2024/12/18 18:08:15

Гид по российским системам SOAR


2024/12/24



Чем больше компания развивает свою ИТ-инфраструктуру, тем больше она становиться от нее зависимой. Поэтому по мере цифровизации компаниям приходится больше внимания уделять обеспечению защиты своей инфраструктуры. Однако чем больше становится сама ИТ-инфраструктура, тем сложнее ее защитить особенно с помощью слабо интегрированных средств защиты. Именно поэтому для крупных компаний возникает потребность во внедрении общекорпоративных инструментов обеспечения безопасности всей инфраструктуры, которые позволили бы не только оценить состояние ее защищенности, но и автоматизировали реагирование на инциденты, обеспечивали бы их расследование и помогали совершенствовать всю корпоративную защиту.

Концепция SOAR

Именно для решения подобных задач аналитическая компания Gartner в 2017 году и выделила в ИБ-ландшафте такой класс инструментов как SOAR – Security Orchestration, Automation and Response, то есть управление и автоматизация деятельности корпоративной системы защиты и активное реагирование на обнаруженные атаки. Из определения следует, что продукты класса SOAR занимаются автоматизацией и настройкой средств защиты, сбором информации с них, обнаружением в собранной информации признаков инцидентов и реагированием на них, причем также в автоматическом режиме. Фактически это означает, что продукт SOAR должен состоять из подсистем, каждая из которых решает одну из четырех задач:

  • Сбор и накопление информации от средств защиты в собственное хранилище информации о событиях ИБ, происходящих в инфраструктуре, а также о настройках и изменениях настроек самих средств защиты. Важно, чтобы накопленные сведения можно было использовать для ретроспективного расследования инцидентов при помощи индикаторов компрометации (Indicators of compromise - IoC). Впрочем, это же хранилище используется и для анализа инцидентов, и визуализации результатов. Для этого традиционно используются СУБД, в которые по определенным правилам собираются как системные журналы ИТ-систем, так и сообщения от средств защиты.
  • Автоматизация управления средствами защиты как в штатном режиме функционирования (оркестрация), так и при обнаружении нападения (реагирование). Например, при обнаружении вирусной активности на каком-нибудь устройстве система может с помощью изменения сетевых настроек межсетевых экранов локализовать соответствующий IP-адрес для блокирования распространения вредоносов по сети. Для автоматизации обычно используются сервера приложений, сценарии реагирования которых на обнаруженные угрозы прописаны в специальных документах – плейбуках. Впрочем, появляющиеся в последнее время системы искусственного интеллекта могут автоматизировать реакцию и на обнаруженную аномальную активность без необходимости создания отдельных плейбуков.
  • Обнаружение вредоносных действий как по плейбукам и TI-сервисам, так и по анализу подозрительных действий. В современных SOAR-платформах все чаще появляются различные технологии искусственного интеллекта, которые могут классифицировать атаки по их тактикам и техникам, с возможностью автоматического реагирования на подозрительные действия. Их использование позволяет ускорить обнаружение вредоносной активности и автоматизировать реагирование на нее. Это и позволяет перейти от мониторинга и реагирования на инциденты к их предотвращению в режиме реального времени. Этот компонент обыкновенно базируется на аналитической системе, нейросети или технологии больших данных.
  • Реагирование на инциденты, которое предполагает взаимодействие с системами TI, обнаружение по полученным IoC скомпрометированных компонент информационной системы, локализация дальнейшего проникновения хакеров и восстановление штатной работы информационных систем. Также этот компонент помогает выявить путь проникновения злоумышленника в информационную систему (цепочку атак или kill chain) и тем самым определить слабые места в защите инфраструктуры. Однако в большинстве случаев управление инцидентами находиться под пристальным контролем администраторов и специалистов по информационной безопасности.

В целом, по определению Gartner технология SOAR является продолжением и объединением трех базовых технологий: инструментов оркестрации и автоматизации работы средств информационной безопасности (Security Orchestration and Automation - SOA), продуктов для реагирования на инциденты (Incident Response Platforms - IRP) и сервисов киберразведки (Threat Intelligence - TI).

Концепция SOAR была сформулирована относительно недавно – в 2017 году, поэтому в классификаторе программного обеспечения, который утвержден приказом Минцифры от 22.09.2020 № 486, она не входит. Поэтому при внесении своего продукта в реестр разработчикам приходиться использовать альтернативные коды классификатора, таких как 03.17 «Средства автоматизации процессов информационной безопасности» или 03.15 «Средства обнаружения угроз и расследования сетевых инцидентов», хотя функциональность SOAR несколько шире.

1Security Vision SOAR

Описание: Перейти >>>
Производитель: Security Vision
Номер в реестре Минцифры: №364 от 08.04.2016
ФСТЭК: Сертификат соответствия ФСТЭК России № 4574 от 02.09.2022 (УД4);
ФСБ: Заключение 8 Центра ФСБ России 149/3/6/908 от 01.10.2024;
ОАЦ: Сертификат соответствия ОАЦ при Президенте Республики Беларусь № BY/112 02.02. ТР027 036.01 01673 6 декабря 2024 года (по требованиям технического регламента ТР 2013/027/BY).


Security Vision SOAR – ИТ-платформа low-code/no code, позволяющая роботизировать до 95% программно-технических ИБ функций в круглосуточном режиме, обеспечивая непрерывное реагирование на угрозы и киберинциденты. Внедрена в крупнейших государственных организациях, компаниях, банках, коммерческих центрах мониторинга информационной безопасности.

Продукты платформы Security Vision, включая Security Vision SOAR, первыми в своих классах успешно прошли экспертную проверку и отмечены в реестре российского ПО как использующие технологии искусственного интеллекта (ИИ).

Security Vision SOAR позволяет:

  • снизить влияние человеческого фактора в ИБ;
  • многократно повысить скорость реакции на угрозы (за счёт автоматизации сценариев, подстраивающихся под окружение инцидента ИБ);
  • выстроить проактивную защиту в соответствии с международными стандартами информационной безопасности;
  • учесть ресурсно-сервисную модель компании (для реагирования на актуальные угрозы в зависимости от обнаруженных в них активах и других типов объектов).

Security Vision SOAR агрегирует события и инциденты, осуществляет автоматическое выполнение команд на различных внешних системах для оперативного сдерживания и устранения негативных последствий согласно методологии NIST.

Использует в реагировании уникальную технологию динамических плейбуков с адаптивным реагированием, выстраиванием цепочки атаки и объектно-ориентированным подходом.

Мониторинг инцидентов и отображение маршрутов
Цепочка атаки и хронология событий
Маршрут нарушителя
Скоринговая ML-модель для анализа False Positive
Тепловая карта для БДУ ФСТЭК
Тепловая карта для MITRE
История действий и возможность их отмены
Граф связей и рекомендации
Ресурсно-сервисная модель
Граф достижимости
Фазы обработки инцидента (NIST)
Схема работы и потоки данных


В продукт включены экспертные рекомендации аналитиков Security Vision на различных этапах управления инцидентами и ИИ-помощники, с помощью которых формируется и пополняется база знаний и снижается количество ЛПС (ложно положительных срабатываний) за счёт встроенной модели ML.

Особенности и возможности Security Vision SOAR:

  • Использование динамических плейбуков, которые автоматически подстраиваются под ландшафт угроз в зависимости от произошедшего события и использованных техник, задействованной инфраструктуры, не требуют постоянной поддержки специалистами и работают автоматически, сдерживая развитие инцидента и устраняя последствия при помощи интеграций;
  • Встроенные рекомендации, подготовленные экспертами компании на разных этапах работы с инцидентами; дополнены ML-моделями для анализа прошлых решений и снижения количества ЛПС;
  • Базы данных техник и тактик MITRE ATT&K и БДУ ФСТЭК с маппингом для более чем 200 типов инцидентов в зависимости от подключённых СЗИ;
  • Полный цикл методологии NIST: от первичного анализа, классификации и подготовки до расширенного сдерживания, реагирования, изоляции и восстановления с проведением пост-анализа инцидента;
  • Возможность изменения плейбуков, отдельных функций реагирования, логики обработки инцидентов с использованием no code конструктора для адаптации под специфику инфраструктуры и принятых подходов по реагированию;
  • Реализация этапов жизненного цикла инцидента таким образом, чтобы способы визуализации (карточки, таблицы, тепловые карты, графы связей и достижимости) служили настоящими интерактивными инструментами для аналитики и управления инцидентами;
  • Построение цепочки атаки и маршрута нарушителя с возможностью объектно-ориентированно реагирования на целые группы инцидентов, в процессе которого автоматически подбираются подходящие действия и строится граф достижимости на основе ресурсно-сервисной модели;
  • Сбор сведений из часто встречаемых источников данных: SIEM, UEBA, NGFW, WAF, кэширующих серверов, систем электронной почты, конечных узлов, сканеров уязвимостей, средств обогащения IoC, аналитических сервисов, LDAP, AV/EDR и других ИБ/ИТ-систем. Более 150 систем, доступных к интеграциям из коробки;
  • Использование таких внешних сервисов обогащения как VirusTotal, WhoIsXMLAPI, URLScan, IPInfo.io, Censys, IPgeolocation.io, AbuseIPDB, LOLBAS, Kali tools, Shodan, YandexGPT, ChatGPT и других;
  • Возможность создания интеграций без участия вендора и специальных навыков при помощи простого конструктора (конструктор работает не просто как база коннекторов, но как средство разработки без кода);
  • Возможность изменения карточек инцидентов, активов и других задействованных объектов с использованием встроенного no-code конструктора, позволяющего сформировать и адаптировать визуализацию инцидента с использованием динамических сценариев;
  • Гибкий интерфейс, позволяющий организовать рабочее место аналитика со всем необходимым списком интерфейсов – как внутренние разделы для обработки инцидентов, проведения аналитики и получения помощи, так и внешние корпоративные ресурсы. Реализуется с использованием no-code конструктора, позволяющего при необходимости адаптировать под реальные сценарии использования;
  • Встроенный движок для управления текущими и создания новых графиков в виде виджетов для интерактивных дашбордов и выгружаемых отчётов (no-code конструктор не требует выполнения SQL-запросов и не ограничивает пользователей в количестве и составе аналитических панелей).

Платформа Security Vision SOAR:

  • сертифицирована ФСТЭК по 4 уровню доверия (сертификат соответствия ФСТЭК № 4574 от 02.09.2022) и может быть использована в значимых объектах критической информационной инфраструктуры 1 категории, в государственных информационных системах 1 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных, в информационных системах общего пользования II класса;
  • сертифицирована ФСБ России для использования в ИТКС специального назначения, создаваемых в соответствии с требованиями ФСБ России и обрабатывающих информацию ограниченного доступа, не содержащую сведений, составляющих государственную тайну (заключение 8 Центра ФСБ России 149/3/6/908 от 01.10.2024).

»
Используемый нами продукт Security Vision SOAR позволяет автоматизировать процессы управления киберинцидентами в соответствии с потребностями заказчиков. Можно много всего автоматически адаптировать вплоть до конкретного инцидента, что позволяет значительно сократить время выявления, анализа и реагирования. Есть удобные плейбуки, которые реализуются в виде рабочих процессов с использованием графического редактора и zerocode-конструктора, позволяющего легко настроить логику процессов управления киберинцидентами и произвести интеграцию с различными ИТ и ИБ системами, через которые выполняется обогащение данных и производятся действия по активному реагированию (например, блокирование учетной записи, сетевая изоляция хоста, завершение процесса и т.д.).

Система Security Vision SOAR позволяет выполнить автоматическую классификацию инцидента и сопоставить его с тактиками и техниками из баз знаний БДУ ФСТЭК России и MITRE ATT&CK, а также произвести дополнительный анализ инцидента с применением Sigma-запросов для выявления скрытых взаимосвязей между событиями и определения всех этапов кибератаки. Security Vision SOAR функционирует у нас в связке с модулем управления активами и инвентаризацией (Security Vision Asset Management) и модулями взаимодействия с ГосСОПКА и ФинЦЕРТ.

В результате применения Security Vision SOAR мы смогли снизить рутинную нагрузку на аналитиков L1/L2 и уменьшить среднее время обработки инцидента до 12 минут, с учетом достаточно большого потока поступающих в наш SOC событий ИБ.
Мы стремимся к непрерывному улучшению качества работы RT Protect SOC и к повышению степени автоматизации, и в этом наша позиция совпадает с подходом коллег из Security Vision, которые с готовностью обрабатывают обратную связь и реализуют пожелания в части дополнительного функционала решения.
Алексей Жуков,
Руководитель SOC, владелец продукта RT Protect EDR, РТ-Информациoнная безопасность		»
»
Security Vision SOAR – самое сердце оперативного реагирования.
Марина Плетнёва,
Ведущий руководитель проектов, X5 Group		»

Управление инцидентами и оркестрацией различных СЗИ. Обзор NG SOAR


2R-Vision SOAR

Описание: Перейти >>>
Производитель: ООО «Р-Вижн»
Номер в реестре Минцифры: №1954 от 23.09.2016
ФСТЭК: Сертификат соответствия ФСТЭК России до 05.03.2029;


R-Vision SOAR — это система для оркестрации, автоматизации и быстрого реагирования на инциденты ИБ. Она служит единым окном для команды SOC, позволяя эффективно управлять инцидентами и автоматизировать до 90% рутинных операций. Благодаря этому, время реагирования на инциденты сокращается в 2–5 раз, в зависимости от их типа, что значительно снижает нагрузку на сотрудников. 

Функциональность R-Vision SOAR закрывает все ключевые потребности заказчиков: обработку в едином окне инцидентов ИБ из различных источников, no-code/low-code автоматизацию и оркестрацию, организацию командной работы специалистов разных линий SOC, визуализацию, отчетность, контроль SLA и др. 

В R-Vision SOAR предусмотрены функции для быстрого старта работы с системой «из коробки»: преднастроенные конфигурации, быстро настраиваемые интеграции с популярными СЗИ и инструменты no-code для настройки сценариев реагирования. 

Развитие SOC — это непрерывный цикл совершенствования подходов и инструментов, адаптации к новым угрозам. Поэтому команда R-Vision SOAR отдает приоритет гибкости и удобству в работе с системой, чтобы заказчики могли самостоятельно развивать автоматизацию в своем SOC, управлять настройками системы, создавать и поддерживать плэйбуки и другие элементы автоматизации. 

Продукт R-Vision SOAR развивается с 2015 года (ранее был известен как R-Vision IRP, в связи с расширением возможностей система была переименована). За это время реализовано более 100 проектов разного масштаба в нефтегазовой, энергетической и металлургической отраслях промышленности, а также в государственных учреждениях, финансовой сфере, телекоммуникациях и ритейле

R-Vision SOAR предлагает различные сценарии использования, начиная с построения процесса обработки инцидентов «с нуля» и заканчивая автоматизацией SOC для предоставления ИБ-сервисов и контроля дочерних организаций и филиалов в соответствии с выстроенным процессом в больших территориально-распределенных организациях. Многие заказчики, получающие услуги по мониторингу инцидентов от российских провайдеров, используют R-Vision SOAR для эффективного взаимодействия по выявленным инцидентам и своевременного реагирования на них.

Особенности R-Vision SOAR: 

  • агрегация данных об инциденте в одной системе из любых источников;
  • встроенные механизмы инвентаризации активов и построение ресурсно-сервисной модели позволяют получить полное представление об ИТ-инфраструктуре и влиянии инцидента на бизнес-процессы;
  • удобный no-code редактор сценариев реагирования (плейбуков) для их быстрого создания и адаптации
  • 30+ базовых интеграций из коробки, что покрывает потребности заказчиков в 90% случаев 
  • универсальный Low-code конструктор коннекторов к сторонним системам - заказчик самостоятельно может осуществить необходимую интеграцию без привлечения вендора;
  • динамическое управление отображением карточки инцидента и наглядное отображение метрик SLA прямо в карточке инцидента;
  • поддержка мульти-арендной архитектуры позволяет использовать систему в территориально-распределенных инфраструктурах с разделением доступа к данным;
  • встроенный сервис для взаимодействия с ГосСОПКА и ФинЦЕРТ (отправка инцидентов, получение бюллетеней и др.).

»
Заказчики ценят не только функциональные возможности R-Vision SOAR, но и нашу экспертизу как вендора. Мы успешно реализовали сотни проектов для крупных компаний, включая федеральные и государственные структуры. 

В каждом из этих проектов, в каждом центре реагирования на инциденты (SOC), существуют уникальные процессы и задачи, которые невозможно решить с помощью стандартных шаблонов и сценариев. Поэтому мы сосредоточены на том, чтобы наш продукт оставался простым и удобным в использовании, несмотря на свою функциональную мощность, необходимую для качественного SOAR. Он должен предоставлять гибкие инструменты, которые позволят заказчику удобно и быстро решать именно его задачи, а не набор типовых решений, которые в большинстве случаев требуют адаптации и перенастройки. 

Команды SOC, которые используют R-Vision SOAR, могут самостоятельно, без привлечения вендора или интегратора, оперативно управлять настройками системы, адаптировать сценарии реагирования и поддерживать собственные автоматизации. Это особенно важно, так как любой SOC постоянно развивается: появляются новые процессы, интеграции, сервисы, и возникает необходимость автоматизировать больше операций.
Данил Бородавкин,
Продакт-менеджер R-Vision SOAR		»

SOAR — большой конструктор, в котором настраивается буквально все Данил Бородавкин,
продакт-менеджер R-Vision SOAR

3ePlat4m SOAR DS

Производитель: «Компания информационных технологий»
Номер в реестре Минцифры: №8630
ФСТЭК: Сертификат соответствия ФСТЭК России №3796;

Компания «КИТ» — российский разработчик универсальной low-code платформы автоматизации бизнес-процессов ePlat4m, SOAR-платформы ePlat4m Orchestra и прикладных систем в сфере информационной безопасности, управления пропускным режимом. Разработки программных решений ведутся компаний с 2014 года. На сегодняшний день реализовано более 30 крупных проектов по автоматизации управления информационной безопасностью и управлению допуском на режимные объекты.

Система ePlat4m SOAR DS сводит данные об угрозах безопасности из разных источников для последующего анализа. Она автоматизирует работу специалистов по ИБ и организует процесс реагирования на типовые события и инциденты. При помощи графического редактора платформы типовые ИБ-процессы (плейбуки) описываются как серия управляемых событиями шагов в соответствии со спецификацией Amazon States Language.

Основные возможности продукта следующие:

  • Развертывание в масштабируемом Kubernetes-кластере с мониторингом работоспособности компонент и отказоустойчивостью;
  • Оптимизация процессов SOC за счёт получения данных о событиях безопасности из различных источников (SIEM, DLP, EDR, и др.), агрегация событий в инциденты;
  • Наличие API для интеграции;
  • Защищённое хранение и использование секретов (токенов, ключей доступа);
  • Визуальное редактирование и отладка плейбуков: экспорт, импорт, валидация сценариев;
  • Хранение кода плейбуков, коннекторов и скриптов в централизованном хранилище с учётом их версий;
  • Мониторинг и логирование исполнения плейбуков;
  • Запуск плейбуков по событию и по расписанию;
  • Автоматизация обработки событий и инцидентов и сокращение времени реагирования на инциденты;
  • Агрегация обрабатываемых «вручную» событий с 10000 до 500;
  • Контроль SLA, ключевых метрик эффективности работы аналитиков SOC;
  • Возможность работы по мульти-арендной модели;
  • Интеграция с личным кабинетом заказчика;
  • Ведение документации, отчетности и аудиторского следа по инцидентам ИБ;
  • Снижение среднего времени реагирования на инцидент с 3 дней до 25 минут
  • Экспорт выбранных инцидентов в ГосСОПКА, ФинЦЕРТ;
  • Взаимодействие с ГосСОПКА для учета инцидентов субъектов КИИ.

4Innostage IRP

Производитель: Innostage
Номер в реестре Минцифры: нет (в реестр включен «Цифровой штаб» – 22105)
ФСТЭК: нет

Компания Innostage является интегратором решений по информационной безопасности, однако ее специалисты накопили экспертизу для разработки собственных решений. Innostage IRP — продукт собственной разработки группы компаний Innostage. Он позволяет автоматизировать ключевые процессы управления инцидентами в информационной безопасности, в том числе процессы мониторинга и реагирования.

Innostage IRP может быть применён как в информационной инфраструктуре компании, так и в технологической, включая АСУ ТП. Среди заметных особенностей — наличие подсистемы управления ИТ-активами и возможность интеграции с системой оркестровки Innostage Orchestrator, а также поддержка информационных каналов связи со внешними сервисами TI-сервисами и системой ГосСОПКА. Подобная связана — IRP, оркестратор и TI-сервисы — как раз и образуют продукт класса SOAR.

Функциональные возможности продукта следующие:

  • Инвентаризация ИТ-активов вручную и автоматически, а также автоматическая актуализация данных за счёт интеграции со средствами содержащими инвентаризационную информацию;
  • Создание и ведение единой базы данных, обеспечивающей хранение информации о компонентах ИТ-инфраструктуры и взаимосвязях между ними;
  • Возможность создания изолированных баз данных с ИТ-активами обособленных подразделений организации;
  • Формирование и поддержание в актуальном состоянии электронных технических паспортов ИТ-активов;
  • Обогащение инвентаризационной информации по ИТ-активу, полученной из разных систем инвентаризации;
  • Автоматизация получения сведений о любом сотруднике компании благодаря интеграции с информационными системами кадровых подразделений;
  • Графическое отображение основных показателей управления ИТ-активами;
  • Возможность категорирования объектов КИИ и взаимодействия с ГосСОПКА.

5Jet Signal

Производитель: «Инфосистемы Джет»
Номер в реестре Минцифры: Сертификат соответствия ФСТЭК России № 4039
ФСТЭК: нет

Компания «Инфосистемы Джет» является системным интегратором с большим количеством проектов, связанных с обеспечением информационной безопасности. Компания достаточно давно занимается разработкой собственных продуктов, в том числе и для защиты корпоративных клиентов. Система управления инцидентами информационной безопасности Jet Signal – собственное программное решение компании «Инфосистемы Джет», предназначенное для повышения эффективности обработки инцидентов ИБ.

Jet Signal дает возможность службам ИБ работать в едином информационном пространстве: расследовать инциденты, назначать поручения и контролировать их исполнение, использовать накопленный опыт в базе знаний, общаться во встроенном чате и многое другое.

Решение автоматизирует следующие процессы:

  • Импорт информации об инцидентах ИБ из SIEM и других систем;
  • Ведение единой базы знаний угроз, тактик и техник нападающих, а также методов защиты от них;
  • Составление плана мероприятий по реагированию в зависимости от типа инцидента с помощью инструментов автоматизации;
  • Обмен формализованной информацией об инцидентах между подразделениями организации;
  • Планирование, учет и контроль работы дежурных смен операторов SOC/CERT в единой типовой форме;
  • Взаимодействие в помощью быстрых сообщениями между операторами системы;
  • Контроль исполнения поручений в рамках решения задач по устранению причин и последствий инцидентов ИБ, а также по обеспечению защиты объектов и активов ИБ;
  • Управление и контроль жизненного цикла инцидентов ИБ.

6Makves IRP

Производитель: «Гарда»
Номер в реестре Минцифры: Сертификат соответствия ФСТЭК России № 6298
ФСТЭК: нет

Компания Makves, которая изначально разрабатывала продукт Makves IRP, недавно вошла в состав группы компаний «Гарда», хотя все лицензии и сертификаты были выданы и продолжают действовать на юридическое лицо первоначального разработчика. Тем не менее продукт продолжает развиваться поддерживаться и внедряться разработчиком уже в составе нового холдинга.

Продукт Makves IRP предоставляет сотрудникам службы безопасности удобный инструмент для регистрации инцидентов, управления их жизненным циклом и создания типовых сценариев реагирования на события. Инциденты могут быть получены из внешних систем (SIEM, IDM, DLP и других продуктов), а также открыты вручную. Такой подход позволяет создать единую базу данных для всех значимых событий безопасности, быстро распределять их среди ответственных сотрудников, контролировать и анализировать процесс обработки инцидентов.

Продукт позволяет решить следующие задачи:

  • Организовать единый центр управления процессом реагирования на инциденты — как в сфере информационной безопасности, так и вне ее;
  • Создать инструмент для формирования базы знаний сценариев реагирования для быстрого ввода в работу новых сотрудников;
  • Реализовать быстрый поиск инцидентов по сложным запросам с возможностью выявления многоэтапных и составных атак;
  • Обеспечить снижение времени обучения сотрудников службы безопасности и повышение качества их работы;
  • Сформировать набор готовых инструкций по обработке инцидентов с возможностью обращаться к истории расследования аналогичных происшествий;
  • Создать для сотрудников службы безопасности единую среду для управления инцидентами, систему хранения всей информации, связанной с определенным событием безопасности;
  • Фиксировать все виды нарушений в единой базе данных;
  • Реализовать прецедентную систему обработки событий безопасности с использованием данных о расследовании схожих нарушений;
  • Обеспечить возможность в реальном времени отслеживать обработку отдельного инцидента и состояние дел в целом;
  • Создать набор графических панелей с данными обо всех событиях, находящихся в работе;
  • Имеет графический интерфейс, оптимизированный для настольных и мобильных устройств;
  • Помогает компании сформировать полную картину работы службы безопасности и возможность вывода статистики по всем видам инцидентов.

7Positive Technologies XDR

Производитель: Positive Technologies
Номер в реестре Минцифры: Сертификат соответствия ФСТЭК России № 15328
ФСТЭК: нет (в реестр включена PT ISIM – 4182)

Компания Positive Technologies является одним из крупных российских разработчиков средств защиты, которая активно развивает свою экосистему в различных направлениях. Продукты класса SOAR, естественно, не остались без внимания. Компания разработала и выпустила на рынок инструмент под названием PT XDR, который предназначен для управления сбором телеметрии, обнаружения целенаправленных атак, расследования инцидентов и оперативной реакции на возникающие угрозы.

В соответствии с документацией производителя PT XDR собирает и обогащает данные с рабочих станций и серверов, позволяя с помощью их статического и динамического анализа выявлять атаки как на корпоративные устройства, так и на внешние системы. Он также может за счет собираемой с различных средств защиты информации выявлять в ИТ-инфраструктуре сложные целевые атаки и дает службе безопасности компании реагировать на них как вручную, так и автоматически.

По мнению экспертов Positive Technologies правильный XDR должен выполнять следующие действия:

  • Связывать события из разных инструментов ИБ в единую цепочку атаки, с помощью сбора и обработки событий из каждого средства защиты, склеивания данных из разных систем в единую последовательность, привлечения к ней внимания SOC-аналитика и автоматического предложения вариантов реагирования;
  • Автоматизировать процесс реагирования на инциденты ИБ, что позволит сократить время на обработку отдельных событий из инструментов ИБ и снизить порог входа для работы с XDR-решением;
  • Упрощать проактивный поиск угроз (threat hunting) с помощью сбора телеметрии за пределами отдельных средств защиты без необходимости переключаться между консолями для поиска угроз, не требуя от сотрудников службы ИБ высокого уровня компетенции;
  • Снижать количество ложноположительных срабатываний (false positive) за счет контекста и обработки событий из нескольких источников, что помогает аналитикам SOC верифицировать каждое событие вручную;
  • Реагировать на угрозы за счет взаимодействия с EDR-решением, которое позволяет не только обнаруживать угрозы, но и реагировать на них с помощью функциональности EDR-агента;
  • Определять первоначальную точку атаки с помощью взаимодействия с другими инструментами ИБ для получения контекст по каждому шагу атаки.

8UserGate Log Analyzer

Производитель: UserGate
Номер в реестре Минцифры: Сертификат соответствия ФСТЭК России № 6919
ФСТЭК: нет

Флагманским продуктом компании UserGate является межсетевой экран нового поколения (NGFW). Однако разработанная для его реализации экосистема средств защиты UserGate SUMMA включает в том числе и продукты, которые соответствуют современной концепции SOAR, поскольку они позволяют анализировать поведение различных процессов, выявлять риски и на основе этого анализа обеспечивать автоматическую, но адекватную реакцию на самой ранней стадии. Таким продуктом является UserGate Log Analyzer, который может быть выполнен в виде отдельного устройства.

Log Analyzer предоставляет дополнительные возможности по анализу данных об инцидентах безопасности, их мониторингу, сбору статистики и созданию отчетов. Решение может быть развернуто отдельно от шлюза безопасности и в состоянии агрегировать данные из нескольких источников. Разделение функций обработки трафика и анализа данных позволяет обеспечить лучшую надежность и масштабируемость. Log Analyzer осуществляет сбор и первичную обработку данных от межсетевых экранов UserGate.

По заявлениям самой компании UserGate Log Analyzer может выполнять следующие функции:

  • Собирать данные со всех продуктов экосистемы безопасности UserGate SUMMA и сторонних устройств;
  • Автоматизировать процессы безопасности;
  • Обеспечивать мониторинг событий безопасности в реальном времени и расследование инцидентов;
  • Фиксировать все корпоративные события безопасности без потерь;
  • Проводить оценку состояния информационной безопасности компании;
  • Обеспечивать непрерывности бизнес-процессов;
  • Сохранять доступность данных корпоративного уровня;
  • Обогащать данные для поиска индикаторов компрометации, а также создавать свои IoC в результате расследования инцидентов;
  • Оптимизировать время реакции на инцидент;
  • Проводить ретроспективный анализ событий безопасности, хранение и резервирование данных;
  • Уведомлять UserGate Management Center, который, в свою очередь, может посылать управляющие команды в UserGate NGFW и UserGate Client для оперативного реагирования на события безопасности (SOAR);
  • Блокировать вредоносную активность и предотвращать повторение инцидентов;
  • Взаимодействовать с личном кабинетом ГосСОПКА для отправки информации об инцидентах в ручном или в автоматическом режимах.

9BI.Zone SOAR

Производитель: BI.Zone
Номер в реестре Минцифры: Сертификат соответствия ФСТЭК России № 18770
ФСТЭК: нет

Основой бизнеса компании BI.Zone является коммерческий SOC, который входит в экосистему «Сбера». Однако накопленный его экспертами опыт позволяет им создавать и собственные коммерческие продукты, одним из которых является BI.Zone SOAR. Это решение, которое обеспечивает координацию и автоматизацию процессов реагирования на киберинциденты, выступая единым инструментом для работы аналитиков всех линий SOC.

Платформа консолидирует предупреждения и уведомления от различных систем, оптимизирует поток инцидентов с помощью троттлинга и агрегации. Это позволяет сотрудникам информационной безопасности сосредоточиться на критических инцидентах, сокращая время реагирования и повышая общую эффективность управления инцидентами. С помощью платформы компании могут управлять жизненным циклом инцидентов кибербезопасности, координировать усилия по реагированию, централизованно получать информацию, связанную с инцидентами, сокрашать время реагирования на обнаруженные атаки.

В целом BI.Zone выполняет следующие функции:

  • Собирает централизованную базу знаний непосредственно внутри BI.ZONE SOAR, предоставляя пользователям информацию из нее в удобном для понимания виде;
  • Наполняет базу активов как вручную, так и автоматически из внешних систем, с которыми есть интеграция, что помогает сотрудникам службы ИБ своевременно связать активы с релевантными им инцидентами и задачами;
  • Автоматизирует работу с кейсами и задачами с помощью конструктора карточек объектов, инструментов совместной работы и централизованной база задач/инцидентов;
  • Помогает создавать рабочие процессы для управления уязвимостями, инцидентами и задачами, а также обеспечивать контроль метрик качества построенных процессов;
  • Автоматизирует заполнение карточки инцидентов на базе сценариев и обогащение карточек инцидентов/предупреждений данными из внешних систем;
  • Управляет сценариями реагирования на основе базы плейбуков, которые можно запускать по запросу и автоматически по заданным триггерам и для составления которых предлагается использовать визуальный конструктор сложных сценариев;
  • Обеспечивает рабочий процесс и оркестрацию задач, связанных с реагированием на инциденты с помощью распределения задач, запуска заранее определенных ответных действий и оптимизации процесса разрешения инцидента;
  • Управляет распространение предупреждений от систем обнаружения угроз, оптимизируя, агрегируя и приоретизируя его;
  • Координирует действий SOC, что позволяет его сотрудникам быстрее принимать решения, оперативно реагировать и предупреждать заинтересованные стороны на протяжении всего жизненного цикла инцидента о возможных перебоях или проблемах;
  • Готовит наглядную отчетность с возможностью автоматизации в соответствии с заранее определенными метриками эффективности, что помогает специалистам по безопасности глубже понять картину угроз, выявить закономерности и определить приоритетность превентивных мер;
  • Визуализирует отчетность с помощью интерактивной панели, используя для этого заранее определенные метрики эффективности рабочих процессов и шаблоны отчетности;
  • Передает информацию об инцидентах, компьютерных атаках и уязвимостях в НКЦКИ в автоматическом или ручном режиме;
  • Получает регистрирует и реагирует на сообщения от НКЦКИ.

10ASoar

Производитель: Active Internet Production
Номер в реестре Минцифры: Сертификат соответствия ФСТЭК России № 20687
ФСТЭК: нет

Компания Active Internet Production имеет собственную команду экспертов-разработчиков, которые работают в ИТ с 2011 года. Сотрудники компании накопили большой опыт реализации кастомных решений в области управления сетями, комплексного развития ИТ-инфраструктуры и разработки сайтов, проектирования и успешного запуска высоконагруженные площадок для крупных федеральных клиентов. Теперь компания решила предложить рынку новый инструмент собственной разработки— ASoar, систему по автоматизированной защите информации.

ASoar является SOAR-системой (хотя в названии стоит отрицающая приставка A), предназначенной для координации и управления системами обеспечения безопасности на основе собираемых событий из различных источников. Она позволяет автоматизировать типовые сценарии реагирования на внешние угрозы. ASoar собирает и консолидирует потоки данных из различных источников по всей клиентской сети. На основе собранных данных происходит управления безопасностью, автоматизация и реагирование на угрозы. Причем сотрудники компании убеждены, что программный комплекс ASoar способен отразить 99,98% атак без участия человека.

К функциональным особенностям ASoar относится:

  • Изначальная ориентация на использование облачной модели предоставления услуг;
  • Специализация на интеграции уязвимых IoT устройств с полной автоматизаций их мониторинга и реагирования на потенциальные угрозы;
  • Прозрачность логики принятия решений и возможность проанализировать их в случае необходимости;
  • Открытость как кода, так и алгоритмов работы;
  • Консолидация нескольких потоков данных в масштабах всей корпоративной сети, что позволяет в режиме реального времени оценить уровень опасности каждого внешнего клиента на основе его поведения;
  • Автоматизация обнаруживаемых угроз в циклах взаимодействия с защищаемыми подсистемами;
  • Формирование слоя автоматизации процессов безопасности с помощью схемы действий, которые выполняются в ответ на обнаруженные угрозы;
  • Поддержка работы в любых гетерогенных сетях, как физических, так и виртуальных, независимо от применяемых в них стандартов и технологий;
  • Отсутствие требования чтения трафик внутри защищаемого контура, что позволяет работать в системах с множественным шифрованием;
  • Оркестрация процессов безопасности при помощи интеграции широкого круга инструментов и сервисов, что обеспечивает появление у контролируемых устройств и решений логики реагирования на инциденты;
  • Предоставление средства активного выявления угроз с использованием целей-ловушек с автоматическим выявлением и анализом атак на них;
  • Полная автоматизация мониторинга и реагирования на потенциальные угрозы;
  • Локальная работа внутри защищаемого контура – не требуется доступ к внешним ресурсам;
  • Создание для специалистов по безопасности рабочего места для мониторинга инцидентов и программирования автоматических реакций на них;
  • Предоставление сотрудникам ИБ клиентов своей сигнальной системы для раннего обнаружения угроз.

Источник — «https://fin.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%93%D0%B8%D0%B4_%D0%BF%D0%BE_%D1%80%D0%BE%D1%81%D1%81%D0%B8%D0%B9%D1%81%D0%BA%D0%B8%D0%BC_%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0%D0%BC_SOAR»

Править
В России создали вакцину против колоректального рака. Клинические испытания успешно завершены
Natura Siberica сменила гендиректора
Газпромбанк стал совладельцем производителя бионических протезов «Моторика»
Замглавы лечебного учреждения омского УФСИН приговорили к пяти годам колонии за вымогательство денег у родственников осужденных
«Еврохим», ТМК и другие предприятия представили опыт цифровизации в промышленности на TAdviser SummIT
Российский рынок HR-tech: оценки, тренды, крупнейшие поставщики. Обзор TAdviser
Владимир Андреев, Docsvision: СЭД стала бизнес-критичной системой для многих организаций
ГК «Геоскан» начала применять ключи Guardant DL для защиты своего софта
CIO девелопера Tekta Group Антон Солорев — о переходе с ERP Microsoft на «1С» и особенностях цифровизации в строительстве
Определены ключевые работодатели для специалистов по ИИ в России. Рейтинг TAdviser
Конференция «ИТ-приоритеты 2025» состоится 12 февраля
Решения 1С: актуальные тренды рынка и крупнейшие интеграторы. Обзор TAdviser
Почему SimpleOne ITSM становится лидером среди ИТ-решений в России
Конференция «IT Retail Day 2025» состоится 12 марта
Конференция «Программно-аппаратные комплексы 2025» состоится 24 апреля
Конференция «Banks IT Day 2025» состоится 15 апреля
Конференция «СЭД И ECM Day 2025» состоится 26 февраля
TAdviser Security 100: Крупнейшие ИБ-компании в России
Российский рынок информационной безопасности: оценки и тренды. Обзор TAdviser
Конференция «RPA и BPM Day 2025» состоится 23 апреля
Конференция «Big Data и AI Day 2025» состоится 3 апреля
Конференция «IT Security Day 2025» состоится 25 марта
Конференция «ИТ в промышленности 2025» состоится 13 марта
Конференция «Импортозамещение 2025: реальный опыт» состоится 19 февраля
НОТА МОДУС. Маркетинг: полное управление циклом взаимодействия с клиентом
Минздрав МО ускорил процесс найма сотрудников с помощью НОТА ЮНИОН в 2,5 раза
Как «Инфосистемы Джет» помогает выбрать решение для унифицированных коммуникаций
«Трансформация 2.0». Опыт роста технологической зрелости ритейлера «Лента» представлен на TAdviser SummIT
Комплексная экосистема для управления проектами. Обзор Timetta
Кристина Соколова, НОТА: ИТ-кадров не хватает, но текучесть снижается
Андрей Бойко, B2B-Center: Грамотное управление данными и НСИ помогает бизнесу экономить миллионы
beeline cloud завоевал три золотых награды на Tagline Awards 2024
Как платформа Сфера помогает автоматизировать разработку продуктов
Где скрыт резерв эффективности производства? Обзор цифровой платформы управления качеством QMS Professional от PROF-IT GROUP
Вице-премьер Дмитрий Григоренко рассказал TAdviser, как устроена цифровая модель госуправления Правительства России
Иван Прохоров, «Пульс»: Наша платформа — революционный шаг в направлении человекоцентричного подхода в разработке HR-продуктов
Корпоративная связь без разрывов. Один инструмент вместо нескольких «ушедших»: что делает CoWork удобным для работы
«Сколково» и TAdviser определили лидеров российского рынка систем управления производственным процессом
Гид по системам UEBA: 8 наиболее заметных продуктов, доступных на российском рынке
Барьер недостатка приложений под российскую ОС пройден
Переход «Группы Астра» с Zoom на DION
Гендиректор HR-платформы «Пульс» Ярослав Третьяков — об «оцифровке доверия» и культуре эффективности с фокусом на человека
Ирина Сокольская, IT_ONE: «Секрет успеха — баланс hard и soft skills ИТ-специалистов»
Как Удостоверяющий центр Контура поддержал клиентов во время законодательных изменений
НОТА ЮНИОН: как снизить затраты на найм на 20% и справиться с кадровым голодом
Система управления персоналом «БОСС» — автоматизация всех HR-процессов в единой системе
Доктор Мониторинг. Показания к применению