Данил Бородавкин, продакт-менеджер R-Vision SOAR:
— Какие насущные задачи клиенты могут решить с помощью инструментов оркестровки ИБ и реагирования на инциденты, относящиеся к классу SOAR? Изменилось ли отношение к этой технологии в последние пару лет?
По мере того, как растет уровень зрелости команды ИБ, возникает необходимость в автоматизации и контроле метрик работы SOC. В то же время компании всё чаще переходят к круглосуточной работе ИБ-служб для непрерывного мониторинга инфраструктуры на предмет подозрительной активности и оперативному реагированию на возникающие инциденты.
Как следствие, с одной стороны, интерес к технологиям SOAR растёт, а с другой — требования к функциональности и производительности таких систем становятся всё более высокими. Однако основные задачи, которые решаются с помощью SOAR, остаются прежними: обогащение инцидентов данными Threat Intelligence (TI), автоматический триаж, автоматизация сбора данных и мер реагирования, обеспечение командной работы различных линий SOC и контроль метрик.
— Насколько концепция SOAR в целом соответствует духу и букве законодательных требований по ИБ, таких как 187-ФЗ? Что изменилось в российском законодательстве в последнее время с точки зрения реагирования на инциденты?
В последние годы можно выделить несколько больших регуляторных трендов: это законодательная поддержка внедрения современных систем обеспечения ИБ, импортозамещение и усиление контроля за состоянием ИБ со стороны государства. Функциональность систем класса SOAR хорошо коррелирует с перечисленными законодательными векторами: SOAR позволяет собрать воедино сработки от разных СЗИ, управлять реагированием на них и наладить процесс взаимодействия с регуляторами, такими как ГосСОПКА и ФинЦЕРТ.
— Как сейчас проходит процесс импортозамещения решений класса SOAR? Какие особенности отечественных решений наиболее востребованы?
Отечественные системы класса SOAR уже занимали значительную долю на рынке информационной безопасности еще до того, как в России начал активно развиваться тренд на импортозамещение. Это стало возможным благодаря развитому рынку информационной безопасности, который сформировался в том числе и под влиянием законодательных требований.
Успех российских SOAR-систем обусловлен их функциональной конкурентоспособностью по сравнению с зарубежными аналогами одновременно с поддержкой специфических требований локального рынка, таких как интеграция с отечественными SIEM-решениями, средствами защиты конечных устройств и взаимодействие с регуляторами.
— Насколько общемировые тенденции развития технологии SOAR отличаются от российских?
Основные потребности ИБ-специалистов, использующих SOAR, достаточно «интернациональны». SOAR — единое окно для аналитика SOC и гибкий инструмент для оперативной автоматизации. К специфике российского рынка можно отнести взаимодействие с регуляторами, а также востребованность low-code инструментов. Отечественные аналитики SOC не только используют поставляемый вендором контент, но и активно адаптируют его под свои нужды.
— Как вы оцениваете объём отечественного рынка SOAR-продуктов? Как он изменился после ухода иностранных разработчиков?
Именно в классе продуктов SOAR уход иностранных разработчиков не стал поворотным моментом, в отличие, например, от рынка SIEM, где в России традиционно сильны позиции крупных зарубежных вендоров. Рынок SOAR, по нашим оценкам, находится практически на пике. Технология вышла на уровень, когда она востребована массовым потребителем в корпоративном сегменте.
— Возможна ли реализация SOAR в виде облачных сервисов или MSSP? Насколько это перспективно?
Сегодня многие MSSP активно применяют SOAR. В коммерческих сервисах такие функции SOAR, как управление инцидентами и автоматизация, являются обязательными. Вопрос лишь в том, разрабатывает ли MSSP собственное решение или выбирает готовое.
С технической точки зрения, SOAR полностью готов к работе в облаке. Однако есть несколько моментов, которые необходимо учесть.
Во-первых, это контент. Как мы видим, каждая инсталляция SOAR обрастает плейбуками, которые адаптируются под уникальные процессы наших клиентов. Стандартные настройки жизненного цикла и карточки инцидентов всегда модифицируются под потребности заказчика. Этот «нажитый» контент часто предпочитают хранить ближе к себе, на локальной установке, а не в облаке.
Второй аспект — оркестрация. Из SOAR внедряются меры технического реагирования, и система управляет локальными средствами защиты в инфраструктуре организации. Не все готовы передать такое управление в облачное решение.
Наконец, стоимость. Подписочная модель позволяет экономить на оборудовании и оперативно управлять ресурсами, но в долгосрочной перспективе локальная инсталляция может быть более выгодной, особенно если в организации уже есть мощности ЦОД.
На данный момент мы не наблюдаем большого интереса к облачному сервису SOAR, но откликнемся на такие запросы, если они появятся.
— Что эффективнее для клиентов: разворачивать собственное SOAR-решение или пользоваться услугами коммерческих SOC?
Я бы предложил рассмотреть оба подхода как доступные опции, которые можно и нужно сочетать, чтобы достичь наилучшего результата. Потребность в функциональности SOAR зависит от количества обрабатываемых инцидентов, размера инфраструктуры, численности команды и установленных сроков реагирования.
Использование услуг коммерческого SOC позволяет привлечь внешнюю экспертизу и сократить расходы на собственный штат ИБ-специалистов. Однако это не отменяет необходимости управления инцидентами и реагирования на них. Например, если MSSP обнаружит взлом инфраструктуры организации, то для смены паролей, установки патчей и очистки конечных узлов потребуется участие внутренних сотрудников.
Даже сам процесс получения и обработки оповещений от MSSP требует внимания и поддержки. Как показывает наша практика, работа с такими оповещениями только в электронной почте или мессенджерах неэффективна.
Крупные организации, как правило, предпочитают создавать собственный SOC. Но у наших клиентов мы также видим гибридные варианты, когда услуги MSSP используются в дополнение к внутреннему SOC, а взаимодействие с MSSP осуществляется через систему SOAR.
— Какая инфраструктура поддержки продуктов должна быть на стороне производителя SOAR? В чем особенности канала продаж таких решений?
SOAR — большой конструктор, в котором настраиваются буквально все. Организация поддержки этого класса решений является нетривиальной задачей. Проблемы, с которыми сталкивается пользователь, часто происходят на уровне конструируемого им контента — плейбуков, настроек инцидента и др. На стороне вендора для оперативного анализа таких ситуаций должна работать профессиональная, технически подкованная команда поддержки. С учетом того, что SOC на базе SOAR часто работают 24/7, такие же требования появляются и к сопровождению продукта. Наша команда поддержки работает круглосуточно и разделена на три линии. Это специалисты с профильным образованием в области информационной безопасности, многие из которых обладают обширным опытом системного администрирования. Благодаря этому, команда может решать сложные клиентские кейсы самостоятельно или или своевременно передавать их на следующий уровень, где к решению подключаются команды разработки. Кроме того, мы полагаемся на партнерский канал продаж и развиваем необходимые компетенции у партнера, проводим обязательное обучение инженеров.
— Как вы оцениваете российский рынок SOAR? Назовите ключевые тенденции его развития.
В России рынок SOAR уже достиг высокого уровня зрелости. Сегодня мы наблюдаем тенденцию к объединению отдельных решений в сфере информационной безопасности в крупные платформы. Это означает, что механизмы выявления инцидентов, реагирования на них и автоматизации процессов объединяются в рамках одного решения. Поддерживая этот тренд, мы выпустили собственное решение класса SIEM — R-Vision SIEM, которое тесно интегрируется с R-Vision SOAR.
Кроме того, в системах SOAR развиваются технологии искусственного интеллекта (ИИ), однако их потенциал пока не раскрыт в полной мере.
— Какие отрасли наиболее перспективны для внедрения SOAR? Как на это влияют законодательные требования?
SOAR востребован в крупных организациях с большой ИТ-инфраструктурой, потоком инцидентов и высокой значимостью ИТ-систем. Характерные заказчики — ресурсо-энергетические компании, крупные торговые сети, банки и другие. Что касается влияния законодательных требований, активная работа регуляторов является катализатором для развития ИБ и внедрения SOAR, в частности, в банковской сфере и для организаций-владельцев КИИ.
— Какие специалисты нужны для обеспечения работы SOAR на стороне заказчика? Оцените потребность в кадрах для повсеместного внедрения этих продуктов.
Конечным пользователем SOAR является аналитик информационной безопасности. Разработка и поддержка контента в системе при этом может осуществляться как теми же сотрудниками, так и отдельно выделенными инженерами сопровождения системы.
На бурно развивающемся рынке ИТ/ИБ потребность в таких специалистах на данный момент скорее превышает предложение. Однако системы класса SOAR могут компенсировать нехватку квалифицированных кадров, предоставляя инструменты для автоматизации ручных задач, что способствует оптимизации рабочего процесса.
— Какие тенденции кибербезопасности определят будущее развитие SOAR в России в течении следующих 3 лет? Насколько они отличаются от общемировых тенденций?
Тенденции, с которыми столкнутся системы SOAR в ближайшие годы, — это рост нагрузок и, как следствие, потребность в переходе на архитектуры, позволяющие масштабировать систему. Также можно отметить общий тренд на использование ИИ и больших платформ, которые совмещают функции всей линейки ключевых ИБ-продуктов. В России при этом с учетом ситуации по импортозамещению вырастет потребность в контенте для интеграции с отечественными решениями.
