Запись вебинара можно посмотреть тут.
На вебинаре мы поговорили о том, как злоумышленники получают удаленный доступ к инфраструктуре и как SIEM, TIP и SOAR помогают обнаружить атаку и остановить ее.
Ниже представлены ответы на самые популярные вопросы.
Матрица MITRE в SOAR от R-Vision только для Enterprise-сети? Насколько актуально рассматривать ваше решение для PCN (OT/ICS) сетей?
На вебинаре мы в основном говорили о корпоративной инфраструктуре: Active Directory, VPN, почтовых сервисах, веб-приложениях и других классических ИТ-системах.
Но сам подход работает и в промышленной среде. SIEM, SOAR и TIP можно использовать в OT/ICS-сетях, если есть источники событий: SCADA, промышленные шлюзы, сетевые сенсоры, системы мониторинга OT-сегмента и другие средства защиты.
При этом промышленная инфраструктура требует отдельной настройки. Правила и сценарии из корпоративной сети нельзя просто перенести в OT-сегмент. Для PCN нужны свои источники событий, свои сценарии корреляции, учет технологических процессов и адаптация техник MITRE под OT/ICS.
Если сделать все грамотно, то связка решений будет работать следующим образом: SIEM помогает собирать и коррелировать события, TIP — обогащать артефакты, а SOAR — формализовать расследование и запускать безопасные сценарии реагирования с учетом критичности технологической инфраструктуры.
Если злоумышленник скомпрометировал легитимную учетную запись администратора и начал применять легитимные инструменты (технику Living off the Land), как R-Vision SOAR сможет отделить автоматический ответ от действий реального администратора, чтобы не парализовать работу ИТ-инфраструктуры?
В этом случае одного признака недостаточно. Важно смотреть на картину целиком.
Система анализирует, откуда пришел пользователь, с какого IP-адреса подключился, его географию, время входа в систему, новый хост, какие действия выполняет и были ли похожие события раньше.
Даже если злоумышленник использует легитимные инструменты, подозрение может вызвать сама последовательность действий.
При этом SOAR не обязательно сразу блокирует пользователя. Обычно реагирование строится поэтапно:
- уведомление SOC или эскалация инцидента;
- запрос на подтверждение аналитика;
- и только при высокой уверенности ограничение доступа или блокировка.
Главная задача автоматизации — не остановить бизнес-процесс, а быстрее выявить атаку и помочь аналитикам принять решение.
Предположим, SIEM обнаружил подозрительный AnyDesk-сеанс на сервере AD (рейтинг высокий). SOAR инициирует блокировку, но злоумышленник уже успел поднять себе второй вход через другой протокол. Как ваша связка гарантирует, что обезвреживание происходит быстрее, чем эскалация атаки? Есть ли в SOAR предустановленные плейбуки с ядерной изоляцией узла от сети сбросом всех активных сессий?
Полностью гарантировать блокировку всех действий злоумышленника невозможно, потому что атака и защита всегда развиваются параллельно.
Но за счет SIEM и SOAR можно значительно сократить время реакции. Система отслеживает не только подозрительную сессию AnyDesk, но и связанные события: VPN-подключения, новые сессии, сетевые аномалии, DNS/ICMP-туннели, повторные обращения с того же IP и другие признаки атаки. Если злоумышленник пытается закрепиться в инфраструктуре через второй канал, система связывает эти действия в рамках одного инцидента.
Дальше SOAR может запустить сценарий реагирования:
- изолировать узел,
- завершить активные сессии,
- заблокировать учетную запись или VPN-доступ,
- уведомить SOC и запустить дополнительное расследование.
Главная задача здесь — не обещать стопроцентную защиту, а максимально быстро выявить развитие атаки и сократить время до реакции.
Достаточно просто поставить эти перечисленные средства защиты информации (SIEM, SOAR, TIP), и они будут нас защищать?
На вебинаре рассматривалась связка трех классов решений:
- SIEM собирает и коррелирует события из разных частей инфраструктуры.
- SOAR автоматизирует реагирование на инциденты.
- TIP обогащает данные об угрозах внешней информацией.
Но само по себе внедрение этих систем не гарантирует безопасность. SIEM, SOAR, TIP и другие средства защиты требуют регулярного сопровождения: обновления правил, подключения новых источников событий, контроля покрытия инфраструктуры и проверки сценариев реагирования.
Для этого можно использовать пентесты, эмуляцию атак и BAS-платформы. BAS помогает регулярно проверять, видит ли SOC нужные действия злоумышленника, корректно ли срабатывают правила детектирования и запускаются ли сценарии реагирования.
Поэтому информационная безопасность — это не набор установленных продуктов, а непрерывный процесс проверки, анализа и улучшения защиты.
На основании каких сигналов и с каким уровнем уверенности SOAR-система принимает решение о блокировке или завершении сессии? И как вы минимизируете риск ложного срабатывания, чтобы не выбить легитимного пользователя, администратора или не остановить критичный бизнес-процесс?
Автоматическая блокировка не должна запускаться на основании одного события. Решение принимается по совокупности сигналов: данным SIEM, EDR, VPN, Active Directory, сетевых средств защиты, а также информации из TIP.
Например, если IOC имеет высокий рейтинг вредоносности в TIP, это повышает уровень уверенности системы. Кроме того, несколько слабых сигналов могут усиливать друг друга: нетипичное поведение пользователя, подозрительная активность, связь с другими инцидентами или ранее накопленным контекстом.
Чтобы не заблокировать легитимного пользователя или не повлиять критичный бизнес-процесс, действия настраиваются по уровням:
- при низкой уверенности — уведомление SOC;
- при средней — подтверждение аналитиком;
- при высокой — автоматическая блокировка, завершение сессии или изоляция узла.
Для администраторов, сервисных учетных записей и критичных систем можно задавать отдельные правила и требовать ручного подтверждения перед активным воздействием.
Ведется ли в вашем сценарии профиль пользователя или актива с накоплением контекста по его активности? И как работать с событиями, разнесенными во времени: например, если первичный доступ был получен сегодня, а дальнейшая активность или эскалация привилегий произошла только через несколько недель или месяц — сохраняется ли такая цепочка как единый инцидент или она уже распадается на отдельные события?
Да.
Система сохраняет контекст и использует его при последующем анализе.
Например, подозрительные IP-адреса, учетные записи, домены, хеши или другие артефакты могут сохраняться и использоваться в последующей корреляции, а также обогащаться данными из TIP.
Благодаря этому можно связать между собой события, которые произошли даже через несколько недель после первоначального проникновения.
Можно ли рассматривать deception-архитектуры как следующий слой после SIEM/SOAR: не только обнаруживать компрометацию, но и управляемо сопровождать злоумышленника в контролируемой среде?
Да, deception-подход может дополнять классические средства мониторинга и реагирования.
Такие решения помогают обнаружить злоумышленника уже после того, как он оказался внутри инфраструктуры. Они фиксируют попытки разведки, дают дополнительный контекст для расследования.
Но эффективность такого подхода зависит от настройки. Ловушки должны выглядеть правдоподобно и органично вписываться в инфраструктуру.
Сигналы от deception-систем могут передаваться в SIEM и SOAR для корреляции, обогащения инцидентов и автоматизации реагирования.
Таким образом, deception можно рассматривать как дополнительный слой защиты, который усиливает возможности SOC по раннему обнаружению атак.
Есть возможность интегрировать R-Vision SOAR с SIEM другого вендора?
Да, архитектура SOAR строится вокруг интеграций и обмена событиями между разными системами.
SOAR может взаимодействовать с SIEM других вендоров, NGFW, EDR, антивирусами, WAF, VPN-шлюзами, CMDB, TIP-платформами и другими средствами защиты.
Отдельно стоит отметить, что в R-Vision есть возможность настраивать интеграции в упрощенном режиме — без полноценной разработки кода. Это позволяет быстрее подключать внешние системы, настраивать обмен данными и автоматизировать типовые действия в рамках сценариев реагирования.