На очередной интернет-конференции в студии AM Live собрались советники и бизнесмены, поставщики и интеграторы, чтобы обсудить, для чего необходимы системы Security Orchestration, Automatic and Response (SOAR), как выбрать эффективную, в чем их отличие от IPR, SIEM, SGRC. Необходимость мероприятия была вызвана тем, что многие организации задумываются об этих вопросах при внедрении систем информационной безопасности (ИБ).

Конференция состоялась 21 октября в студии Anti-Malware.ru. под руководством консультанта по бизнесу Алексея Лукацкого. 

Эксперты рассуждали о различных вопросах, касающихся внедрения и использования систем безопасности, а затем провели уже ставший традиционным опрос зрителей. В этот раз предлагалось ответить на вопросы о применении систем ИБ и о том, как в организациях действуют в случае обнаружения угрозы. Опрос позволяет узнать запросы пользователей и экстраполировать их мнение для лучшего понимания требований заказчиков систем ИБ.

Распространенность SOAR

Первым был вопрос о применении в организациях участников систем IPR, SIEM, SGRC, SOAR. 

25% респондентов дали положительный ответ. Почти 15% участников используют SOAR или подобные ей системы, 10% проводят их тестирование. Немногим более четвертой части зрителей не внедрили системы информационной безопасности для реагирования инцидентов, а около 4% сами создают аналогичные скрипты.

Интересно отметить, что около 7% респондентов пользуются встроенным потенциалом систем SIEM, которые покрывают часть возможностей SOAR, вместо того чтобы устанавливать дополнительный инструмент информационной безопасности.

Несколько странно, что 36% участников выбрали ответ «Другое». Неясно, что они имели в виду. Вероятно, система у них установлена, но пока частично или полностью бездействует. 

Число информационных инцидентов

Следующим был вопрос о числе ежедневно возникающих в организациях происшествий. Интересно было узнать масштабы проблем в сфере безопасности и определить тот момент, когда установка SOAR уже становится жизненно необходимой.

Оказалось, что у 40,22% респондентов такие случаи единичны. До 10 происшествий за сутки происходит у 23,91% опрошенных, 28% сообщили о сотнях инцидентов. У 10,87% они исчисляются тысячами. 

Если сравнить результаты обоих опросов, то вырисовывается ясная картина. Примерно в 35% организаций действует SOAR или аналогичная система. Приблизительно такое же число опрошенных сообщили о множественных ежедневных происшествиях. Кажется, что необходимость систем ИБ четко ясна, однако не все здесь просто.

Само понятие «происшествие» все компании понимают по-своему. Для одних это самый незначительный запуск антивирусной программы или SIEM. Для других – более серьезное нарушение, которое необходимо расследовать.

Также эксперты заметили, что в некоторых организациях используют ручное управление. Любой случай, произошедший в отсутствии людей, приводит к негативным последствиям.

Поэтому четко определить границу необходимости внедрения системы ИБ не представляется возможным. Каждая компания должна решать этот вопрос, основываясь на собственных условиях.

Каким образом организации реагируют на происшествия

В завершение был задан вопрос, что именно делают компании в случае происшествий. Ведь использование системы SOAR требует, помимо установки программного обеспечения и налаживания совместной работы всех систем, изменения организационных процессов. В течение мероприятия эксперты говорили об этом неоднократно.

Почти 40% организаций реагируют на инциденты бессистемно. Их можно причислить к потенциальным заказчикам – это число характеризует потенциальные возможности рынка. Сюда же относятся те организации, которые используют единые правила реагирования на все типы ИБ инцидентов. Среди участников их оказалось 22,54%. 38,03% респондентов ответили, что для каждого вида происшествий у них имеется детализация процесса реагирования.

Тем, кто не смог присутствовать на онлайн-конференции, была предоставлена возможность просмотреть ее в записи и оставить свои комментарии. 

В этом году будет проведено еще несколько подобных мероприятий AM Live, на которые будут приглашены эксперты в области ИБ и представители вендоров.