Данил Бородавкин, R-Vision: SOAR — большой конструктор, в котором настраивается буквально все
Данил Бородавкин, продакт-менеджер R-Vision SOAR, в интервью TAdviser рассказал о развитии российского рынка решений класса SOAR, а также особенностях внедрения и применения таких инструментов.
Бородавкин
Какие насущные задачи клиенты могут решить с помощью инструментов оркестровки ИБ и реагирования на инциденты, относящиеся к классу SOAR? Изменилось ли отношение к этой технологии в последние пару лет?
Данил Бородавкин: По мере того как растет уровень зрелости команды ИБ, возникает необходимость в автоматизации и контроле метрик работы SOC. В то же время компании всё чаще переходят к круглосуточной работе ИБ-служб для непрерывного мониторинга инфраструктуры на предмет подозрительной активности и оперативному реагированию на возникающие инциденты.
Как следствие, с одной стороны, интерес к технологиям SOAR растёт, а с другой — требования к функциональности и производительности таких систем становятся всё более высокими. Однако основные задачи, которые решаются с помощью SOAR, остаются прежними: обогащение инцидентов данными Threat Intelligence (TI), автоматический триаж, автоматизация сбора данных и мер реагирования, обеспечение командной работы различных линий SOC и контроль метрик.
Насколько концепция SOAR в целом соответствует духу и букве законодательных требований по ИБ, таких как 187-ФЗ? Что изменилось в российском законодательстве в последнее время с точки зрения реагирования на инциденты?
Данил Бородавкин: В последние годы можно выделить несколько больших регуляторных трендов: это законодательная поддержка внедрения современных систем обеспечения ИБ, импортозамещение и усиление контроля за состоянием ИБ со стороны государства. Функциональность систем класса SOAR хорошо коррелирует с перечисленными законодательными векторами: SOAR позволяет собрать воедино сработки от разных СЗИ, управлять реагированием на них и наладить процесс взаимодействия с регуляторами, такими как ГосСОПКА и ФинЦЕРТ.
Как сейчас проходит процесс импортозамещения решений класса SOAR? Какие особенности отечественных решений наиболее востребованы?
Данил Бородавкин: Отечественные системы класса SOAR уже занимали значительную долю на рынке информационной безопасности еще до того, как в России начал активно развиваться тренд на импортозамещение. Это стало возможным благодаря развитому рынку информационной безопасности, который сформировался в том числе и под влиянием законодательных требований.
Успех российских SOAR-систем обусловлен их функциональной конкурентоспособностью по сравнению с зарубежными аналогами одновременно с поддержкой специфических требований локального рынка, таких как интеграция с отечественными SIEM-решениями, средствами защиты конечных устройств и взаимодействие с регуляторами.
Насколько общемировые тенденции развития технологии SOAR отличаются от российских?
Данил Бородавкин: Основные потребности ИБ-специалистов, использующих SOAR, достаточно «интернациональны». SOAR — единое окно для аналитика SOC и гибкий инструмент для оперативной автоматизации. К специфике российского рынка можно отнести взаимодействие с регуляторами, а также востребованность low-code инструментов. Отечественные аналитики SOC не только используют поставляемый вендором контент, но и активно адаптируют его под свои нужды.
Как вы оцениваете объём отечественного рынка SOAR-продуктов? Как он изменился после ухода иностранных разработчиков?
Данил Бородавкин: Именно в классе продуктов SOAR уход иностранных разработчиков не стал поворотным моментом. В отличие, например, от рынка SIEM, где в России были сильны позиции крупных зарубежных вендоров. Рынок SOAR, по нашим оценкам, находится сейчас практически на пике. Технология вышла на уровень, когда она востребована массовым потребителем в корпоративном сегменте.
Возможна ли реализация SOAR в виде облачных сервисов или MSSP? Насколько это перспективно?
Данил Бородавкин: Сегодня многие MSSP активно применяют SOAR. В коммерческих сервисах такие функции SOAR, как управление инцидентами и автоматизация, являются обязательными. Вопрос лишь в том, разрабатывает ли MSSP собственное решение или выбирает готовое.
С технической точки зрения, SOAR полностью готов к работе в облаке. Однако есть несколько моментов, которые необходимо учесть.
Во-первых, это контент. Как мы видим, каждая инсталляция SOAR обрастает плейбуками, которые адаптируются под уникальные процессы наших клиентов. Стандартные настройки жизненного цикла и карточки инцидентов всегда модифицируются под потребности заказчика. Этот «нажитый» контент часто предпочитают хранить ближе к себе, на локальной установке, а не в облаке.Определены ключевые работодатели для специалистов по ИИ в России. Рейтинг TAdviser 
Второй аспект — оркестрация. Из SOAR внедряются меры технического реагирования, и система управляет локальными средствами защиты в инфраструктуре организации. Не все готовы передать такое управление в облачное решение.
Наконец, стоимость. Подписочная модель позволяет экономить на оборудовании и оперативно управлять ресурсами, но в долгосрочной перспективе локальная инсталляция может быть более выгодной, особенно если в организации уже есть мощности ЦОД.
На данный момент мы не наблюдаем большого интереса к облачному сервису SOAR, но откликнемся на такие запросы, если они появятся.
Что эффективнее для клиентов: разворачивать собственное SOAR-решение или пользоваться услугами коммерческих SOC?
Данил Бородавкин: Я бы предложил рассмотреть оба подхода как доступные опции, которые можно и нужно сочетать, чтобы достичь наилучшего результата. Потребность в функциональности SOAR зависит от количества обрабатываемых инцидентов, размера инфраструктуры, численности команды и установленных сроков реагирования.
Использование услуг коммерческого SOC позволяет привлечь внешнюю экспертизу и сократить расходы на собственный штат ИБ-специалистов. Однако это не отменяет необходимости управления инцидентами и реагирования на них. Например, если MSSP обнаружит взлом инфраструктуры организации, то для смены паролей, установки патчей и очистки конечных узлов потребуется участие внутренних сотрудников.
Даже сам процесс получения и обработки оповещений от MSSP требует внимания и поддержки. Как показывает наша практика, работа с такими оповещениями только в электронной почте или мессенджерах не эффективна.
Крупные организации, как правило, предпочитают создавать собственный SOC. Но у наших клиентов мы также видим гибридные варианты, когда услуги MSSP используются в дополнение к внутреннему SOC, а взаимодействие с MSSP осуществляется через систему SOAR.
Какая инфраструктура поддержки продуктов должна быть на стороне производителя SOAR? В чем особенности канала продаж таких решений?
Данил Бородавкин: SOAR — большой конструктор, в котором настраивается буквально все. Организация поддержки этого класса решений является нетривиальной задачей. Проблемы, с которыми сталкивается пользователь, часто происходят на уровне конструируемого им контента — плейбуков, настроек инцидента и др. На стороне вендора для оперативного анализа таких ситуаций должна работать профессиональная, технически подкованная команда поддержки. С учетом того, что SOC на базе SOAR часто работают 24/7, такие же требования появляются и к сопровождению продукта. Наша команда поддержки работает круглосуточно и разделена на три линии. Это специалисты с профильным образованием в области информационной безопасности, многие из которых обладают обширным опытом системного администрирования. Благодаря этому, команда может решать сложные клиентские кейсы самостоятельно или своевременно передавать их на следующий уровень, где к решению подключаются команды разработки. Кроме того, мы полагаемся на партнерский канал продаж и развиваем необходимые компетенции у партнера, проводим обязательное обучение инженеров.
Как вы оцениваете российский рынок SOAR? Назовите ключевые тенденции его развития.
Данил Бородавкин: В России рынок SOAR уже достиг высокого уровня зрелости. Сегодня мы наблюдаем тенденцию к объединению отдельных решений в сфере информационной безопасности в крупные платформы. Это означает, что механизмы выявления инцидентов, реагирования на них и автоматизации процессов объединяются в рамках одного решения. Поддерживая этот тренд, мы выпустили собственное решение класса SIEM — R-Vision SIEM, которое тесно интегрируется с R-Vision SOAR.
Кроме того, в системах SOAR развиваются технологии искусственного интеллекта (ИИ), однако их потенциал пока не раскрыт в полной мере.
Какие отрасли наиболее перспективны для внедрения SOAR? Как на это влияют законодательные требования?
Данил Бородавкин: SOAR востребован в крупных организациях с большой ИТ-инфраструктурой, потоком инцидентов и высокой значимостью ИТ-систем. Характерные заказчики — ресурсо-энергетические компании, крупные торговые сети, банки и другие. Что касается влияния законодательных требований, активная работа регуляторов является катализатором для развития ИБ и внедрения SOAR, в частности, в банковской сфере и для организаций-владельцев КИИ.
Какие специалисты нужны для обеспечения работы SOAR на стороне заказчика? Оцените потребность в кадрах для повсеместного внедрения этих продуктов.
Данил Бородавкин: Конечным пользователем SOAR является аналитик информационной безопасности. Разработка и поддержка контента в системе при этом может осуществляться как теми же сотрудниками, так и отдельно выделенными инженерами сопровождения системы.
На бурно развивающемся рынке ИТ/ИБ потребность в таких специалистах на данный момент скорее превышает предложение. Однако системы класса SOAR могут компенсировать нехватку квалифицированных кадров, предоставляя инструменты для автоматизации ручных задач, что способствует оптимизации рабочего процесса.
Какие тенденции кибербезопасности определят будущее развитие SOAR в России в течении следующих 3 лет? Насколько они отличаются от общемировых тенденций?
Данил Бородавкин: Тенденции, с которыми столкнутся системы SOAR в ближайшие годы, — это рост нагрузок и, как следствие, потребность в переходе на архитектуры, позволяющие масштабировать систему. Также можно отметить общий тренд на использование ИИ и больших платформ, которые совмещают функции всей линейки ключевых ИБ-продуктов. В России при этом с учетом ситуации по импортозамещению вырастет потребность в контенте для интеграции с отечественными решениями.
