Як ми зрозуміли, що настав час використовувати SOAR
В 2021 році за результатами внутрішньої проміжної оцінки ефективності роботи аналітиків першої та другої лінії підтримки, ми побачили погіршення показників середнього часу обслуговування на 1 інцидент. Ми взяли до уваги як поточний обсяг інцидентів, так і передбачуваний, пов’язаний зі зростанням кількості клієнтів, та дійшли висновку, що ефективність обробки інцидентів у ручному режимі не дозволить нам забезпечити показники SLA (Service Level Agreement – угода про рівень обслуговування). ред.) з нашими замовниками.
Ми мусили переглянути сам підхід до обслуговування та сфокусуватися на ефективному розподілі навантаження між кібераналітиками – ключовій інтелектуальній складовій SOC.
Цьому завданню повною мірою відповідає концепція “людина думає, машина працює”, закладена в основу систем автоматизації. Ідея стати першим оператором послуг SOC, який надає сервіс з технологіями автоматизації підштовхнула нас до впровадження системи класу SOAR.
Що таке SOAR
SOAR – це абревіатура Security Orchestration, Automation And Response (англ., оркестрація, автоматизація та реагування на кіберінциденти).
Загалом, ця система дозволяє збирати події, сповіщення та інциденти (які ви вирішуєте обробляти у цій системі), збагачувати їх даними про загрози, індикатори компрометації та генерувати відповідні дії без участі людини, згідно сценаріїв реагування.
Завдяки цьому можна звільнити кібераналітиків від рутинної роботи зі збору додаткової інформації щодо кожного інциденту (збагачення), переключити їх з виконання простих завдань на більш складні і творчі, знижуючи в тому числі ризики вигорання.
В базовому варіанті SOAR виконує такі завдання:
В цілому, SOAR дозволяє знизити середній час виявлення проблеми (MTTD) та середній час реагування на неї (MTTR), які є основними показниками ефективності будь-якого SOC.
Власне, якщо ваш оператор послуг кібербезпеки використовує рішення класу SOAR, це означає, що він здатен більш ефективно обслуговувати вас як клієнта та зменшувати вплив кіберзагроз на вашу корпоративну інфраструктуру.
Крім того, SOAR підвищує продуктивність роботи аналітиків, поєднуючи інформацію з різних систем безпеки в єдиний інтерфейс. Так фахівці ефективніше розставляють пріоритети і швидше реагують на інциденти, які потребують втручання людини.
Вимоги стану війни
Перша відкрита кібервійна, яка супроводжує військову агресію росії на території України, ще більше актуалізувала для нас доцільність впровадження SOAR.
Причин декілька:
Крім того, SOAR допомагає нам зі звітністю та аналізом по ключових показниках ефективності роботи SOC в цілому та в розрізі окремих аналітиків.
Як ми обирали рішення
Octava Defence почала аналізувати ринок SOAR систем, щоб підібрати відповідне рішення у рамках внутрішнього R&D процесу. Ми провели тестування декількох продуктів, доступних на ринку України.
Звертали увагу на кілька ключових факторів: зручність роботи, можливості інтеграції, розширюваність, наявність підтримки від вендора та, звісно, ціну.
З огляду на те, що SOAR – це не готове рішення з коробки, а лише “конструктор”, який після покупки вимагає ретельного налаштування під завдання конкретної організації, процес адаптації зайняв у нас близько трьох місяців. І весь цей час ми придивлялися до рішення та аналізували відповідність нашій специфіці. Наприкінці, впевнені в його якостях, створили сценарії реагування під кожного замовника з урахуванням специфіки SLA, плану ескалації та комунікації.
Чи потрібен вам SOAR
SOAR – достатньо велика інвестиція, щоб підходити до неї поверхнево. Найголовніше, що вона потребує достатньої зрілості системи кібербезпеки та доречна тільки для компаній з великою інфраструктурою, яка створює (або може створювати) багато приводів для занепокоєння у кіберзахисників.
Якщо у вас на кожного кібераналітика припадає понад 20 інцидентів на день, варто замислитися про впровадження системи автоматизації. Обробка такої кількості інцидентів в ручному режимі неминуче пов’язана з появою помилок, що відносять до впливу людського фактора.
Проте навіть, якщо у вас велика інфраструктура, яка користується “попитом” у кіберзлочинців, доречність придбання SOAR все одно можна поставити під питання.
Справа в тому, що SOAR, на наш погляд, не може постачатися в рамках традиційної інтеграційної моделі: “купив – запровадив – забув”. Це рішення вимагає дууууже високої експлуатаційної зрілості команди. І з точки зору, наявності в ній кібераналітичних компетентностей, які дозволяють грамотно інтерпретувати дані, і з точки зору щоденного тюнінгу самої системи – адаптації під швидкоплинні умові.
Якщо замовник приходить до нас за послугою SOC as a Service, то отримує все необхідне в складі самої послуги, в тому числі SOAR-платформу, яка підтримуються на backend у належному стані на щоденній основі спеціалістами дуже високої кваліфікації.
З більшістю наших замовників щотижня ми проводимо регулярні зустрічі, на яких обговорюємо всі інциденти та шляхи покращення спільної роботи команд. До уваги беремо звіти з SOAR та базуємось на єдиних для обох сторін, зрозумілих всім показниках ефективності.
Таким чином у випадку SOCaaS – клієнт перекладає на наші плечі проміжні рутинні процеси моніторингу та тюнінгу систем та відразу отримує саме те, чого потребує – дані для прийняття рішень (сповіщення, інциденти та рекомендації щодо реагування).
Як використання SOAR позначилося на роботі Octava Defence
Наш досвід показав, що ключова перевага SOAR – це автоматизований збір та обробка всієї вхідної інформації, необхідної для аналізу, розслідування та реагування, звітність та можливість відслідковувати критичні показники SLA
Щодня SOC Octava Defence обробляє кілька десятків мільйонів подій, тисячі сповіщень, з яких в середньому кілька сотень кваліфікується як інциденти.
Станом на зараз 80% вхідної інформації про інциденти ми обробляємо автоматично або з базовою перевіркою аналітика. Решту – 20% – як і раніше, вручну.
Використання SOAR позначилось також на швидкості реагування. Раніше, коли аналітик опрацьовував повідомлення середнього рівня складності вручну, то витрачав близько 30 хвилин на збір даних з різних систем та формулювання гіпотез. Зараз середній час реагування Octava Defence по загрозам середнього рівня становить до 5-10 хвилин.
Потрібно розуміти, що платформа SOAR не замінює людей-аналітиків, а лише оптимізує існуючі робочі процеси і дозволяє в режимі реального часу формувати звіти для прийняття рішень. Ми маємо справу з дуже просунутим противником. Лічба під час розвитку атаки може йти на хвилини. Саме тому час, що йде на виявлення та реагування, відіграє важливу роль і забезпечити такі швидкості без автоматизації було б дуже складно або взагалі – неможливо.
Дізнайтесь більше про керовані послуги та SOCaaS від Octava Defence.