about-back

Решения
Rainbow Security предоставляет оптимальные, универсальные решения
для любых организаций, а также техническую поддержку от наших высококвалифицированных специалистов.

Почему выбирают Atar?

Вступление

ATAR это лучшая платформа аналитики и управления ИБ (SOAP), призванная усилить современные Ситуационные Центры Безопасности (SOC) и Компьютерные группы реагирования на чрезвычайные ситуации (CSIRT). Наравне с большинством SOAR платформ, ATAR имеет функции автоматизации, оркестровки как человеческой, так и программной; предоставляет платформу комплексного контроля и управления инцидентами, вкупе с панелями мониторинга и отчётами. Когда мы разрабатывали ATAR, мы руководствовались тремя основными принципами и отличительными особенностями:

ATAR разработан для большинства

Большинство наиболее популярных инструментов SOAR нацелены на работу с наиболее опытными аналитиками или работниками CSIRT, которых в мире, к сожалению, не так уж много. Так, вместо создания инструментов только для них, ATAR нацелил разработку инструментов на более широкий охват аналитиков. Но такая смена в целевой аудитории приносит новые трудности: необходимо быть уверенным, что система защищена от ошибок самих аналитиков; необходимо создать простой в изучении и использовании инструмент, в котором, при его простоте, оператор будет иметь довольно детальный контроль над используемыми решениями.

ATAR гибок

У всех организаций свои требования и ожидания от SOAR, поэтому мы производим не только готовые решения, но и предоставляем платформу, с помощью которой клиенты смогут построить свои собственные. В этом им помогут настраиваемые уровни SLA и уровни угроз, предпроцессный конвейер, а также мощный движок автоматизации. Все клиенты, использующие ATAR, признают его как самый гибкий вариант из всех, что они рассматривали.

ATAR задействует всех в вашей организации

Поддержание непрерывного процесса защиты крайне важно, команды безопасности прикладывают для этого большие усилия. Во многих случаях расследование и разрешение инцидентов требует коммуникации и обмена информацией между собой, и поэтому ATAR спроектирован для привлечения почти всех и каждого. Он взаимодействует с другими командами и работниками компании с помощью электронной почты и заявок в сервис десках. В случае необходимости все человеческие вычислительные ресурсы могут быть брошены на успешное выполнение поставленной задачи.

У ATAR есть много возможностей реализовать это. В этом буклете мы рассмотрим ключевые возможности ATAR.

1. Автоматизация

Автоматизация — важная часть SOAR платформ, и разработчик каждой платформы заявляет, что их продукт обладает таким функционалом. Но некоторые реализовывают его лучше. В этом разделе мы приведем общие данные о возможностях автоматизации в ATAR. Отметим, что обработка инцидентов, а в терминологии ATAR — сценариев, могут быть полностью автоматизированными, частично автоматизированными и не автоматизированными вовсе.

Триггеры автоматизации

ATAR может начать выполнение сценария, получив сигнал от сторонних источников, таких как: оповещение от SIEM, вызов функции специального приложения с помощью REST API или получение оповещения о новой угрозе от Threat Intelligence продукта. Так же он следит за электронной почтой и просматриваемыми страницами в интернете, и может начать выполнение сценария при получении письма или изменения содержимого просматриваемой страницы. Еще он имеет возможность интеграции с приложениями Service Desk, таким образом, когда бы конкретная заявка не была открыта, ATAR может перехватить инициативу в разборе заявки с помощью ранее заданных сценариев. Как вариант SOC аналитик может вручную создать запись об инциденте, используя уже другой сценарий. Различное техобслуживание, такое как периодическая перезагрузка сервиса, очистка места на диске, заполнение или обновление таблиц поиска, так же может быть задействованы в сценариях.

Таблицы поиска

ATAR может работать с многими различными таблицами поиска, схожими с теми, которые предлагают SIEMы. Ниже представлен список самых часто используемых таблиц поиска. Само собой, SOC/CSIRT аналитики не ограничены выбором только этих вариантов:

  • Список VIP-пользователей организации
  • Список сотрудников в отпуске
  • Таблица сегментов сети, а также их ролей в бизнесе

Сценарии могут проверять как отдельные найденные в поисковых таблицах объекты, так и объекты, являющиеся целыми списками (например, VIP-пользователи), а также могут добавлять или удалять объекты из других списков (например, если это запланировано по графику). Использование таких таблиц значительно расширяет возможности автоматизации ATAR.

Шаблоны оповещений

В некоторых моментах сценария может понадобиться рассылка оповещений по электронной почте, СМС, Windows Popup уведомлений и др. и чтобы излишне не усложнять такие сценарии, ATAR позволяет вам хранить шаблоны этих уведомлений отдельно от самих сценариев. Это становиться особенно полезно, если вы хотите использовать разные шаблоны, для разных случаев, подстраиваясь под язык, местоположение или роль конкретного сотрудника. Сценарий сам решит какой шаблон использовать.

Сценарии с несколькими совпадениями

Могут быть и сценарии, созданные для особых случаев. Когда создаётся инцидент, он может совпасть с одним или более сценариями, заранее определенными платформой. В отличие от правил обычных межсетевых экранов, срабатывающих только на первое совпадение, ATAR использует модель множества совпадений, таким образом, новый инцидент может быть субъектом множества сценариев, позволяя делать несколько действий по одному сценарию.

От наших клиентов постоянно поступает много интересных идей по использованию этих механизмов. Например, банк-клиент использует эту систему для оценки опасности поступающих инцидентов: первый сценарий в списке проверяет, закреплён ли уже за субъектом ещё какой-то инцидент, и если за субъектом значится более трёх инцидентов за последний час, то степень угрозы будет увеличена до критической отметки.

Триггеры инцидентов и кураторы событий

ATAR предоставляет множество различных триггеров и определяет куратора. Некоторые сценарии запускаются сразу после создания инцидента. Триггером может стать изменение масштаба расследований (новые IP-адреса, URL, пользователи, доменные имена), выполнение/не выполнение SLA и даже закрытие самого инцидента.

Такие триггеры открывают возможности для многих новых случаев, и наши клиенты каждый раз придумывают что-то новое. Примером станет создание инцидентов при выключенных триггерах, что приведёт к открытию заявок и последующему их закрытию в системах Service Desk. В дальнейшем это будет полезным, в том случае если некоторая IT-организация захочет получить отчёт о соблюдении SLA. Также при изменении масштабов расследования срабатывает триггер для автоматического продолжения расследования. Например, аналитик сталкивается с новым IP-адресом или именем пользователя, тогда ATAR автоматически пытается получить информацию по этому IP или имени пользователя из внутренних источников. Таким образом, триггеры способствуют автоматизации повторных действий.

2. Нерушимая защита

SOAR платформа используется для управления и контроля множества различных инфраструктурных и ИБ систем, а ведь каждая из этих систем требует привилегированного доступа. Многие сравнивают это со «складыванием всех яиц в одну корзину», так как одна платформа получает все полномочия.

Это именно та причина, по которой ATAR относится к безопасности так серьёзно и имеет наиболее развитую модель безопасности в сравнении с остальной отраслью. ATAR поддерживает основанный на ролях контроль доступа, подсистему аудита, и интегрируется с хранилищем учётных записей.

«Потенциальный» контроль доступа

Используя различные плагины ATAR может обмениваться информацией со сторонним ПО. С их помощью он собирает данные и производит действия над объектами. Там, где большинство конкурентов использует контроль доступа, основанный на типе конкретного устройства, ATAR предлагает более детальный подход, с использованием т.н. «потенциала». Под «потенциалом» здесь понимаются все функции, которые может использовать конкретный плагин. Например, плагин Active Directory предоставляет около 15 различных функций, предоставляющих данные о пользователях, членах AD-групп, с возможностью их блокировки и т.д. Внутри самой платформы ATAR администратор может не только открыть условному аналитику доступ к плагину AD, но и разграничить доступ в рамках этого плагина, например, допустив аналитика только к просмотру данных о пользователе, но не его блокировки. Контроль доступа является контролирующим органом в случае предоставления аналитику административного доступа на основе устройств, что значительно ограничивает риски и увеличивает защищённость системы.

Границы расследований

ATAR хранит всю историю действий по инциденту, начиная с его создания и в течение всей истории обработки, включая все IP, URL, e-mail, имена пользователей, программ, хэши и т.д. Эти данные структурируются и хранятся в месте, называемом границами расследования. Иначе говоря, границы расследования — это все релевантные находки, нуждающиеся в дальнейшем изучении.

Границы это не только направляющий инструмент для аналитика, но так же и защитный механизм. Выше мы описывали «потенциальный» контроль доступа, определяющий какие именно функции конкретного софта аналитик может использовать. Однако вряд ли вы захотите, чтобы ваши аналитики получали доступ к файлам и устройствам тогда, когда ситуация этого не требует. Именно поэтому ATAR по умолчанию ограничивает доступ аналитиков к устройствам, находящимся вне границ текущего расследования. На практике это означает, что пока инцидент не затронет конкретное устройство, аналитик не сможет получать доступ к его файлам, даже если у него есть такая привилегия. Это же касается и блокировок. Нельзя просто взять и заблокировать конкретный IP пока он не попадёт в границы расследования.

До тех пор, пока администратор ATAR не захочет обратного, границы расследования добавляют ещё один уровень безопасности.

Итак, потенциальный контроль доступа определяет, что именно аналитик может сделать, а Границы определяют, относительно каких устройств он это может.

Списки исключения

Многие организации хотят иметь некоторый список исключений из общих правил. Примером может служить очень хрупкая и чувствительная сеть, работа и доступность которой является критически важной, к которой аналитики SOC должны иметь доступ вне зависимости от обстоятельств.

Для всех вышеперечисленных границ расследований можно задать списки исключений, так что ни автоматизация ATAR, ни аналитик не смогут нарушить эти ограничения. Вне зависимости от содержания этих списков.

Ограничение non-SOC доступа

Многие SOAR платформы позволяют получать обратную связь от пользователей через рассылку писем с прямой ссылкой на саму платформу, где пользователи через интерфейс браузера могут оставить свой комментарий. ATAR считает, что это довольно сомнительный способ получения обратной связи. Представьте на секунду всю ценность данных, проходящих через SOAR платформу, а теперь представьте, что некто захочет воспользоваться этой лазейкой. Чем больше людей имеет доступ к интерфейсу платформы, тем выше вероятность утечек данных.

Вместо такой формы браузерных комментариев, ATAR взаимодействует с пользователями через приложение-мессенджер. Текущая его версия поддерживает электронную почту, через ответ на которую ATAR и получает обратную связь. Это не только проще для тех, кто находится вне офиса (т.к. не потребуется налаживать VPN-соединение), но и просто безопаснее, т.к. вы не открываете доступ к самой платформе. Более того, такие сообщения позволяют отвечать не только «да/нет», но и оставлять подробные комментарии и дальнейшие объяснения, что в дальнейшем может пополнить историю конкретного случая.

3. На защите персональных данных

Обычно, все SOC аналитики имеют доступ ко всем логам на SIEM платформе. Учитывая законодательство, регулирующее обработку данных(GDPR), организации должны быть крайне осторожны в том, как именно они предоставляют доступ к таким данным. Обычно, SIEMы хранят данные об адресатах переписки, об используемых IP-адресах, данные о посещаемых страницах в интернете и много других персональных данных. Аудит аналитиков помогает, но не решает сложившуюся проблему. Необходимо уменьшить «площадь соприкосновения» с этими данными, следовательно, организации должны стремиться уменьшить число людей, напрямую контактирующих с данными в SIEMе.

ATAR решает эту проблему. Когда создаётся условный инцидент, базирующийся на оповещении, созданным SIEMом, ATAR автоматически получает релевантные данные из SIEMа и отображает их в отдельном интерфейсе; таким образом, при получении данных об инциденте аналитику больше не нужно переключаться между окнами систем SIEMа и ATAR.

Даже больше. Для работы с запросами аналитиков администратор платформы ATAR может подготовить новый экземпляр БД (Instance), содержащий все необходимые данные для работы с нужным инцидентом. Это означает, что при работе аналитик получит доступ только к выделенному экземпляру БД, но не к самим базам SIEM и ATAR.

Такая модель позволяет ATAR:

  1. мгновенно собирать релевантные данные по созданному инциденту
  2. давать аналитикам доступ только к заранее подготовленным данным, но не к SIEMу

Само собой есть аналитики, которые должны иметь постоянный доступ к SIEMу, но и задача была не полностью исключить доступ, а максимально его ограничить.

По такому же принципу работает и взаимодействие с другими источниками данных.

4. Гибкость

Все организации разные, равно как и их потребности в SOAR платформах. ATAR проявляет гибкость во многих аспектах, чтобы соответствовать этим различиям.

Уровни угроз и SLA

Некоторые SOC работают по 4-уровневой системе угроз, некоторые по 5-уровневой; ATAR предоставляет полностью настраиваемую систему уровней угроз. Администратор платформы сам решает, какую он будет использовать. Следственно, на каждый уровень угроз можно определить свои уровни реагирования и SLA.

Классификация

У ATAR есть своя встроенная классификация инцидентов: malware, фишинг, утеря ноутбука и пр. Администратор может решить, использовать эту систематику, или же, исходя из потребностей, создать и использовать свою собственную.

Передача инцидента

Алгоритм передачи инцидента может быть полностью переписан с нуля, на самом деле этот алгоритм — просто несколько иной вид сценария, происходящего при создании инцидента. Администратор платформы может создать полностью настраиваемый алгоритм передачи инцидента, основываясь на своих потребностях. А используя график сценариев, можно решить как кооперировать и передавать инцидент между рабочими сменами. Передача инцидента и разница в рабочих сменах не станет препятствием в решении инцидента

Триггеры и кураторы событий

Хотя триггеры и кураторы уже описывались в разделе об автоматизации, механизм триггеров предоставляет великолепную гибкость решений, принимаемых платформой ATAR, при срабатывания какого-либо сценария. Существуют миллионы различных потенциальных способов применения триггеров, и некоторые из них уже упоминались разделе об автоматизации.

Конвейер первичной обработки и объедение инцидентов

помощью администратор платформы сможет проводить следующие действия: изменять степень угрозы, фильтровать и отбрасывать менее интересующие угрозы, классифицировать текущие и даже объединять несколько тревог в один инцидент.

Регулирование и объединение инцидентов помогает уменьшить общее количество задач, поступающих аналитикам.

5. Задействует конечных пользователей

Большинство SOAR платформ разработаны исключительно для использования командой SOC, большая редкость, когда с ней может взаимодействовать обычный пользователь. Таким образом, получить обратную связь от простого пользователя становится затруднительным, и мы в ATAR считаем, что это не самый современный подход к делу.

Современный подход подразумевает взаимодействие с работниками организации; получение от них информации о возможной происходящей подозрительной активности.

ATAR предоставляет такую возможность коммуникации между командой SOC и конечными пользователями. В любой момент расследования ATAR может обратиться к пользователю через почту и задавать конкретные вопросы, и на основании ответной информации от него менять ход сценариев и действовать соответственно складывающейся ситуации.

Общение с конечными пользователями так же является выгодным, т.к. их фидбек можно позже записать в хронологию по инциденту. Мы хотим сказать, что любая обратная связь может стать полезной.

Другим примером взаимодействия между ATAR и пользователями становится обращение к владельцу перед принятием решения о действиях над ключевыми частями системы. Для этого такие системы помечаются «нуждающимися в одобрении». Если устройство отмечено, как «нуждающееся в одобрении», ATAR отправляет владельцу письмо с запросом на одобрение действия.

Заключение

Итак, основными задачами ATAR является:

  • Быть платформой для команд SOC/CSIRT вне зависимости от уровня их опыта и компетентности
  • Оправдывать ожидания многих организаций
  • Охватывать в своей работе не только команду SOC, но и всю организацию

Многие организации ценят вышеперечисленные моменты, так как они помогают соответствовать большой части требований ИБ отрасли.

Итак, мы рассказали, чем именно отличается ATAR в достижении поставленных выше задач:

  • Рассказали о необходимости автоматизации в главе 1
  • Как и зачем создана нерушимая защита в главе 2
  • Как достигается соответствие законодательству в главе 3
  • О неограниченной гибкости в использовании продукта в главе 4
  • И о том, как вовлечь в работу людей вне пределов вашего SOC в главе 5

Мы надеемся, что вы найдете эту информацию полезной, выбирая SОАR платформу.

В заключении скажем, что именно ваши ожидания от SОАR платформы определяют то, какими они будут в будущем. Мы верим, что ежемесячные релизы, активная разработка и внимание к своим клиентам определят успех ATAR. Мы не хотим просто предоставить вам продукт, мы хотим стать вашими партнёрами в улучшении вашего SОАR и всей вашей системы безопасности.

www.atarlabs.io/en/free-trial

Защита банкоматов

Имя* Компания* Email* Телефон

* - Поля, обязательные для заполнения

ajax-loader

Компрометация приложений для смартфонов

Имя* Компания* Email* Телефон

* - Поля, обязательные для заполнения

ajax-loader

Семинар ATAR

Фамилия* Имя* Должность* Компания* Email* Телефон* Защита от автоматического заполнения captcha Введите символы с картинки*

* - Поля, обязательные для заполнения

ajax-loader

Заполните поля

Защита от автоматических сообщений
CAPTCHA
Введите слово на картинке*
ajax-loader

Заполните поля

Защита от автоматических сообщений
CAPTCHA
Введите слово на картинке*
ajax-loader

Для регистрации заполните, пожалуйста, Форму:

Фамилия* Имя* Отчество* Название компании* Должность* Телефон рабочий* Телефон мобильный* E-mail*

* - Поля, обязательные для заполнения