SOAR обжился в России
2 июня на площадке AM Live в онлайн-режиме прошла конференция "SOAR по-российски". Сам класс систем SOAR (Security Orchestration, Automation and Response - системы оркестрации, автоматизации и реагирования на события и инциденты в сфере безопасности) появился около пяти лет назад.
Востребованность таких систем растет. Участники дискуссии объясняют это общим запросом на решения по автоматизации в условиях жесткого дефицита кадров, а также необходимостью сокращения времени реагирования на инциденты, особенно в условиях кратного роста их количества в последние несколько месяцев. По оценке менеджера продукта R-Vision SOAR Данила Бородавкина, SOAR используют все ведущие российские компании и государственные структуры. Это обусловлено тем, что SOAR лучше остальных реализуют принцип одного окна в управлении разнородными средствами ИТ-инфраструктуры и средств защиты, а автоматизация повышает эффективность работы персонала.
Но пока количество инсталляций систем данного класса, по мнению руководителя отдела систем мониторинга и реагирования Angara Security Александра Носарева, меньше, чем у SIEM. Начальник отдела решений в сфере кибербезопасности ДИТ Москвы Николай Климов отчасти объяснил это тем, что при остром дефиците персонала появление новой системы не снижает нагрузку на кадры, а повышает.
Тем не менее, как отметила руководитель направления SOC центра информационной безопасности "Инфосистемы Джет" Анна Богданова, количество проектов внедрения SOAR год от года растет. А при жестком дефиците кадров поможет использование сервисной модели, которое также все больше востребовано.
При этом запрос на такие проекты, по мнению руководителя отдела исполнения Security Vision Романа Овчинникова, идет снизу. Но до внедрения SOAR, по его мнению, необходимо достичь довольно высокого уровня зрелости. По мнению Николая Климова, чтобы SOAR полноценно заработала, необходим выстроенный процесс управления инцидентами. Также, по общему мнению, SOAR неизбежно приходится настраивать под требования заказчика. Сразу "из коробки" такая система вряд ли заработает в полном объеме. В итоге проект будет длится несколько месяцев.
Экономика ИБ-проектов, по солидарному мнению всех участников дискуссии, является сложной задачей. Однако в случае SOAR довольно легко доказать эффективность ее внедрения. Ее можно рассчитать исходя из отсутствия необходимости найма новых сотрудников, найти которых все сложнее, и требования их к размеру заработной платы все больше. Не менее важно, как отметил Данил Бородавкин, и снижение времени реагирования. Он напомнил, что от получения фишингового письма до начала заражения шифровальщиков обычно проходит около 20 минут, и за это время операторы SOC очень редко успевают предотвратить атаку, тогда как SOAR вполне может купировать такой инцидент.
Соответствующие решения от российских и международных компаний были представлены практически одновременно. За это время российские продукты обросли функциями, которые отсутствуют в зарубежных продуктах, но востребованы у отечественных заказчиков. Ведущий аналитик Solar JSOC "РТК-Солар" Вячеслав Тупиков назвал среди этих функций управление активами и управление уязвимостями. Николай Климов объяснил эту ситуацию тем, что данные задачи являются пограничными между ИТ и ИБ, причем ИТ не в состоянии решать ее адекватно. Наличие данной возможности в системе, которой оперирует ИБ, позволяет получать актуальную информацию. В итоге, по его мнению, SOAR от российских разработчиков, как это в свое время случилось с DLP, становится самобытным классом систем, отличающимся по функциональности от тех, которые применяются за рубежом.
В явном виде, как обратил внимание Данил Бородавкин, ни один из российских регуляторов не требует внедрять SOAR. Однако именно SOAR наилучшим образом решают задачи, связанные с организацией мониторинга событий. В итоге, по мнению Романа Овчинникова, применение SOAR облегчает комплекс задач, которые предписывают нормы по защите критической информационной инфраструктуры, информационных систем банков, а также государственных информационных систем.