Особенности SOAR от ServiceNow 
Оцените эту статью

Информационная безопасность ИТ: особенности SOAR от ServiceNow

ServiceNow представляет собой гибкую платформу с широкими возможностями конфигураций, подходящими под запросы клиентов. В последнее время отделам ИБ, состоящим из пяти и более специалистов, рекомендуют использовать системы безопасности SOAR. Что же предлагает в рамках таких систем ServiceNow?

Трудности компаний с управлением информационной безопасностью

Если IT-компания не применяет в своей практике системы безопасности, то появляется риск столкнуться со следующими трудностями:

  1. не определены четкие критерии полной информационной безопасности;
  2. ограничена «видимость» рисков;
  3. отсутствует отслеживание уязвимости системы на различных уровнях;
  4. замедлено время отклика на инцидент;
  5. решение возникших проблем «вручную».

Всё перечисленное неминуемо ведет к увеличению финансовых расходов на решение проблемных ситуаций отделом ИБ. Чтобы этого избежать, все же следует обратить внимание на Security Operations, Analytics and Reporting – SOAR от ServiceNow.

Функции SOAR для обеспечения ИТ безопасности компании

SOAR является специальным инструментарием для обобщения сведений про угрозы ИТ безопасности, которые подаются из различных источников, с последующим анализом этих данных.

К основным функциям SOAR относятся:

  • интегрирование технологий/инструментов, необходимое в случае принятия решений, основанных на полученных сведениях о состоянии системы безопасности, об уровне возможных рисков – оркестровка;
  • замещение «ручных» задач автоматическими действиями – автоматизация;
  • управляемость инцидентами с помощью «сквозного» подхода (сюда можно отнести назначение приоритетов, протоколирование действий, принятие решений в соответствии с политикой компании);
  • визуализация данных, касающихся ключевых метрик, отчетности для сотрудников компании – формирование документации.

Огромный «плюс» SOAR — полная автоматизация процессов управления ИБ: начиная от назначения приоритетности и заканчивая ответами на возникшие инциденты.

SOAR: работа модулей

Как уже говорилось, SOAR нужен, чтобы производить интеграцию сведений, поступающих из различных источников, об угрозах для системы безопасности. Это достигается с помощью трех основных модулей.

Первый модуль — Security Incident Response, упрощает проведение идентифицирования инцидентов. Он также занимается импортированием информации из применяемых решений, а также отвечает за кастомизацию процессов.

Чтобы расставить приоритетность уязвимостей, используется модуль Vulnerability Response, который помогает определять подверженность угрозам для бизнес-критических систем. Так, благодаря этому модулю производится:

  • анализ зависимостей;
  • оценка влияния производимых действий на бизнес-процессы, а также простоев;
  • внесение необходимых изменений;
  • проверка выполненных изменений.

Еще один из важных модулей SOAR – Threat Intelligence. Он необходим для:

  • обнаружения индикаторов возможной компрометации;
  • отслеживания угроз на глубоких уровнях.

Его преимущество в поддержке разных стандартов, служащих, чтобы обмениваться сведениями о предполагаемых рисках. К тому же данный модуль дает возможность подключать кастомные источники, производить обмен информацией со сторонними системами.

Благодаря подобной организации работы с инцидентами усиливаются позиции тех специалистов, которые работают в аналитических отделах компании, — улучшается их взаимодействие со специалистами других отделов IT-компании.

Наша компания предлагает услуги по внедрению систем информационной безопасности, [email protected]