически дополняют их контекстуальной информацией, запускают заранее настроенные сценарии реагирования и документируют весь процесс расследования в едином пространстве. В результате автоматизации подлежит от 70% до 90% рутинных шагов: от проверки индикаторов компрометации и их сопоставления с инвентарём активов до блокировки учётных записей и IOC во всех связанных системах, а также подготовки отчётности для контролирующих органов.
CNews: Насколько важной стала сегодня задача построения целостной и непротиворечивой модели данных об активах, собираемых из различных источников, для эффективного управления рисками в масштабах всей организации?
Дмитрий Беляев: В современных условиях наличие целостной и непротиворечивой модели данных об активах приобретает ключевое значение. Без неё управление рисками теряет точность и напоминает расчёт «средней температуры», когда невозможно определить, какие именно бизнес-сервисы и активы находятся под реальной угрозой.
Для эффективного управления рисками, выходящего за рамки простого построения матриц, необходима единая, согласованная картина активов, их взаимосвязей и текущего состояния. Она формируется путём интеграции и обогащения данных из AD, CMDB, сканеров, систем защиты информации, облачных и бизнес-платформ с обязательным устранением дублирования.
CNews: Каким образом централизация обработки инцидентов из разнородных источников, в том числе внешних сервисов и клиентских средств защиты, повлияла на оперативность реагирования и глубину аналитики в SOC?
Дмитрий Беляев: Консолидация обработки инцидентов со всех каналов кардинально повысила скорость реагирования SOC и позволила проводить более глубокий анализ благодаря возможности видеть полную картину атаки вместо разрозненных предупреждений. Когда в едином контуре объединяются данные логов СЗИ, облачных сред, внешних сервисов и средств защиты конечных точек, значительно проще расставлять приоритеты, снижать информационный шум и концентрироваться на действительно критичных событиях.
Современные SOAR-платформы выходят за пределы простой централизации: они не только агрегируют события и инциденты, но и автоматически собирают связанный с инцидентом контекст (при наличии соответствующих коннекторов для интеграции с дополнительными СЗИ), обогащают его данными из внешних ИТ- и ИБ-систем, а также выполняют управляющие воздействия на различных площадках.
В результате SOC получает готовый, уже дополненный контекстом кейс, а рутинные операции (проверка индикаторов, корреляция по активам, первичные блокировки) выполняются без прямого участия аналитика. Это одновременно ускоряет реакцию и обеспечивает стабильно высокое качество расследований.
CNews: Какие новые возможности для адаптации процессов под конкретные бизнес-задачи и интеграции со специфичными системами заказчиков открыло внедрение SOAR?
Дмитрий Беляев: По своей сути, SOAR позволяет «настроить» безопасность под нужды бизнеса, а не подстраивать бизнес под безопасность. Это даёт возможность формализовать собственные процессы, схемы согласований и уникальные системы, после чего платформа точно исполняет заданный сценарий во всём ИТ-ландшафте.
CNews: Что стало ключевым критерием при выборе платформы, способной одновременно вести сложные проекты внедрения у разных заказчиков с совершенно различными наборами интеграций?
Дмитрий Беляев: Нашим выбором стала платформа Security Vision SOAR. Решающим фактором послужила её архитектура, изначально созданная как low-code/no-code решение — с базовой основой, конструктором объектов, процессов и коннекторов, без искусственных ограничений на количество интеграций и их внутреннюю логику.
CNews: Каким образом современные решения способствуют формированию расширенной визуализации и отчётности, дополняющей базовые данные систем мониторинга, для принятия взвешенных управленческих решений?
Дмитрий Беляев: Сегодняшние решения выходят за рамки простого «привлекательного интерфейса» для SIEM-систем. Они обогащают исходные события данными об активах, оценках рисков, соглашениях об уровне обслуживания (SLA) и бизнес-процессах, предоставляя различным специалистам именно ту информацию, которая им необходима, в удобном формате.
CNews: Какие тенденции развития вы наблюдаете у российских платформ информационной безопасности и как их постоянная эволюция поможет противостоять вызовам будущего?
Дмитрий Беляев: Будущее отечественных ИБ-платформ заключается в их трансформации из «наборов разрозненных инструментов» в целостные low-code/no-code среды. Такие платформы комплексно решают задачи автоматизации процессов безопасности, интеграции и соответствия требованиям цифрового суверенитета для крупных государственных и корпоративных клиентов. Если продукты, подобные платформе Security Vision, сохранят текущую динамику развития — фокусируясь на управляемой автоматизации, расширении возможностей интеграции и повышении отказоустойчивости под реальные нагрузки — отрасль получит не просто замену иностранного ПО, а надежный защитный контур. Такой контур сможет адаптироваться к новым типам угроз без необходимости кардинальной перестройки всей инфраструктуры.
В зрелой системе кибербезопасности не существует «волшебных черных ящиков» — есть платформа и уровень компетенции её пользователей. Решения класса Security Vision раскрывают свои возможности в полной мере лишь тогда, когда интеграции выполняются не для галочки, а с учетом реальных рабочих процессов организации.
При этом каждая интеграция требует значительных ресурсов: времени ваших сотрудников, экспертов поставщика, совместного анализа, тестирования и доработок. Именно поэтому принципиально важно иметь не размытое желание «улучшить безопасность», а четкое техническое задание и ясное видение итогового результата: как должен функционировать процесс после внедрения, как распределены роли и ответственность, какие решения система принимает самостоятельно, а какие остаются за человеком.
В противном случае платформа неизбежно начинает работать в режиме «по умолчанию», а не оптимально для вашего бизнеса и вашей модели угроз. В такой ситуации это уже не киберустойчивость, а дорогостоящая видимость контроля.
К примеру, в одной из компаний, где я работал, внедрение платформы Security Vision с модулями управления активами (AM), оркестрации и автоматизации (SOAR), управления рисками (RM) и соответствия требованиям (CM) силами вендора, но с кастомизацией под внутренние процессы, заняло год. Это значительный срок, необходимый не только для развертывания, но и для адаптации продукта, подключения требуемых источников данных и коннекторов, чтобы решение принесло максимальную пользу компании и моей команде. Команда внедрения проявила высокий профессионализм и клиентоориентированность. Коллеги отнеслись к проекту с большой ответственностью и успешно довели его до завершения.
■ Рекламаerid:2W5zFJBfMgmРекламодатель: ООО «Интеллектуальная безопасность»ИНН/ОГРН: 7719435412/5157746309518Сайт: https://www.securityvision.ru/
