На сегодняшний день существует много разновидностей инструментов для автоматизации процессов в информационной безопасности: Threat Intelligence Platform; Security Orchestration, Automation and Response; Incident Response Platform; Security Governance, Risk Management and Compliance; Extended Detection and Response. Сфокусируем внимание на сходствах и различиях этих классов.
- Введение
- Что такое TIP, IRP, SOAR, SGRC, XDR
- Сходства и различия платформ
- 3.1. SGRC vs IRP / SOAR
- 3.2. IRP / SOAR vs XDR
- 3.3. IRP / SOAR и XDR vs TIP
- Выводы
Введение
Обеспечение информационной безопасности состоит из огромного числа процессов, в т. ч. рутинных и трудоёмких. Если организация велика, имеет развитую систему ИБ и сложную информационную инфраструктуру, то их реализация в полном объёме и в соответствии с требованиями и указаниями регуляторов требует больших временных и человеческих ресурсов.
На рынке средств защиты информации активно продвигаются различные системы автоматизированного управления: TIP, SOAR, IRP, SGRC, XDR. Многие классы имеют схожие функции, различаясь при этом архитектурно и концептуально. Поэтому сегодня мы сфокусируем внимание на их сходствах и различиях.
Что такое TIP, IRP, SOAR, SGRC, XDR
Для начала разберёмся в том, для чего необходим каждый из перечисленных классов систем.
Threat Intelligence Platform
Платформа киберразведки позволяет в автоматическом режиме производить весь цикл работ с потоками данных об угрозах, или фидами: разбор, сортировку, сравнение и хранение. TIP также помогает приоритизировать источники данных, сопоставлять сведения об угрозах со внутренней телеметрией и формировать события по информационной безопасности.
Подробно о TIP мы рассказывали в статье «Обзор рынка платформ и сервисов киберразведки (Threat Intelligence) в России и в мире».
Security Governance, Risk Management and Compliance
Системы управления кибербезопасностью, рисками и соответствием законодательству решают задачи по управлению ИТ-активами, уязвимостями, документами, задачами и киберрисками, помогают соблюдать отраслевые и внутренние нормативные акты. Кроме того, SGRC-системы автоматизируют процессы проведения аудитов (внутренних и внешних), предоставления отчётности и визуализации состояния / метрик ИБ, а также обеспечивают интеграцию с информационными системами для мониторинга состояния кибербезопасности и, в некоторых случаях, для управления настройками средств защиты.
Incident Response Platform / Security Orchestration, Automation and Response
Системы IRP / SOAR используются для автоматизации действий по реагированию на инциденты в ИБ и сбору дополнительной обогащающей информации по инцидентам. Отметим, что SOAR являются логическим развитием систем IRP; в них автоматизация реагирования сочетается с управлением средствами защиты и данными о киберугрозах. В задачи SOAR-систем входят, как правило, обработка событий по ИБ, получаемых непосредственно от средств защиты или из SIEM-решений, автоматизация действий по реагированию в соответствии с рабочими процессами и сценариями (плейбуками / ранбуками), а также оркестровка ИТ- / ИБ-систем (централизованное согласованное управление информационной инфраструктурой и средствами защиты).
SOAR может обеспечивать совместную работу аналитиков над инцидентами, ведение общей базы знаний и интеграцию с инструментами киберразведки (Threat Intelligence), предоставлять возможности по визуализации данных, расширенному анализу (в том числе с помощью механизмов обработки Big Data, машинного обучения и искусственного интеллекта), построению временной шкалы инцидентов.
Подробно о SOAR мы рассказывали в статье «Обзор решений класса Security Orchestration, Automation and Response (SOAR)».
Extended Detection and Response
XDR — это новый перспективный класс систем, ориентированный на комплексное противодействие сложным кибератакам. Он появился в результате развития систем класса Endpoint Detection and Response (EDR), которые отвечают за обнаружение APT-атак и реагирование на них на уровне конечных точек.
EDR, как ясно по названию, не охватывает те части инфраструктуры, которые не связаны с рабочими станциями: сеть, почту, учётные записи, облачные среды и пр. XDR объединяет EDR с другими средствами защиты либо источниками данных, консолидированно собирает и сопоставляет эти данные и предоставляет аналитикам расширенные возможности по обнаружению, расследованию и реагированию. XDR может объединять EDR c такими продуктами, как межсетевые экраны, системы сетевого анализа, решения по защите облаков, веб-шлюзы и шлюзы электронной почты, инструменты по управлению правами доступа и прочие классы решений в рамках единого процесса реагирования на инциденты.
Подробно об XDR мы рассказывали в статье «XDR: новая стратегия повышения эффективности защиты от кибератак».
Сходства и различия платформ
SGRC vs IRP / SOAR
Классическая SGRC представляет собой систему сбора и анализа информации о ходе деятельности по управлению ИБ в организации. Сведения о возможных рисках и исполнении требований стандартов предоставляются руководству в виде отчётов, демонстрирующих проблемные места, а руководителям среднего звена эти системы поставляют информацию, которая нужна для идентификации и обработки рисков и несоответствий требованиям.
В сравнении систем SGRC (Security Governance, Risk Management and Compliance), где мы анализировали популярные на российском рынке комплексы этого класса, видно, что в SGRC наряду с подсистемами управления соответствием требованиям, уязвимостями, рисками, активами и осведомлённостью пользователей также есть подсистема управления ИБ-инцидентами и функции автоматического реагирования на них.
IRP / SOAR — это, по сути, выделение такой подсистемы управления инцидентами в ИБ в отдельный класс продуктов.
Основные сходства:
- SGRC и IRP / SOAR могут применяться для управления ИБ-инцидентами (можно создавать карточки инцидентов и сценарии реагирования, выполнять автоматическое реагирование);
- в SGRC и IRP / SOAR можно вести перечни активов организации.
Основные различия:
- SGRC — это комплексная платформа для управления соответствием требованиям, рисками и активами, в которой в том числе есть модуль управления инцидентами в ИБ;
- IRP / SOAR — специализированная платформа для управления ИБ-инцидентами.
IRP / SOAR vs XDR
SOAR автоматизируют основные процессы реагирования на инциденты в ИБ — реализовывают меры противодействия угрозам в соответствии с заранее заданными сценариями (плейбуками или ранбуками). Автоматизация в SOAR помогает сократить среднее время реагирования. XDR, в свою очередь, предоставляет базовую SOAR-функциональность: есть поддержка автоматизированного реагирования на ИБ-инциденты на основе плейбуков. Однако архитектурно это — разные решения.
В отличие от IRP / SOAR, в XDR есть встроенные детектирующие технологии, возможность корреляции «сырых» данных, объединение уведомлений в инцидент. IRP / SOAR получает всё это из SIEM, а не делает самостоятельно.
Основные сходства:
- в XDR и IRP / SOAR есть поддержка автоматизированного реагирования на инциденты в ИБ на основе плейбуков.
Основные различия:
- XDR — система интегрированной защиты с более широкой функциональностью;
- IRP / SOAR менее самостоятельна в работе с данными и уведомлениями, полагаясь на поддержку SIEM.
IRP / SOAR и XDR vs TIP
Как мы отмечали выше, Threat Intelligence Platform — это класс автоматизированных систем, которые на основании данных об угрозах (IoC, IoA, TTP и т. д.) в настоящем времени обнаруживают подозрительную активность в инфраструктуре, проводят обогащение индикаторов и инцидентов, интегрируются с инфраструктурой и средствами защиты, обеспечивают ситуационную осведомлённость.
До появления отдельных платформ киберразведки системы класса IRP / SOAR обращались к фидам при помощи встроенного модуля, чтобы проверить уже сформированный по внутренним правилам инцидент на наличие индикаторов компрометации. Отметим, что в XDR тоже есть встроенный модуль обработки данных об угрозах.
С появлением TIP стало возможным формировать инциденты на основании выявленных во внутренней инфраструктуре индикаторов компрометации. Появилась возможность выстраивать связи между инцидентами, индикаторами атак (IoA) и прочими видами угроз.
Основные сходства:
- в TIP, XDR и IRP / SOAR возможно формировать ИБ-инциденты;
- в XDR и IRP / SOAR есть встроенный модуль Threat Intelligence.
Основные различия:
- в IRP / SOAR и XDR сначала формируется инцидент, а потом его проверяют по базам киберразведки;
- в TIP киберразведывательные данные используются для обнаружения и формирования инцидентов внутри инфраструктуры.
Выводы
Подводя итоги, можно отметить, что на сегодняшний день существует большое количество различных инструментов для автоматизации процессов информационной безопасности. TIP, SOAR, IRP, SGRC, XDR позволяют автоматизировать рутинные процедуры, совершаемые специалистом по ИБ, большое количество подобных задач уходит в прошлое, что сокращает время на обнаружение, сдерживание и нейтрализацию угроз. В результате организации могут эффективно и оперативно отражать направленные на них кибератаки.
При этом одни классы систем являются развитием других (как это было с SGRC и IRP / SOAR), а некоторые имеют схожую базовую функциональность, но при этом различаются архитектурно и концептуально (например, XDR имеет базовую функциональность IRP / SOAR в части автоматизации реагирования на инциденты, однако в IRP / SOAR нет детектирующих функций). Также стоит отметить, что многие классы систем дополняют друг друга. Поэтому при выборе систем для автоматизации процессов в ИБ важно понимать сходства и различия различных продуктовых классов.
