Технологии в SOC: продукты и средства защиты информации

Generative AI и XDR звучат круто, но EDR и SIEM основа мониторинга. Внедряйте технологии на "склоне просвещения" – NTA (NDR), TIP уже проверены и работают. SOAR требуют неоправданно больших вложений

Кривая хайпа – не прямое руководство к действию, но хороший ориентир того, что действительно работает, а что хайп/маркетинг.

Кривай хайпа Gartner для SOC
LogoОбзор нового отчета Gartner по Security Operations - Бизнес без опасностиБизнес без опасности - Блог, выступления, статьи, лекции, книги и немного юмора про кибербезопасность от Алексея Лукацкого
Просто хороши обзор и разбор

Я посмотрю на технологии SOC с точки зрения того что и для чего применяют.

Превентивная защита

Это продукты, предназначенные для предотвращения атак, а не для мониторинга в реальном времени. Сюда относятся:

  • WAF (Web Application Firewall) – защищает веб-приложения, блокируя SQL-инъекции, XSS и другие атаки.

  • Антивирусы (AV) – классическая защита от известных угроз.

  • NGFW (Next-Gen Firewall) – не просто блокирует порты, а анализирует трафик на уровне приложений.

  • Защита почты (антифишинг, антиспам) – помогает выявлять фишинговые письма и предотвратить вредоносные рассылки.

  • Сюда же средства для безопасности контейнеров.

Эти средства обычно заводят как источники в SIEM, их события могут дать контекст при расследовании инцидента. Но как правило их недостаточно для обеспечения полноценного мониторинга и выявления сложных атак.

Классический инцидент SOC "Обнаружено вредоносное ПО на узде Х". Классическое закрытие такого инцидента: "Антивирус удалил вродоносный файл. Закрыто." Правильное закрытие: сбор контекста, как и при каких условиях вредоносное ПО оказалось на узле и поиск похожей активности на других узлах сети.

Сюда же относятся различные сканеры, которые не блокируют угрозы напрямую, но помогают выявлять слабые места, что позволяет усилить защиту за счет своевременного устранения уязвимостей. Их также можно отнести к "Проактивной безопасности" (Proactive Security) или "Упреждающим мерам защиты".

  • Сканеры уязвимостей (Vulnerability Scanners) – автоматизированные инструменты для поиска уязвимостей в системах, сетях и приложениях. На самом деле в современных реалиях без правильной приоритизации и информации о наличии публичных эксплоитах и использования в рельных атаках не несут большой пользы. Поэтому им на смену приходят полноценные:

  • Системы управления уязвимостями (Vulnerability Management, VM) – платформы для постоянного мониторинга, оценки и устранения уязвимостей. Они предоставляют более комплексный подход, включая приоритизацию уязвимостей, интеграцию с другими системами безопасности, автоматизированные workflows для исправления и непрерывный мониторинг, что снижает риски за счет системного управления, а не только обнаружения проблем.

  • Инструменты оценки периметра (EASM - External Attack Surface Management) – решения для анализа защищенности внешних границ сети. Набирают популярность, выявляют забытые серверы, облачные хранилища, поддомены и API, о которых могла забыть компания. Хотя подобные процессы должны быть выстроены не только для периметра, но и для всей инфраструктуры в целом.

Как правило это не в ведении SOC, а на подразделении ИБ или даже IT.

Основные инструменты SOC (то, чем пользуемся каждый день)

Тут нужна еще одна картинка от Gartner. Visibility Triad (триада видимости) — это три ключевых источника данных, без которых невозможно обнаружить современные угрозы.

Концепция, предложенная Gartner, которая включает:

  1. Endpoint Detection and Response (EDR) – видимость на уровне хостов.

  2. Network Traffic Analysis (NTA/NDR) – видимость сетевой активности.

  3. Security Information and Event Management (SIEM) – агрегация и корреляция событий.

EDR (Endpoint Detection and Response)

Инструмент для мониторинга и защиты конечных устройств (компьютеры, серверы). EDR - это

  • Обнаружение вредоносной активности на конечных точках.

  • Сбор данных о процессах, файлах и сетевой активности.

  • Возможность удаленного реагирования (например, изоляция устройства, удаление файлов, остановка процессов).

Зачем EDR, если есть антивирус (AV)

Антивирус - это самый базовый уровень защиты:

  • Использует сигнатурный анализ (базы известных вредоносных файлов). Обнаруживает известные вирусы, трояны, черви.

  • Иногда включает эвристику (подозрительные шаблоны кода).

  • Не видит атаки без файлов (Living-off-the-Land, PowerShell-эксплуатация)

  • Бесполезен против 0-day (пока сигнатуры нет — защиты нет).

  • Не даёт возможности расследования (удалил файл — и всё, логов нет).

Критерий

Антивирус (AV)

EDR

Обнаружение

Сигнатуры + эвристика

Поведенческий анализ + ML

0-day защита

Слабая

Сильная

Расследование

Нет данных

Полная цепочка атаки

Реагирование

Удаление файла

Изоляция хоста, откат

LOL-атаки

"Это системная программа, всё ОК"

"Certutil никогда не связывался с IP из России — это подозрительно!"

Современные EDR включают в себя модуль антивирусной защиты.

Почему логов недостаточно? Зачем нужен низкоуровневый мониторинг EDR

Логи (которые собирает SIEM) и данные EDR — это разные уровни видимости. EDR работает на уровне ядра и памяти (перехватывает системные вызовы).

Что видит EDR (а логи — нет):

  • Вызовы API (например, CreateRemoteThread ).

  • Памяти процессов (видит инъекции кода).

  • Скрытые процессы (например, файл-лесс малвари в памяти).

EDR даёт полную телеметрию с конечных точек. Обнаруживает то, что не пишется в логи. Позволяет не только найти, но и отреагировать (изоляция, откат).

Сетевые анализаторы (Network Traffic Analysis, NTA)

Network Traffic Analysis — это технология анализа сетевого трафика для выявления аномалий, атак и утечек данных.

Примеры угроз, которые ловит NTA:

  • C2-трафик (управляющие серверы).

  • Lateral movement (перемещение злоумышленника внутри сети).

  • Data exfiltration (утечка данных через DNS, HTTP, RDP).

  • Сканирование сети (подготовка к атаке).

Анализ зашифрованного трафика (без расшифровки)

Современные NTA умеют находить подозрительные паттерны даже в TLS/SSL-трафике (например, по метаданным JA3/JA3S-отпечаткам).

NDR (Network Detection and Response) — это следующий этап развития NTA. Если NTA только обнаруживает угрозы, то NDR ещё и реагирует.

SIEM (Security Information and Event Management)

Это центральный инструмент SOC, который собирает, коррелирует и анализирует данные из различных источников (логи, сетевые устройства, приложения и т.д.).

SIEM нужен для приложений и для устройств, где нельзя поставить агент EDR (Firewall, VPN, Active Directory, облачные сервисы).

И главная роль SIEM - это быть единым окном сбора всех алертов и инцидентов. На самом деле современные SIEM уже давно берут на себя функции IRP и SOAR, предоставляя не только платформу для управления инцидентами, но и удобные интеграции для реагирования.

Проблемы классических SIEM:

  1. "Помойка логов" – если кидать в SIEM всё подряд, он утонет в шуме. Кстати: Логи: что собирать и откуда, чтобы эффективно обнаруживать атаки

  2. Сложность настройки – без грамотных корреляционных правил он бесполезен. Без правильно настроенных источников он бесполезен.

Тренды современных SIEM (NG SIEM)

  1. AI и машинное обучение

    • Выявление аномалии, приоритизация срабатываний, понятная интерпретация и выработка сценариев эффективного реагирования.

    • Пока рано говорить о передаче решения искусственному интеллекту, но как помощник аналитику он справляется хорошо.

  2. "SIEM становится платформой" – превращается в Security Data Lake с аналитикой.

    • Пример: Snowflake + Panther, где SIEM – это слой поверх Big Data.

  3. Автоматическое обогащение контекстом

    • Подтягивает данные из Active Directory, CMDB, Threat Intelligence.

  4. Встроенный SOAR

    • Не просто показывает угрозу, но и автоматически реагирует: блокирует IP, изолирует хост, создаёт тикет.

    • Или имеет интеграцию с EDR, который позволяет быстро произвести реагирование, без необходимости привлекать IT и писать заявку в поддержку.

  5. Cloud-first подход

    • Работает в гибридных средах (AWS, Azure, локальные серверы).

    • Не требует тонн железа под себя.

  6. Сливается с XDR.

Вспомогательные технологии SOC: IRP/SOAR, TIP, AM – что реально нужно

IRP/SOAR - умирают как вид

IRP (Incident Response Platform) – система управления инцидентами (например, TheHive, IBM Resilient). Microsoft Sentinel – имеет встроенный IRP-функционал (Incidents, Notebooks). Splunk ES – позволяет создавать расследования (Investigation). Elastic Security – поддерживает Case Management.

SOAR (Security Orchestration, Automation & Response) – автоматизация рутинных задач SOC (Cortex XSOAR, Splunk Phantom).

  • Сложность внедрения – нужно прописывать сотни playbook’ов, иначе SOAR бесполезен. Приходится нанимать целую комаеду разработки, а через год внедрения выясняется, что реализовано всего 1,5 базовых плейбука = Долгий ROI.

  • Абстрактные плейбуки по реагированию - "Выясните, является ли активность легитимной для пользователя. Если да - добавьте исключение в правило. Если нет - изолируйте узел и проведите расследование".

  • Посредственная связь инцидентов - по общему IP-адресу или учетной записи. Это слишком широкие связи, которые подсвечивают "возможно связанную активность", и на практике в одном инциденте оказываются малосвязанные активности. Если под связью нет глубокой и сложной логики (например, по цепочкам TTP), то такой функционал оказывается бесполезным.

"Выясните, является ли активность легитимной для пользователя. Если да - добавьте исключение в правило. Если нет - изолируйте узел и проведите расследование".

Серьезно, если ваш SOAR предлагает вам такие плейбуки - это имитация пользы.

NG SIEM забирает функции – современные SIEM (Microsoft Sentinel, Exabeam) уже включают функционал IRP и SOAR.

SOAR как отдельный продукт – вымирает, его заменяют встроенные возможности SIEM/XDR. Собственно, это подтверждает и кривая хайпа Gartner.

IRP еще живет, его предпочитают большие компании, которым важна кастомизация (добавить свои этапы расслдования) и адаптация под выстроенные процессы. В малых и средних компаниях – NG SIEM (типа Sentinel) хватает.

TIP (Threat Intelligence Platform) – «простое, но важное»

Платформы (MISP, Anomali ThreatStream) для сбора, анализа и использования информации об угрозах (Threat Intelligence). Они агрегируют данных об угрозах из открытых и закрытых источников, интегрируются с SIEM и другими инструментами для автоматизации обогащения событий индикаторами компрометации (IoC).

IoC — это конкретные данные, которые указывают на возможную атаку или компрометацию системы. Например, IP-адреса и домены, хеши файлов, URL-адреса, имена файлов и пути, почтовые адреса и так далее. Все то, что позволяет связать событие/сущность с определнной APT-группировкой.

Но надо понимать, что индикаторы компрометации - это самый низ пирамиды боли, их проще всего обойти. А еще они работают только с известными угрозами – против 0-day или таргетированных атак бесполезен.

TIP – это «низко висящий фрукт», но не панацея. Поэтому лучше интегрировать TI прямо в SIEM/XDR, чем держать отдельную платформу.

AM (Asset Management) – важно на старте, но не в мониторинге

Система управления активами – какие устройства есть в сети, какое ПО на них стоит, какие уязвимости.

На самом деле важно на этапе внедрения, потому что позволяет понять покрытие логами и заведение источников в SIEM.

Может быть эффективно для решения таких задач, как борьба с Shadow IT (это ИТ-оборудование, программное обеспечение, приложения и услуги, используемые сотрудниками в организации без ведома или разрешения ИТ-отдела). Но это выходит за рамки отвественности SOC.

В процессе мониторинга. вреальном времени не представляет большой ценности. Конечно, если нет глубокой интеграции, такой как связывания правила корреляции "создание Web-Shell" для сервера, где действительно находится WEB-сервис. Но такой глубокой интеграции не видела еще ни у одного вендора.

Песочницы (Sandbox)

Песочница — это технология динамического анализа подозрительных файлов и URL в изолированной среде. Она не вписывается в классические категории (EDR, SIEM, NTA), но играет важную роль в SOC.

  1. Превентивная защита (как WAF, антивирус):

    • Песочница перехватывает угрозы до попадания в сеть (например, анализирует вложения в почте).

    • Но в отличие от антивируса, она не блокирует по сигнатурам, а исполняет код и наблюдает за поведением.

  2. Дополнение к EDR/XDR:

    • При хорошей интеграции при расследовании инцидента можно с помощью EDR направить подозрительный файл на анализ в песочницу.

    • На анализ в песочницу можно передавать файлы из трафика.

  3. Часть Threat Intelligence:

    • Песочницы генерируют IoC (Indicators of Compromise) для SIEM/TIP (например, хэши вредоносных файлов).

Итог: Песочница — это гибридный инструмент на стыке превентивной защиты и аналитики.

XDR и экосистемность: куда движется рынок кибербезопасности?

Сегодня XDR (Extended Detection and Response) — это не просто технология, а стратегия, которую продвигают все крупные вендоры (Palo Alto, Microsoft, CrowdStrike, SentinelOne и др.). Суть тренда: отказ от «разрозненных инструментов» в пользу единой платформы, которая закрывает все этапы защиты — от профилактики до реагирования.

XDR — это эволюция EDR, которая добавляет:

  • Интеграцию с другими слоями защиты (эндпоинты, сеть, облако, почта).

  • Единую аналитику (корреляция событий из разных источников).

  • Автоматизированное реагирование.

Реальность 2024 года: XDR — это экосистема вендора, где:

  • Все компоненты (EDR, NDR, SIEM и другие) разработаны одной компанией.

  • Данные передаются без потерь (нет проблем с API и форматами логов).

  • Единый интерфейс и язык детекций.

Экосистема или вендор-лок

Ни один вендор не идеален во всем. У всех есть свои сильные и слабые стороны. Но при этом экосистема не обязательно означает вендор-лок.

Идеальная экосистема — это когда продукты работают вместе, но не обязаны:

  • Можно использовать по отдельности. Например, взять только EDR вендора, а SIEM оставить старый. При этом остается возможность интеграции, просто она не работает из коробки и надо реализовать API.

  • Говорят на одном языке. Данные передаются без костылей, всё в одном интерфейсе: общие дашборды, отчеты, инциденты, сквозная авторизация.

  • Дополняют друг друга. Например, EDR вендора даёт детализацию атак, а его же NDR находит сетевые аномалии — и это не дублирует, а усиливает защиту.

  • Имеют открытый API. Если захотите подключить сторонний SOAR — не нужно покупать «фирменный».

Токсичная экосистема — это когда:

  • Продукты нельзя взять по одному. «Наш EDR работает только с нашим SIEM, иначе теряем 50% функций».

  • Дублирование функционала. Например, у вендора есть два продукта, которые делают одно и то же (скажем, свой SOAR и SIEM с элементами SOAR).

  • Закрытые API. Хотите автоматизировать реакцию? Платите за «фирменную» интеграцию.

Экосистема — это про удобство, а не про тотальный контроль. Вендор-лок — это когда вас заставляют покупать лишнее.

Previous10 правил SIEM, с которых надо начатьNextКак выбрать SIEM для SOC: критерии аналитика, а не маркетолога

Last updated

Was this helpful?