Одним из новых акронимов в сфере безопасности, появившихся в последние годы, является SOAR (Security Orchestration, Automation and Response). Термин Orchestration (оркестровка) подразумевает объединение для совместной работы различных наборов данных и технологии безопасности. Automation (автоматизация) должна минимизировать участие человека в повторяющихся задачах процесса реагирования на инцидент, сокращая время его разрешения. Response (реагирование) находится в сердцевине SOAR и соединяет автоматизированным образом оркестрованные элементы разных технологий для разрешения инцидентов.
Технология SOAR, обрисованная в отчете State of SOAR Report 2018, выпущенном 6 сентября компанией Demisto, призвана помочь предприятиям в устранении многих болевых точек, относящихся к ИБ.
Как сообщает портал eWeek, для своего второго ежегодного отчета Demisto опросила 250 представителей старшего звена ИТ-лидеров бизнеса. Исследование показало, что по сравнению с опросом прошлого года среднее время, затрачиваемое на разрешение ИБ-инцидента, выросло с 2,8 до 4,35 дней. С другой стороны оказалось, что срок полного обучения новых ИБ-аналитиков сократился с 9 месяцев в
Ключевой проблемой центров ИБ-мониторинга (SOC) является кадровое обеспечение, и 79% респондентов отметили, что у них недостаточно людей для выполнения задач, которые должны решать SOC их организаций. Группы ИБ-специалистов как правило захлебываются текущей работой. Получая в среднем 174 тыс. предупреждений в неделю, ИБ-аналитики могут изучить и отреагировать только на 12 тыс. из их числа.
При существующих проблемах с недостатком кадров SOC неудивительно, что 70% участников опроса сообщили, что им могли бы реально помочь SOAR и более автоматизированный подход к обработке ИБ-инцидентов. «Наше внимание привлек тот позитивный момент, что ИБ-специалисты осознают существующие проблемы и информированы о той пользе, которую им могут принести инструменты SOAR, — сообщил сооснователь Demisto Риши Бхаргава. — Они демонстрируют явную готовность к автоматизации и понимание практической ценности возможностей SOAR».
Хотя SOAR — относительно новые понятие и модель индустрии безопасности, Demisto не спрашивала участников опроса, слышали ли они про SOAR. Однако Бхаргава отметил, что смысл этого термина был определен перед началом опроса. «В наших регулярных контактах с клиентами мы убедились, что они хорошо осведомлены в терминологии, — сказал он. — Хотя это направление очень молодо, уровень осведомленности чрезвычайно высок, и это коррелирует с запросами рынка».
Как поясняется в отчете Demisto, реакция на инциденты после их идентификации фокусируется в первую очередь на устранении выявленных проблем. Однако жизненный цикл инцидента содержит большее число стадий, включая агрегацию, получение дополнительной информации, корреляцию и углубленное исследование. Согласно Demisto, SOAR отличается от реакции на инцидент тем, что адресуется ко всему комплексу разных стадий, необходимых для адекватного реагирования и устранения последствий ИБ-инцидентов.
Хотя в SOAR заключены выгоды, помогающие организациям справляться с прессом проблем человеческих ресурсов, эта технология еще очень молода. Бхаргава отмечает, что внедрение SOAR вызывает у организаций финансовые вопросы: «Опрос показал, что SOAR еще не настолько зрелая область, чтобы иметь собственную строку в бюджете. Однако здесь происходит заметный рост. 38% респондентов отметили, что хотя под средства SOAR не выделяется отдельный бюджет, они являются частью общего бюджета на безопасность». Он также сказал, что 15% респондентов планируют включить средства SOAR в свои бюджеты будущего года.