IRP и SOAR – что могут и чем отличаются?

Системы для управления инцидентами и автоматизации работы с ними применяются не только SOC-ами крупных компаний, но и все большую нишу занимают для среднего и малого бизнеса – ведь число инцидентов растет существенно быстрее, чем количество специалистов по работе с ними.

Определение и практическое применение SOAR и IRP

В связи с этим стоит выделить два класса решений, существенно близких по духу, но отличающихся технической реализацией.

IRP (Incident Response Platform) — это платформа реагирования на инциденты. Почему платформа? Крайне мало функционала в решениях по управлению инцидентами идёт «из коробки». Они имеют различные настройки, интеграции, то есть все, что позволяет кастомизировать продукт. Насколько этот подход корректен в данной статье обсуждать не будем. Просто IRP – это платформа.

SOAR (Security Orchestration, Automation and Response) – система организации безопасности, автоматизации и реагирования. Термин оркестрации является заимствованным, поэтому не будем на него опираться. SOAR позволяет организовать взаимодействие в рамках реагирования на инциденты. При этом организация стоит отдельно от автоматизации, что крайне важно и показывает многогранность данного решения. Также как и IRP – решения данного класса не имеют четкого набора функций, определяющих отношение продукта к ним.

В тоже время эти функции во многом пересекаются – и некоторые решения позиционируются одновременно и как SOAR и как IRP, что, вероятно, допустимо.

Сравнение SOAR и IRP

При выборе и внедрении решения надо ориентироваться на потребности вашей организации, а не на маркетинговые сравнения продуктов.
Достаточно грубо, функционал IRP и SOAR сравнен в таблице ниже:

Как видим, различия весьма формальны. Так, при установке минимальных дополнительных скриптов, SOAR может отправлять сведения об инцидентах на внешнюю почту или даже SMS, нивелируя разницу с IRP. А последняя, в свою очередь, способна забирать из SIEM данные о потенциальных событиях и дополнять их анализом.
Рассмотрим чуть подробнее основные функции:

• Ведение карточки инцидента (его жизненный цикл)
• Ведение базы инцидентов
• Автоматизация реагирования

Карточка инцидента и ее наполнение

Карточка инцидента создается даже для потенциального действия (событие информационной безопасности).
И включает в себя, как минимум, следующие данные:

• Время инцидента
• Тип инцидента
• Затронутые хосты и системы
• Участники реагирования
• Последствия
• Предпринятые действия
• Текущий статус

Состав полей может меняться в зависимости от отрасли и необходимости соблюдения тех или иных нормативных требований. Так, для уведомления ГосСОПКА нужна информация о категории значимости затронутых ОКИИ.

База инцидентов

База инцидентов – журнал карточек, которые может быть выгружен или, напротив, дополнен загрузкой инцидентов из других источников. Большого интереса не представляет кроме широкого поля для возможной интеграции.

А вот автоматизация реагирования, как правило, представляет собой обобщение экспертного опыта и практики работы с инцидентами.

Рассуждая в широком смысле, можно сказать, что IRP и SOAR это BPM (Business Process Management – управление бизнес-процессами) в мире инцидентов. При этом «бизнес»-процессы по реагированию на инциденты могут быть продиктованы также нормативным документами, такими как ГОСТ 57580, что их относительно стандартизирует. В тоже время, процесс реагирования существенно зависит от типа инцидента, и даже конкретной атакующей преступной группы. По этой причине системы для управления инцидентами должны иметь как предустановленные шаблоны таких процессов, так и возможность их кастомизации.

Применение SOAR или IRP – объективная тенденция для реагирования на инциденты, также как стало неизбежным применение SIEM для сбора и корреляции событий.