На очередной интернет-конференции в студии AM Live собрались советники и бизнесмены, поставщики и интеграторы, чтобы обсудить, для чего необходимы системы Security Orchestration, Automatic and Response (SOAR), как выбрать эффективную, в чем их отличие от IPR, SIEM, SGRC. Необходимость мероприятия была вызвана тем, что многие организации задумываются об этих вопросах при внедрении систем информационной безопасности (ИБ).
Конференция состоялась 21 октября в студии Anti-Malware.ru. под руководством консультанта по бизнесу Алексея Лукацкого.
Эксперты рассуждали о различных вопросах, касающихся внедрения и использования систем безопасности, а затем провели уже ставший традиционным опрос зрителей. В этот раз предлагалось ответить на вопросы о применении систем ИБ и о том, как в организациях действуют в случае обнаружения угрозы. Опрос позволяет узнать запросы пользователей и экстраполировать их мнение для лучшего понимания требований заказчиков систем ИБ.
Распространенность SOAR
Первым был вопрос о применении в организациях участников систем IPR, SIEM, SGRC, SOAR.
25% респондентов дали положительный ответ. Почти 15% участников используют SOAR или подобные ей системы, 10% проводят их тестирование. Немногим более четвертой части зрителей не внедрили системы информационной безопасности для реагирования инцидентов, а около 4% сами создают аналогичные скрипты.
Интересно отметить, что около 7% респондентов пользуются встроенным потенциалом систем SIEM, которые покрывают часть возможностей SOAR, вместо того чтобы устанавливать дополнительный инструмент информационной безопасности.
Несколько странно, что 36% участников выбрали ответ «Другое». Неясно, что они имели в виду. Вероятно, система у них установлена, но пока частично или полностью бездействует.
Число информационных инцидентов
Следующим был вопрос о числе ежедневно возникающих в организациях происшествий. Интересно было узнать масштабы проблем в сфере безопасности и определить тот момент, когда установка SOAR уже становится жизненно необходимой.
Оказалось, что у 40,22% респондентов такие случаи единичны. До 10 происшествий за сутки происходит у 23,91% опрошенных, 28% сообщили о сотнях инцидентов. У 10,87% они исчисляются тысячами.
Если сравнить результаты обоих опросов, то вырисовывается ясная картина. Примерно в 35% организаций действует SOAR или аналогичная система. Приблизительно такое же число опрошенных сообщили о множественных ежедневных происшествиях. Кажется, что необходимость систем ИБ четко ясна, однако не все здесь просто.
Само понятие «происшествие» все компании понимают по-своему. Для одних это самый незначительный запуск антивирусной программы или SIEM. Для других – более серьезное нарушение, которое необходимо расследовать.
Также эксперты заметили, что в некоторых организациях используют ручное управление. Любой случай, произошедший в отсутствии людей, приводит к негативным последствиям.
Поэтому четко определить границу необходимости внедрения системы ИБ не представляется возможным. Каждая компания должна решать этот вопрос, основываясь на собственных условиях.
Каким образом организации реагируют на происшествия
В завершение был задан вопрос, что именно делают компании в случае происшествий. Ведь использование системы SOAR требует, помимо установки программного обеспечения и налаживания совместной работы всех систем, изменения организационных процессов. В течение мероприятия эксперты говорили об этом неоднократно.
Почти 40% организаций реагируют на инциденты бессистемно. Их можно причислить к потенциальным заказчикам – это число характеризует потенциальные возможности рынка. Сюда же относятся те организации, которые используют единые правила реагирования на все типы ИБ инцидентов. Среди участников их оказалось 22,54%. 38,03% респондентов ответили, что для каждого вида происшествий у них имеется детализация процесса реагирования.
Тем, кто не смог присутствовать на онлайн-конференции, была предоставлена возможность просмотреть ее в записи и оставить свои комментарии.
В этом году будет проведено еще несколько подобных мероприятий AM Live, на которые будут приглашены эксперты в области ИБ и представители вендоров.