Огляд ринку платформ реагування на інциденти (IRP) в Росії

1. Вступ
2. Визначення предметної області та ринку платформ реагування на інциденти
3. Російські постачальники платформ реагування на інциденти
4. Jet Signal
5. R-Vision Incident Response Platform
6. Security Vision Incident Response Platform
7. Зарубіжні постачальники платформ реагування на інциденти
8. CyberBit SOC 3D
9. IBM Resilient Incident Response Platform (IRP)
10. Open-Source-платформи реагування на інциденти
11. Fast Incident Response (FIR)
12. The Hive
13. висновки

Тематика платформ реагування на інциденти (Incident Response Platforms, або IRP) набрала популярність в останні кілька років - що підтверджує експертна оцінка. У цій статті ми визначимо, що таке IRP, і подивимося, яку пропозицію IRP існує на ринку на початку 2018 року.

1. Вступ
2. Визначення предметної області та ринку платформ реагування на інциденти
3. Російські постачальники платформ реагування на інциденти
1. 3.1. Jet Signal
2. 3.2. R-Vision Incident Response Platform
3. 3.3. Security Vision Incident Response Platform
4. Зарубіжні постачальники платформ реагування на інциденти
1. 4.1. CyberBit SOC 3D
2. 4.2. IBM
5. Open-Source-платформи реагування на інциденти
1. 5.1. Fast Incident Response (FIR)
2. 5.2. The Hive
6. висновки

Вступ

Зростання популярності IRP викликаний як видимими бізнесу атаками (WannaCry, Petya, великі DDoS-атаки на російські банківські та державні структури), так і поступовим зменшенням обсягу доступної на ринку праці експертизі по ІБ.

Демографічна криза в поєднанні з «кліповим» мисленням призводять до обміління раніше оманливе удаваного безмежним кадрового моря ІБ-талантів, і змушує організації шукати шляхи підвищення ККД наявного персоналу, а саме через розробку, впровадження та автоматизацію процесів ІБ, управління інцидентами та реагування на інциденти, зокрема.

Особливої ​​актуальності тематика автоматизації реагування придбала через точності і швидкості процедур і процесів реагування. Адже саме в цей момент рахунок йде на секунди - організації прагнуть знизити час реагування (а значить, понесений збиток) до мінімального значення.

Визначення предметної області та ринку платформ реагування на інциденти

Визначення IRP в залежності від джерела істотно розрізняються, але в цілому IRP - це клас технологій, спрямованих на автоматизацію і підвищення ефективності процесів управління, реагування та розслідування інцидентів ІБ. Іноді постачальники називають IRP технологічною основою для SOC - і з точки зору ринкових практик з ними важко сперечатися, адже історична основа для SOC SIEM потихеньку сходить з ринку, а розуміння центральної ролі log management (і концепції data lake в цілому) на ринок ще не проникло цілком.

Визначальними характеристиками IRP є наявність функцій по автоматизації життєвого циклу управління інцидентами (Incidents management & investigations) і певна база знань (Security Knowledge Base), цінуються також функції проведення кіберученій (Wargames), автоматичного реагування на інциденти певного типу (Active Response) і інтеграції з різними джерелами даних про загрози (наприклад, платформами управління інформацією про загрози - Threat Intelligence Management Platforms), що дозволяє визначити IRP як перетин чотирьох множин на малюнку 2.

Малюнок 1. Модель IRP аналітичного центру Anti-Malware.ru версії 1.0

Кожен з напрямків IRP має свою специфіку, наприклад, автоматизація процесів ІБ (incident workflow management & orchestration) призначена і має функції для підтримки досягнення трьох цілей:

• Контроль якості роботи аналітиків в частині класифікації інцидентів і визначеннях їх статусу (false positive) - архів інцидентів і кастомізіруемие картки інцидентів.
• Контроль оперативності роботи аналітиків - контроль виконання SLA.
• Підвищення корисного навантаження на аналітика - автоматичний розподіл і призначення інцидентів.

На малюнку 2 наведено приклад функціональності IRP, що підтримує процеси реагування на інциденти ІБ:

Малюнок 2. Приклад функціональності IRP, що підтримує процеси реагування на інциденти ІБ

Ринок IRP включає в себе російських і зарубіжних постачальників рішень, а також можливо використовувати різні Open-Source-рішення.

Російські постачальники платформ реагування на інциденти

Ринок IRP в Росії представлений в першу чергу російськими постачальниками. Особливою специфіки в російському ринку IRP автору не вдалося знайти, але локальні гравці традиційно ведуть більш гнучкі продуктові і цінові політики.

Jet Signal

Одним з найбільш молодих гравців на ринку IRP стала компанія «Інфосистеми Джет». Компанія давно відома своєю здатністю створювати продукти ІБ - на її рахунку Dozor Jet, Jet InView, «Стежка» і багато інших, і не дивлячись на виділення вендорськіх ІБ-бізнесу в компанію Solar Security в 2015, «Джет» продовжує створювати нові продукти ІБ.

Вендор позиціонує Jet Signal як систему класу IRP - технологічну платформу для створення SOC, основні завдання якої - управління інцидентами ІБ на всіх етапах життєвого циклу: збір подій ІБ від підсистем ІБ, SIEM, неавтоматизованих джерел, управління планами реагування, автоматизація розслідування, організація роботи чергових змін, ведення бази знань, систематизація даних Threat Intelligence і т. д.

переваги:

• Архітектура - як нове на ринку рішення, система не має legacy-коду.
• Кіберученія - система дозволяє проводити кіберученія для підрозділу моніторингу ІБ (немає окремого модуля але можна створити синтетичний інцидент).
• Сертифікація - система має сертифікат відповідності вимогам безпеки інформації за рівнем контролю 2 НДВ і РДВ системи сертифікації Міністерства оборони і підтримує комплекс засобів захисту Astra Linux.

Малюнки 3, 4, 5. Можливості модулів Jet Signal і інтерфейс Jet Signal

R-Vision Incident Response Platform

R-Vision IRP став результатом розвитку R-Vision GRC в сторону автоматизації процесів моніторингу та реагування на інциденти ІБ, тому в рішенні традиційно сильні компоненти роботи з активами, а за рахунок довгого присутності на ринку R-Vision GRC багато функцій рішення досягли промислової зрілості і рішення розгортається з коробки - вендор готовий проводити пілотні проекти для багатьох клієнтів.

Однак варто зазначити, що будь-яка кастомизация передбачає витрати з кожної зі сторін, тому запити на додавання функціональності рішення безумовно будуть враховані, але можуть бути не прийняті вендором без додаткової оплати.

переваги:

• Досвід проектів в Росії - джерела в індустрії і публічні виступи (наприклад, кейс МТС-банку на Сколково CyberDay 2017) свідчать про значне досвіді вендора по автоматизації процесів реагування на інциденти ІБ в Росії в організаціях різного масштабу - наприклад, банки топ-50, банки топ-10, державні структури.
• Інтеграція - R-Vision інвестував мільйони в інтеграцію з різними засобами захисту інформації, деякі консолі управління від вендорів інтегрованих систем відображають менше інформації, ніж R-Vision.
• Наявність готових скриптів реагування (cmd, sh script, Power Shell) і можливість додавання власних (cmd, sh script, Power Shell, а також в середовищах python, java і perl).
• Динамічні playbooks. Можливість включення в ланцюжок дії, результат якого буде залежати від результату попереднього.
• Наявність функціональності з управління активами та уразливими - рідкісний функціональний блок для класичних, перш за все, західних IRP-рішень. Завдяки взаємозв'язку зазначених блоків з блоком управління реагуванням на інциденти значно підвищується ефективність роботи аналітиків SOC при розслідуванні інцидентів, усунення їх наслідків, встановлення причин або оцінки збитків.

Малюнки 6, 7, 8, 9. Архітектура і інтерфейс R-Vision IRP

Security Vision Incident Response Platform

Компанія Security Vision працювала над базовими функціями IRP, коли абревіатури IRP не існувало на російському ринку, одні з перших автоматизували життєвий цикл управління інцидентами на прикладі Ощадбанку Росії, де рішення знаходиться в промисловій експлуатації більше 3 років.

Для реагування на інциденти (Active Response) рішення використовує автоматичні плани реагування та окремий додаток «Агент реагування», який є логічним продовженням і розвитком власної системи управління інцидентами ІБ (системи SGRC). База знань накопичує знання і дозволяє проводити автоматичний аналіз раніше трапилися інцидентів безпеки і допомагає в прийнятті рішень. Функції проведення кіберученій (Security Awareness), використовується для підвищення обізнаності співробітників компанії про інформаційну безпеку. Агентна і безагентная інтеграція з різними джерелами даних з підтримкою більше 2000 джерел (формати CSV, email, STIX, XML, JSON, і ін.) Інтеграція для отримання фідів на прикладі IBM X-Force і GIB, GovCERT.

переваги:

• Реалізація практично будь-якого сценарію реагування на інцидент безпеки, проведення розслідування за рахунок можливості визначення ланцюжка послідовних дій.
• Розвинені засоби візуалізації та карта інцидентів ІБ (геоінформаційна підсистема з проекцією 3D).
• Повноцінний Ticketing workflow (вперше реалізований в Ощадбанку в 2016 році) з редактором процесів, що забезпечує роботу з будь-сутністю «заявки». Є автоматичне реагування відповідно до runbook / playbook / use case.
• Висока надійність, підтверджена проектами федерального значення (найбільший SOC в Східній Європі, SOC держорганів).
• Наявність агентів для інвентаризації, контролю цілісності, доступності та реагування, що дозволяє доповнювати функції класичної IRP.
• SIEM-система Security Vision має конструктор простих правил кореляції.
• Наявність функцій управління активами, в тому числі ІТ-активами.
• Спеціалізація на кібербезпеки - дозволяє припустити більш швидкий розвиток просунутої функціональності рішень.
• Очікується отримання сертифікату ФСТЕК Росії.

Малюнки 10, 11, 12, 13. Інтерфейс Security Vision IRP

Зарубіжні постачальники платформ реагування на інциденти

Кілька років тому придбати IRP від ​​закордонного гравця в Росії було непросто. Просуваючи IRP, ще в 2014 році автор стикався як з малим інтересом вендорів до Росії, так і з відсутністю у нас представництв і дистриб'юторів. Доводилося викручуватися за допомогою ITSM \ BPM-гравців, але з того часу стало легше - на ринок вийшло 2 повноцінних гравця.

При цьому до кінця не зрозуміло, чи з'явився у зарубіжних гравців реальний інтерес до ринку - їх в країні всього два, в тому числі жодного представництва спеціалізованої (pure play) IRP-компанії. Сегмент представлений ексклюзивним дистрибутором CyberBit (IITD Group) і IBM, що раніше придбала Resilient Systems.

CyberBit SOC 3D

Ізраїльська компанія CyberBit була заснована в 2015 році для захисту корпоративних та критичних (АСУ ТП) інфраструктур від найбільш просунутих загроз, можливо, раніше будучи внутрішнім підрозділом ізраїльського оборонного концерну Elbit (зараз його дочірня компанія). Крім IRP під назвою CyberBit SOC 3D в портфелі рішень компанії можливо знайти EDR, SCADA Security і навіть рішення класу Cyber ​​Range, що призначене для імітації корпоративної інфраструктури під час проведення вправ RedTeam - BlueTeam.

Вендор декларує наявність ключових для IRP-рішення функцій автоматичного реагування на інциденти ІБ і управління та контролю обробки інцидентів і тікетів ІБ (підозр на інциденти), але виніс функціональність кіберученій в окреме рішення Cyber ​​Range.

Вендор не розголошує своїх клієнтів, дещо несподівано комбінуючи на своєму сайті клієнтів з партнерами, тому при оцінці рішення бажано запросити історії успіху.

переваги:

• Спеціалізований портфель рішень - імовірна синергія за умови придбання пакетом.
• Глобальний досвід - офіси в Ізраїлі, США, Великобританії, Німеччини та Сінгапурі дозволяють сподіватися, що компанія отримає доступ до різних проблем різних клієнтів і зможе автоматизувати їх рішення для майбутніх клієнтів.
• Новий на російському ринку бренд і молода компанія - дозволяє сподіватися на цінову лояльність виробника.
• Спеціалізація на кібербезпеки - дозволяє припустити більш швидкий розвиток просунутої функціональності рішень.

Малюнки 14, 15, 16. Інтерфейс IRP-рішення CyberBit SOC 3D

IBM Resilient Incident Response Platform (IRP)

У 2016 році відома своїм широким портфелем ІБ-рішень компанія IBM придбала найвідомішого IRP-вендора - Resilient Systems. Компанія реалізує, можливо, найбільш функціонально повне на ринку рішення, проте ринкові і відкриття джерела (наприклад, гучний тендер в Пенсійному фонді Росії) свідчать про відповідність ціни функціональними можливостями. Мабуть, ціна не бентежить дійсно великі організації - вендор заявляє про присутність рішення в 100 організаціях зі списку Fortune 500.

Переваги IBM Resilient Incident Response Platform (IRP):

• Широкий портфель рішень - імовірна синергія за умови придбання пакетом або наявності раніше придбаних рішень IBM.
• Глобальний досвід - численні офіси IBM по світу дозволяють сподіватися, що компанія отримає доступ до різних проблем різних клієнтів і зможе автоматизувати їх рішення для майбутніх клієнтів.
• Сильний бренд - «ще нікого не звільнили за те, що він купив IBM».
• Функціональне лідерство на російському ринку.

Малюнки 17, 18. Схеми роботи IBM Resilient Incident Response Platform

Open-Source-платформи реагування на інциденти

Безкоштовні рішення з відкритим вихідним кодом (Free Open Source Solutions, FOSS ^ або відкриті рішення) набирають популярність в різних категоріях - від операційних систем і віртуалізації до прикладних задач безпеки. З огляду на розробки невеликими колективами ентузіастів FOSS можуть розвиватися і вирішувати певні завдання ІБ навіть більш повно, ніж традиційні комерційні рішення від забюрократизованих гігантів - наприклад, тісно інтегруються з TIMP, нативної підтримують.

Fast Incident Response (FIR)

У 2014 році CERT Societe Generale (команда швидкого реагування на інциденти ІБ глобальної банківської групи французького походження) виклала у відкритий доступ платформу Fast Incident Response для обліку та управління інцидентами ІБ.

FIR є найбільш функціонально простим рішенням з рішень огляду і навіть може бути виключений з класу IRP з формальних підстав. Фактично в рішенні реалізовані лише процеси управління інцидентами. Однак такий набір функціональності затребуваний багатьма організаціями середнього розміру, які ще не усвідомили користь від розвинених процесів і технологій для оптимізації реагування на інциденти. Разом з цим в наявності і просунута функція - інтеграція з TIMP YETI.

Відкриті IRP-рішення кілька концептуально суперечливі - IRP призначені для підвищення ефективності роботи аналітиків, однак перед вибором відкритого рішення варто визначитися, хто з аналітиків (інженерів) буде підтримувати таке рішення, неминуче відволікаючись тим самим від моніторингу загроз ІБ.

переваги:

• Простота - рішення швидко розгортається і навчати його використання просто.
• Фінансова гнучкість - немає необхідності оплати ліцензій, а також щорічної підтримки.
• Технологічна гнучкість - відкритий код, поширена мова програмування (Python) і невеликий розмір кодової бази дозволяють підправити код самостійно при наявності відповідних компетенцій.

Малюнки 19, 20, 21. Інтерфейс платформи Fast Incident Response

The Hive

У 2016 році CERT Banque de France (команда швидкого реагування на інциденти ІБ Центрального банку Франції) виклала у відкритий доступ платформу The Hive для підтримки розслідувань інцидентів ІБ.

The Hive щільно інтегрована з цілим рядом суміжних рішень для підтримки розслідування інцидентів ІБ - платформою з управління інформацією про загрози MISP, спеціалізованим пошукачем Cortex і агрегатором інформації про загрози Hippocampe.

переваги:

• Розвиток - рішення швидко розвивається і обростає новими сервісами в рамках єдиної екосистеми.
• Розслідування - за рахунок щільної інтеграції з технічними засобами розслідування The Hive оптимальний для Threat Hunting (пошуку і розслідування складних загроз).
• Фінансова гнучкість - немає необхідності оплати ліцензій, а також щорічної підтримки.
• Інтеграція з будь-яким зовнішнім джерелом (SIEM, IPS, DLP і т. Д.) Через TheHive4py.

Малюнки 22, 23, 24. Платформа The Hive

висновки

Сьогоднішній ринок IRP знаходиться ще в своєму дитинстві - в Росії поки лише десятки клієнтів, кому тема цікава і хто готовий за неї платити. Однак попит в основному ще не кваліфікований, а рішень мало, тому постачальники рішень отримують преміальну маржу, а розвиток функціональності за рахунок такої маржі йде вражаючими темпами.

Незважаючи на молодість ринку на ньому вже є 7 рішень з достатньою для виконання базових завдань функціональністю. Російські постачальники рішень мають унікальні функціями (управління активами та сканування мережі, власні агенти) або кращими функціями на рівні світових конкурентів (кіберученія), зарубіжні поки тільки придивляються до ринку, а відкриті рішення загрожують забрати ринок середнього бізнесу у комерційних - вони простіше у використанні, розгортаються швидше, ніж деякі комерційні, і не вимагають закупівлі програмного забезпечення або обгрунтування придбання ПЗ не з реєстру Мінкомзв'язку.

Окрема тема - тематичні бази і референсні бібліотеки процесів з коробки. Архітектура і функціональні можливості рішень багато в чому формуються стихійно, і навіть світові лідери не в змозі принести клієнтам детальний стек опрацьованих процесів управління інцидентами - процеси «допілівать» прямо на клієнті. Якісні процесні моделі неминуче стануть конкурентною перевагою для тих гравців, що будуть в змозі їх розробити.

Колектив Anti-Malware.ru висловлює особливу подяку за допомогу в підготовці даного матеріалу колегам:

Jet Signal

• Андрій Янкин, заступник директора Центру ІБ ЗАТ «Інфосистеми Джет»

R-Vision

• Ігор сметану, комерційний директор ТОВ «Р-Віжн»

Security Vision

• Артем Зюльманов, старший аналітик ТОВ "Інтелектуальна безпека"