Динамические плейбуки SOAR на платформе Security Vision 5

IRP/SOAR 2.0 — новый продукт компании Security Vision, в котором реализованы уникальные методы расследования и реагирования на инциденты ИБ на основе технологии динамических плейбуков. Все этапы обработки инцидентов максимально автоматизированы.

SOAR — это класс автоматизированных систем оркестрации, автоматизации, реагирования на инциденты информационной безопасности.

Основная идея концепции динамических плейбуков заключается в автоматической адаптации планов реагирования под конкретную ситуацию сработавшего инцидента: система автоматически анализирует событие, его атрибуты, технику атаки, задействованные объектов и на основании этой информации автоматически выстраивает нужный плейбук с помощью входящих в продукт атомарных сценариев реагирования. За счет ретроспективного анализа окрестностей инцидента IRP/SOAR 2.0 определяет цепочку атаки и выстраивает реагирование, исходя из полученных объектов. Такой подход не требует сложной предварительной разработки и настройки множества плейбуков, оценки и предрасчета маршрутов атакующего, достижимости инфраструктуры, расчета вариантов атаки, построения карт атак и инфраструктуры сети. Система IRP/SOAR 2.0 каждый раз собирает подходящий план обработки инцидента.

«Динамический плейбук — это сценарий, автоматически выстроенный системой с учетом задействованной инфраструктуры Заказчика, типов событий, их атрибутов, техник атак, а также встроенной экспертизы, которая закладывает в сценарий экспертные рекомендации по классификации, обогащению, сдерживанию и реагированию.

Система автоматически выстраивает цепочку атаки, собирая дополнительные данные напрямую с задействованных объектов и предлагая комплексный сценарий по объектно-ориентированному реагированию, уникальный для каждой последовательности событий и вовлеченных объектов.

Не требуется заранее рассчитывать маршруты атаки и карты сетевой достижимости, система реагирует в условиях неопределенности и изменчивости атак и инфраструктуры за счет динамической адаптации».
 

IRP/SOAR 2.0 базируется на единой платформе Security Vision. Заказчикам доступны все преимущества платформы, в том числе широкие возможности кастомизации. Решение полностью параметрическое, для создания новой интеграции, отчета или дашборда не требуется доработок платформы: все настраивается через пользовательский интерфейс системы.

Анализ и обогащение инцидента

Инциденты проходят этап автоматического анализа и обогащения, в процессе которого система собирает дополнительные артефакты по всем событиям в окрестностях инцидента, формируя покрытие атаки. В рамках ретроспективного анализа инцидента производится поиск событий запуска подозрительных процессов на основе sigma-правил детектирования, антивирусных сработок и алертов IDS/IPS по хосту и событий аутентификаций с данного хоста.

Классификация инцидента

Security Vision IRP/SOAR 2.0 автоматически классифицирует инцидент, связывая его с техниками и тактиками матрицы MITRE ATT&CK, расширенными экспертизой Security Vision. Система может классифицировать более 250-ти типов инцидентов и событий ИБ, присваивая им более 110-ти различных техник и тактик. Встроенный в систему пакет экспертизы подробно описывает набор рекомендаций для аналитика ИБ по анализу, сдерживанию и реагированию по каждой выявленной технике. Дополнительно система предоставляет рекомендации по повышению общего уровня защищенности.

Объектно-ориентированное реагирование

Security Vision IRP/SOAR 2.0 на основе технологии динамических плейбуков «на лету» собирает процесс реагирования, адаптированный под выявленную атаку и задействованную инфраструктуру. На основе техник и тактик MITRE ATT&CK, связанных данных в окрестностях инцидента, результата ретроспективного анализа, данных внешних аналитических сервисов и внутренней экспертизы система выстраивает динамический плейбук. Он собирается из более чем 150-ти различных объектно-ориентированных действий и атомарных сценариев реагирования.

Кill chain

Экспертный движок Security Vision IRP/SOAR 2.0 автоматически выстраивает kill chain атаки за счет связывания задействованных в атаке событий и инцидентов ИБ по ключевым атрибутам: IP адреса / имена атакующих и скомпрометированных узлов, скомпрометированные учетные записи, уязвимости на хостах, хакерский инструментарий, ВПО. Плюс к этому система дополнительно собирает сырые данные с источника: сетевую связность, сессии, аутентификации и т.д. Также производится автоматический анализ скрытых взаимосвязей. 

Расследование инцидентов на графе

Security Vision IRP/SOAR 2.0 умеет представлять инциденты и атаки в виде графа, который позволяет оценить атаку в целом, отобразив все объекты, затронутые инцидентом, в том числе показав неочевидные взаимосвязи. 

Экспертные рекомендации и Lessons learned

При расследовании инцидента система автоматически отображает экспертные рекомендации по сдерживанию, анализу и реагированию, подобранные с учетом техник MITRE ATT&CK, автоматически присвоенных инцидентам.

В основе рекомендаций IRP/SOAR 2.0 по повышению общего уровня защищенности инфраструктуры (харденинг) лежат лучшие практики по информационной безопасности, которые являются общепринятыми и многократно доказали свою эффективность, в частности рекомендации Microsoft, а также стандарт CIS Critical Security Controls. 

Процессы и автоматизация

В продукте реализованы и максимально автоматизированы все этапы обработки инцидентов:

Интеграции

В Security Vision IRP/SOAR 2.0 реализовано большое количество (более 150-ти) встроенных коннекторов для интеграции со всеми популярными SIEM системами (MaxPatrol SIEM, KUMA, Pangeo RADAR, RuSIEM, NEURODAT SIEM, ArcSight SIEM, QRadar, Splunk и др.), с инфраструктурой заказчика, в том числе с конечными устройствами (Windows/Linux системы), СЗИ (NGFW, DLP, антивирусы, EDR, песочницы). Кроме того, Security Vision IRP/SOAR 2.0 предлагает расширенное количество (более 30-ти) встроенных интеграций с аналитическими сервисами (как внешними, так и внутренними), которые позволяют собрать всю необходимую информацию по атрибутам инцидента, требуемую для расследования. 

Встроенные в платформу конструкторы интеграций позволяют в режиме no-code быстро реализовывать дополнительные интеграции с любыми новыми или уникальными системами заказчиков.

Также в продукте есть встроенные механизмы интеграции с НКЦКИ и ФинЦЕРТ.

ChatGPT

Реализована интеграция платформы с сервисом OpenAI, использующимся как аналитический сервис для рекомендаций по реагированию на обнаруженные техники злоумышленника. Передаваемые данные не содержат чувствительную информацию. Система передает обфусцированные данные: хеш, малишес, урлы или сэмплы ВПО с вопросом, как дальше расследовать. 

Представления объектов

В продукте IRP/SOAR 2.0 от Security Vision инциденты, атаки и связанные объекты (хосты, уязвимости, вредоносное ПО и др.) можно просмотреть в виде списков, в виде дерева и детально на карточке каждого объекта (полной и краткой) с полным перечнем атрибутов. Для удобства поиска нужных объектов в системе реализованы три варианта:

• Полнотекстовый поиск — ищет значение по отображаемым атрибутам.
• Быстрый — поиск по любому выбранному атрибуту.
• Общий — сложный фильтр, с неограниченным количеством уровней вложенности условий по различным атрибутам.

Карточка инцидента

По каждому инциденту можно просмотреть детальную информацию, в которой отображены:

• Время первого и последнего события.
• Плановые сроки взятия в работу и решения.
• Таймлайн событий инцидента и общее количество событий.
• Критичность.
• Признак массового инцидента.
• Принадлежность к техникам и тактикам.
• Тэги инцидента.
• И другое.

По каждому инциденту можно выполнить определенный набор преднастроенных действий, например, назначить нового ответственного, добавить тэг, пометить инцидент как False positive и др. Данный набор может быть расширен иными действиями через соответствующий конструктор системы.

В системе реализован жизненный цикл инцидента, которым пользователь может управлять как вручную, так и автоматически задавая параметры активности и присутствия в системе по каждому типу инцидента через специальные настройки.

MITRE ATT&CK

Функционал Security Vision IRP/SOAR 2.0 обеспечивает работу с базой знаний техник MITRE ATT&CK, ее автоматическую поддержку в актуальном состоянии по всем основным разделам: описание тактик, техник и субтехник, атак, хакерского инструментария и хакерских группировок, способов противодействия несанкционированному доступу к данным. Инцидентам автоматически присваивается техника или субтехника MITRE ATT&CK, что позволяет более эффективно расследовать инциденты, связанные с обнаружением угроз.

Карточка атаки

Система автоматически связывает инциденты в атаку и выстраивает килчейн по ключевым атрибутам и техникам атак инцидентов. Таким образом, аналитик работает с инцидентами, уже прошедшими первичный полноценный анализ и выстроенными в единую цепочку последовательности и контекста.

На основной странице карточки атаки доступна такая информация, как:

• Критичность атаки.
• Признак массовости.
• Источники инцидентов.
• Плановое и фактическое время взятия в работу и решения.
• Список техник MITRE ATT&CK, присвоенных инцидентам, из которых состоит атака.
• Kill chain из тактик MITRE с указанием количества инцидентов по каждой тактике.
• Таймлайн, позволяющий проследить развитие атаки в разрезе времени.
• Список кратких рекомендаций по реагированию на такой тип атаки.
• Теги атаки.
• И др.

В системе реализован жизненный цикл, по которому каждая атака проходит ряд автоматизированных и ручных этапов в ходе расследования и обработки. 

При работе с атакой пользователь имеет ряд преднастроенных действий для обработки инцидента и взаимодействия с внешними системами и задействованными активами. Примеры реализованных в системе действий:

• Сбор данных по хостам, учетным записям, процессам, сервисам, сессиям и др.
• Реагирование на инцидент — блокировка учетных записей, отключение хостов, блокировка почтовых аккаунтов.
• Проверка вложений во внутренних и внешних «песочницах».
• Получение данных по активам из CMDB-систем.
• Отправка в блок-листы NGFW.
• И др.

В карточке атаки, так же как в инциденте, но уже в разрезе всех связанных инцидентов, есть все действия по реагированию в рамках этой атаки, все рекомендации по расследованию и митигации. Можно выполнить дополнительную работу из общего контекста с любым объектом атаки, а также отменить любое действие или общаться в общем чате всех участников расследования.

По всем действиям есть возможность настройки пользователем их выполнения как в ручном, так и в автоматическом режиме. Набор действий можно расширять через конструктор, доступный в платформе и работающий в режиме no-code.

Оповещения

По всем новым инцидентам и атакам, изменению их статуса пользователи платформы Security Vision IRP/SOAR 2.0 могут получать уведомления — оповещения с указанием деталей нового объекта, его изменений, а также ссылки на карточку объекта. При большом количестве инцидентов данные автоматически агрегируются в рамках единого оповещения. В системе преднастроены каналы оповещений, таких как электронная почта, Telegram-канал, файловый сетевой ресурс и др. 

Гибкая ролевая модель и MSSP

Для управления процессом расследования инцидентов в продукте реализована гибкая ролевая модель, позволяющая при проведении расследования разграничивать доступ к каждому полю и атрибуту инцидента и события ИБ. Процесс расследования содержит большое количество настроек, позволяющих адаптировать его как для небольших групп, работающих над расследованием инцидентов, так и для крупных SOC центров, с гибкой настройкой применяемых уровней реагирования (L1, L2, L3), эскалации, post-анализа и интеграции с внешними Service Desk’ами заказчика.

Для каждой роли настроен свой набор действий, доступных данных, отчетов и дашбордов, а также свои настройки меню и отображения. Пользователю можно назначить несколько ролей, в этом случае у пользователя будут полномочия всех назначенных ему ролей.

Продукт поддерживает работу в режиме multitenancy, а также может применяться по модели MSSP.

Дашборды

В Security Vision IRP/SOAR 2.0 включены преднастроенные дашборды, отображающих ключевую информацию по инцидентам, атакам и другим данным системы в разрезах: операционный, аналитический и стратегический.

Все дашборды автоматически обновляются и являются интерактивными.

Для наглядного отслеживания в реальном времени географии обнаружений в платформе Security Vision IRP/SOAR 2.0 реализована графическая карта, на которой отображаются актуальные атаки и связанные с ними территориальные офисы заказчика, в которых были выявлены инциденты, с привязкой к географическому местоположению источника атаки. Вся информация интерактивна: обновляется при изменении данных в системе.         

Редактор дашбордов

В платформе Security Vision IRP/SOAR 2.0 реализован встроенный редактор дашбордов и отображаемых виджетов, не требующий навыков программирования и работающий в режиме no-code. Пользователь через интерфейс системы может создавать и редактировать источники данных (с возможностью сложной фильтрации, отбора типа объектов и справочных данных, их связки и группировки, определения входных параметров, настройки формул расчета), отображение данных (круговая диаграмма, столбчатая диаграмма, линейный график, таблица и многие другие), стили, действия (drill-down и др.), расположение в дашборде с возможностью устанавливать любые размеры для каждого элемента и много различных других настроек и функциональности, позволяющей настраивать дашборды с любой степенью сложности и интерактивностью.

Отчеты

В решение IRP/SOAR 2.0 от Security Vision включены преднастроенные отчеты, позволяющие выгружать данные как по отдельным характеристикам атак (по источникам, по организациям, по массовым атакам и др.), так и сводные отчеты за смену и за неделю, которые содержат консолидированную информацию по всем данным за период и отдельно по каждому разрезу продукта IRP/SOAR 2.0.

Интерфейс

IRP/SOAR 2.0 от Security Vision поддерживает работу в светлой и темной темах для всего используемого интерфейса платформы. Данные настройки задаются индивидуально для каждого пользователя. 

Нативная интеграция с экосистемой продуктов Security Vision

Продукт работает еще эффективнее за счет нативной интеграции с линейкой продуктов Security Vision и совместного использования с такими модулями как TIP, UEBA, CMDB, Vulnerability management, SGRC и др. Экосистема продуктов Security Vision позволяет комплексно закрыть основные направления информационной безопасности в организации.

Архитектура Security Vision IRP/SOAR 2.0

При внедрении у заказчика платформы Security Vision IRP/SOAR 2.0 возможна установка всех компонент на один виртуальный сервер или разнесение компонент по разным серверам для балансировки нагрузки. Архитектура системы поддерживает полную отказоустойчивость всех компонент.

Для всех компонент платформы поддерживается работа на любой из ОС: MS Windows, Ubuntu, Debian, CentOS, RedHat, Oracle Linux, Альт Линукс, Astra CE «Орел», Astra SE «Смоленск»/ «Воронеж»/ «Орел», РЕД ОС, РОСА «КОБАЛЬТ». В качестве СУБД используются PostgreSQL, Postgres Pro, Jatoba или Microsoft SQL Server.