Первый и главный недостаток — ориентация на готовые интеграции (playbooks). Ведущие западные SOAR-платформы (Splunk Phantom, IBM Resilient) своей мощью обязаны огромным marketplace’ам с сотнями коннекторов к конкретным продуктам: CrowdStrike, Palo Alto Networks, ServiceNow. В условиях импортозамещения этот зоопарк дорогих иностранных решений уходит. Российские аналоги этих продуктов (например, «Киберпротект», UserGate, MAXPATROL) имеют иные API, архитектуру и логику работы. Готовые сценарии (playbooks) становятся бесполезными. Фокус смещается с использования готового на глубокую, трудоемкую разработку собственных сценариев автоматизации под отечественный стек, что требует высококвалифицированных специалистов, дефицит которых огромен.
Второй скрытый риск — «автоматизация хаоса». SOAR не создает процессы кибербезопасности, она их автоматизирует. Если в SOC нет четких, документированных и отлаженных ручных процедуров реагирования (runbooks), то их автоматизация лишь быстрее и масштабируемо приведет к некорректным действиям. Внедрение SOAR должно начинаться с реинжиниринга процессов, а не с покупки платформы. В условиях, когда многие компании только формируют свои SOC, ставка на SOAR как на «серебряную пулю» может закончиться дорогостоящим провалом.
Третий недостаток — сложность и переоценка машинного обучения. Многие платформы позиционируют встроенные ML-модели для оценки критичности инцидентов и принятия решений. Однако эти модели часто являются «черными ящиками», обученными на данных, нерелевантных для российского Threat Landscape. Угрозы, тактики и инструменты (TTPs) у локальных APT-групп могут отличаться. Слепое доверие к такой модели может привести к пропуску реальной атаки или, наоборот, к лавине ложных срабатываний. Требуется либо длительный и дорогой процесс дообучения моделей на собственных данных, либо отказ от этой функциональности в пользу прозрачных, rule-based систем оценки.
Четвертый момент — проблема «вакуумной» автоматизации. SOAR эффективна, когда ей есть что оркестрировать: EDR, SIEM, файрволлы, системы тикетирования. В условиях санкций и разрыва цепочек поставок формирование целостного и совместимого tech stack’а становится нетривиальной задачей. Риск создать «островок автоматизации», не интегрированный с ключевыми системами, очень высок. Это требует от архитекторов суверенных решений уделять первостепенное внимание открытости API и поддержке стандартов (например, OpenDXL, TAXII) со стороны российских вендоров.
Что же делать? Секрет мастеров заключается в смещении парадигмы.
- **SOAR как платформа для low-code автоматизации процессов, а не коробочный продукт.** Выбирать нужно не по количеству готовых коннекторов, а по гибкости движка сценариев, качеству API и поддержке стандартов. Приоритет — возможность быстро создавать и модифицировать интеграции с меняющимся отечественным стеком.
- **Фокус на оркестрацию, а не на полную автоматизацию ответа.** Автоматизируйте рутину: сбор артефактов, обогащение контекстом из SIEM, создание тикетов, блокировку по шаблону. Ключевые решения об эскалации и ответных мерах должны оставаться за аналитиком. Это снижает риски ошибок автоматизации.
- **Разработка собственной библиотеки сценариев (playbooks) как конкурентное преимущество.** Это интеллектуальная собственность компании, заточенная под ее инфраструктуру и угрозы. Процесс их создания должен быть поставлен на поток, как разработка ПО.
- **Рассмотрение альтернативных путей.** Иногда более эффективным может быть развитие возможностей оркестрации внутри самой SIEM-системы (например, в российских решениях) или использование специализированных платформ RPA (Robotic Process Automation) для автоматизации задач, не требующих глубокого контекста ИБ.
Комментарии (12)