26 Февраля 2025 12:51 | 26 Фев 2025 12:51 | |

Поделиться

Как автоматизировать процессы информационной безопасности — от мониторинга до реагирования

Шквал кибератак

Поток киберинцидентов, которые приходится обрабатывать и SOC-центрам, и отдельным ИБ-аналитикам в компаниях, не снижается последние 3 года. Если во втором квартале 2022 года это были массовые неизбирательные атаки со стороны хактивистов, то в последующие периоды атакующие перешли к более продуманным скоординированным действиям и многоступенчатым кибератакам, которые наносят реальный существенный ущерб — от утечек данных и простоя бизнес-процессов до полного уничтожения ИТ-инфраструктуры.

К киберинцидентам надо тщательно подготовиться, своевременно выявить признаки кибератаки, эффективно выполнить анализ угрозы, оперативно локализовать и устранить её, а затем извлечь уроки, усилить защиту, не допустить повторения отраженной атаки. Данные действия требуют высокой компетенции и оперативной работы ИБ-специалистов, которая должна быть максимально автоматизирована для снижения времени выявления, анализа, реагирования на угрозу. При этом счет идет буквально на минуты, в которые надо уложиться, чтобы не допустить развития инцидента и причинения компании неприемлемого ущерба. Важно воспользоваться этими минутами максимально продуктивно — это значит, что все действия лучше выполнять в едином окне, не переключаясь между множеством консолей, а все необходимые обогащающие и контекстуализирующие данные по инциденту уже должны быть автоматически подгружены в решение для автоматизации.

В идеальном случае, платформа автоматизации реагирования должна в автономном режиме выполнить все необходимые действия для сдерживания кибератаки и устранения угрозы — например, применить сетевую изоляцию атакованного устройства, заблокировать вредоносные сетевые соединения, отключить скомпрометированные учетные записи. Кроме того, проекты по импортозамещению привносят в инфраструктуру новые отечественные решения, которые некоторое время сосуществуют с уже неподдерживаемыми импортными продуктами, что приводит к повышению разнородности и сложности инфраструктуры, усложнению её администрирования и защиты.

Импортозамещение

Тренд на импортозамещение, поддерживаемый различными законодательными инициативами, сохраняется уже 10 лет, но именно за последние 3 года он эволюционировал из принудительного в осознанный. Компании наконец поняли, насколько реальны риски внезапного ухода зарубежных вендоров и консультантов, прекращения поддержки, удаленного отключения лицензий, «окирпичивания» решений и средств защиты, невозможности получить патчи безопасности и обновления сигнатур. В связи с этим проекты по импортозамещению стали одним из основных драйверов на ИТ и ИБ рынках, что потребовало выделения дополнительных финансовых, кадровых, аппаратных ресурсов. Переходный период, в течение которого специалисты вынуждены одновременно и поддерживать устаревшие импортные системы, и внедрять новые отечественные решения, оказался достаточно длительным и ресурсозатратным, а к настоящему моменту достичь полной импортонезависимости удалось лишь малому числу компаний. Новые российские решения базируются на различных модификациях Linux, что повышает требования к компетенциям администраторов, а также накладывает дополнительные требования на средства защиты, которые должны быть совместимы с отечественными ОС и СУБД.

Соответствие законодательству

Комплаенс — это традиционно один из ключевых драйверов ИБ, но законодательные новации последнего времени, включая требования по защите объектов КИИ, положения Указов Президента РФ №166 и №250, введенные недавно оборотные штрафы за утечки персональных данных, а также нормы по уведомлению государственных регуляторов о произошедших инцидентах существенно подогрели интерес к автоматизации процессов соответствия законодательству. Помимо традиционных задач по контролю уровня соответствия инфраструктуры и формированию отчетности, заказчики заинтересованы в автоматизации действий по формированию уведомлений об инцидентах и их отправке в НКЦКИ, ФинЦЕРТ, РКН, а также в автоматизации обработки запросов от данных структур. Кроме того, актуальны вопросы автоматизации еще ряда задач, таких как обеспечение защиты КИИ, включая учет и категорирование ОКИИ, моделирование угроз и нарушителей, управление уязвимостями, а также автоматизация управления операционными рисками по требованию Положения 716-П ЦБ РФ.

Дефицит специалистов

Нехватка кадров ощущается во многих отраслях, но именно в кибербезопасности дефицит специалистов из хронического перерос в острый. Нагрузка на сотрудников ИБ растет из-за роста числа инцидентов, проектов по импортозамещению, усложнения регуляторных норм, но численно работников больше не становится. Как итог, люди выгорают, активно меняют работу и ищут интересные амбициозные проекты, где можно будет развивать компетенции и заниматься творчеством.

Для того, чтобы снизить негативные эффекты рутинной нагрузки (ошибки, утомление, скука), внедряются системы автоматизации ИБ-процессов. Данные решения помогают снизить влияние человеческого фактора на принятие критически важных решений — это касается и рассеивания внимания при выполнении однообразных операций, и субъективности при оценке киберугроз, и влияния когнитивных искажений на корректную обработку информации. Кроме того, важно высвободить время сотрудников на творческие задачи и развитие компетенций вместо монотонных операций, а также поддерживать их интерес и к профессии в целом, и к конкретному месту работы.

Факторы удобства и простоты настройки и эксплуатации тоже являются немаловажными, поскольку с интуитивно понятным графическим интерфейсом решения проще разобраться и работать, а применение подходов low-code/no-code в решениях для автоматизации снижает порог входа и позволяет не предъявлять избыточных требований к уровню квалификации ИБ-администраторов.

Для компании применение платформ автоматизации ИБ-процессов позволяет не только повысить свою конкурентоспособность среди кандидатов, которых можно заинтересовать различными возможностями по автоматизации будущей работы, но и сохранять наработанную экспертизу внутри платформы на случай, если сотрудник, написавший множество полезных скриптов автоматизации, решит покинуть компанию.

Неэффективность и незрелость процессов ИБ

В отличие от ИТ-направления, кибербезопасность в российских компаниях относительно недавно получила самостоятельность и автономность, поэтому многие процессы ИБ до сих пор не выстроены, особенно в небольших организациях. Это приводит к тому, что ИБ охватывает не все бизнес-процессы и подразделения компании, активы и уязвимости остаются неучтенными, инциденты не предотвращаются, киберриски не оцениваются полноценно. Подобную «болезнь роста» можно быстрее преодолеть с использованием технологий автоматизации, которые дадут подсказку и инструменты для корректного внедрения ИБ-процессов и постепенного повышения их уровня зрелости на выбранной платформе автоматизации.

Сложность современных киберугроз — это объективная данность, и работать с ними следует с применением системного риск-ориентированного подхода, который будет проще выстроить с использованием методических рекомендаций и «коробочных» процессов выбранной платформы автоматизации. При этом дальнейшее масштабирование также будет выполняться проще на базе выбранного решения для автоматизации процессов ИБ, особенно если в нем используются передовые инновационные технологии, такие как машинное обучение, искусственный интеллект, обработка больших данных. Кроме того, рано или поздно в компании встанет вопрос о необходимости мониторинга состояния и повышения прозрачности процессов ИБ, оценки эффективности процессов и сотрудников ИБ-департамента, обоснования дополнительных инвестиций, оценки текущего уровня зрелости процессов. Автоматизация позволит получить объективную картину состояния и динамики киберзащищенности компании, поэтому платформа автоматизации процессов будет интересна в том числе и лицам, принимающим стратегические решения в компании.

Платформы автоматизации процессов ИБ помогут решить все перечисленные задачи: ускорить реагирование на киберинциденты, навести порядок в разнородной защищаемой инфраструктуре, упростить комплаенс-процедуры, сэкономить время дефицитных специалистов, повысить эффективность процессов ИБ. В конечном итоге решение этих задач позволит упростить соблюдение требований законодательства, повысить киберзащищенность компании и снизить ущерб в случае наступления киберинцидента. Разумеется, несмотря на описанные преимущества, у заказчиков есть ряд опасений и сомнений, которые мешают внедрению систем автоматизации ИБ и которые мы сейчас постараемся развеять.

Вызовы и решения

Вызов: Неготовность выполнения критичных действий в автоматическом режиме.

Решение: Неготовность передавать контроль над выполнением критичных действий в инфраструктуре системе автоматизации вполне понятна, особенно учитывая, что для большинства действий по активному реагированию на инцидент (блокирование аккаунта, завершение процесса, перенастройка сетевых правил и т.д.) требуются учетные записи с расширенными привилегиями. Однако автоматизацию процессов ИБ и процессов реагирования на киберинциденты можно начинать с ограниченного объема действий, которые не потребуют использования административных полномочий, например, со сбора и агрегации релевантной информации об активах и инфраструктуре, с обогащения и контекстуализации данных о киберинциденте и затронутых им сущностях. Далее можно будет расширить применение платформ автоматизации для автоматической аналитики собранных данных, поиска корреляций и аномалий, визуализации взаимосвязанных сущностей между собой для того, чтобы специалисту было проще принять взвешенное решение. Затем, убедившись в корректности работы системы автоматизации, можно частично автоматизировать активные действия, которые раньше выполнялись вручную, такие как рассылка и обработка email с запросами и согласованиями от работников, установка обновлений, удаление несогласованного ПО, применение безопасных конфигураций к устройствам, локализация и блокирование кибератак за счет интеграции с различными СЗИ, формирование отчетности по инцидентам, отправка уведомлений в НКЦКИ, ФинЦЕРТ, РКН.

Вызов: Недостаток зрелых решений для автоматизации, сложности их интеграции с инфраструктурой и имеющимися СЗИ.

Решение: Первые отечественные решения по автоматизации процессов ИБ появились в начале 2010-х, прошли путь становления и взросления, успешно конкурировали с импортными аналогами, а сейчас занимают существенную долю рынка. Например, по данным Центра Стратегических Разработок, Security Vision заняла третье место в категории «Средства защиты инфраструктуры» по итогам анализа рынка кибербезопасности за 2023 год. Мы, как и наши конкуренты, предлагаем заказчикам SGRC-решения для автоматизации всех процессов ИБ, системы класса Asset Management и Vulnerability Management, продукты для управления киберрисками, решения классов TIP и UEBA, платформы XDR/SOAR для автоматизации процессов управления киберинцидентами. Для упрощения интеграции платформы Security Vision в действующую инфраструктуру со множеством российских и зарубежных ИТ/ИБ-систем мы предлагаем механизм настраиваемых коннекторов и гибких сценариев реализации процессов ИБ, а также поддерживаем механизмы взаимодействия через API.

Вызов: Недостаток экспертизы для настройки и администрирования платформ автоматизации.

Решение: Мы в Security Vision понимаем, что важно не только предоставить заказчикам инструменты для автоматизации, но и снизить порог входа в работу с продуктом, провести вендорское обучение, сопровождать внедрение и эксплуатацию продуктов. Именно поэтому продукты Security Vision поддерживают технологии low-code / no-code для упрощения настройки интеграций и сценариев реагирования на киберинциденты, а наш корпоративный Учебный Центр проводит обучение специалистов заказчиков работе с нашими продуктами. В результате специалисты заказчиков, работающие с нашими решениями, получают возможность полной кастомизации всех интеграций, всех процессов, внешнего вида и даже логики работы решения. Это повышает мотивацию персонала, поскольку позволяет автоматизировать практически все типовые рутинные операции, с которыми сталкиваются не только ИБ-специалисты, но и сотрудники ИТ, риск-менеджеры, сотрудники департаментов физической и экономической безопасности.

Вызов: Недостаток бюджета, невозможность обоснования инвестиций в платформу автоматизации.

Решение: С учетом уровней возможного ущерба от реализации успешных кибератак и строгости регуляторных требований, которые недавно пополнились новыми крупными штрафами за утечки данных, вложения в результативную кибербезопасность не кажутся несоразмерными. Системы автоматизации процессов ИБ сокращают затраты на дефицитных и дорогих ИБ-специалистов, способствуют повышению уровня эффективности и зрелости всей СУИБ, являются надежной инвестицией в дальнейшее планомерное и устойчивое развитие киберустойчивой информационной инфраструктуры компании.

Платформы автоматизации обеспечат гибкость и масштабируемость СУИБ компании для долгосрочной надежной защиты активов компании, непрерывности бизнес-процессов и безопасности данных клиентов и партнеров, что также благотворно скажется на репутации компании. Кроме того, системы автоматизации процессов ИБ могут помочь не только специалистам по кибербезопасности, но и сотрудникам ИТ-блока (для мониторинга инфраструктуры), юристам и внутренним аудиторам (для контроля соответствия законодательству и корпоративным требованиям), риск-менеджерам (для управления рисками ИБ и операционными рисками), службе безопасности (для получения данных об активности определенных пользователей). Таким образом, затраты на гибкую и многофункциональную систему автоматизации можно распределить на бюджеты сразу нескольких заинтересованных подразделений.

При анализе и обосновании закупки системы автоматизации процессов ИБ важно рассчитывать прогнозируемый показатель экономической целесообразности внедрения решения на горизонте не 1 года, а сразу на среднесрочную перспективу (например, на 5 лет) — и именно поэтому в фундамент создаваемой системы автоматизации СУИБ важно закладывать передовые технологии, предоставляемые платформой автоматизации, такие как машинное обучение, искусственный интеллект, работа с большими данными.

Вызов: Недостаточная для автоматизации зрелость процессов ИБ.

Решение: Автоматизацию действительно целесообразно внедрять, когда процессы ИБ достигли определенного уровня зрелости, в противном случае можно лишь усложнить инфраструктуру еще одним продуктом. Однако, именно платформа автоматизации поможет направить в нужном направлении стремление к повышению уровня зрелости процессов ИБ и всей СУИБ за счет предустановленных интеграций, процессов, рекомендаций и включенной в продукт экспертизы.

Что можно предпринять

Далее мы опишем шаги, которые можно предпринять на каждом из уровней зрелости процессов ИБ. Для этого можно использовать модель CMMI (Capability Maturity Model Integration), в соответствии с которой процессы делятся на следующие уровни зрелости:

• Первоначальный: Процесс выполняется хаотичным образом.
• Управляемый: Процесс повторяется, планируется, отслеживается, корректируется, но отсутствует регламентация.
• Регламентированный: Процесс задокументирован и регламентирован, достигаются прогнозируемые результаты.
• Количественно управляемый: Внедрены количественные метрики оценки эффективности для контроля и оценки процесса.
• Улучшающийся: Процесс непрерывно совершенствуется.

1. Перед оценкой целесообразности внедрения платформы автоматизации следует провести внутренний аудит зрелости процессов, которые будут автоматизироваться. Для автоматизации не подойдут процессы ИБ, находящиеся на первоначальном уровне — желательно, чтобы процесс был как минимум управляемым. Далее важно задокументировать повторяющиеся процессы и провести аудит того, насколько практически выполняемые действия соответствуют их описанию в имеющихся документах. На этапе регламентирования процессов возможны два классических варианта:

• Top-down (сверху вниз): руководитель и выделенные эксперты формируют документацию на процессы, которой следуют исполнители.
• Bottom-up (снизу вверх): исполнители передают сведения о сформированной практике выполнения процессов руководителю, который составляет их формальное описание.

2. По достижении определенным процессом ИБ уровня «Регламентированный» средство автоматизации можно применять для роботизации отдельных повторяющихся и задокументированных действий в рамках этого процесса. Документация на процесс будет необходима, чтобы переложить описание выполняемых действий в логику платформы автоматизации, при необходимости одновременно корректируя и улучшая отдельные действия или сам регламентирующий документ.

3. Следующим уровнем зрелости процессов ИБ будет «Количественно управляемый», на котором уже роботизированные действия можно объединить в полноценный процесс. В рамках данного процесса могут быть автоматизированы уже все выполняющиеся действия в соответствии с классическим PDCA-циклом: планирование, выполнение, оценка, корректировка.

4. Самым высоким уровнем зрелости является «Улучшающийся», на котором процессы ИБ непрерывно совершенствуются, собирается и обрабатывается обратная связь для непрерывного улучшения СУИБ, а регламентирующие документы постоянно актуализируются с учетом организационных изменений и полученного опыта.

В качестве практической реализации постепенной автоматизации процессов ИБ можно предложить следующие этапы:

Автоматизация процесса управления активами

Проведение инвентаризации и классификации информационных активов — это база для всех остальных процессов кибербезопасности. Понимание своей инфраструктуры поможет и при внедрении превентивных мер, и при реагировании на киберинциденты за счет обогащения и контекстуализации данных об атакованных активах. В рамках автоматизации данного процесса можно использовать ограниченные учетные записи с правами на чтение для получения данных из CMDB-систем, служб каталогов, систем Service Desk. Агрегация информации об активах и аккаунтах пользователей на единой платформе автоматизации позволит создать единый центр доверенной и полной информации о защищаемой инфраструктуре. Реализовать автоматизацию процесса управления активами можно в системах класса Asset Management — например, в решении Security Vision AM с обнаружением новых объектов в сети, категорированием активов, инвентаризацией и управлением жизненным циклом оборудования и ПО в инфраструктуре.

Автоматизация процесса управления уязвимостями и конфигурациями

Сканирование и анализ уязвимостей и конфигураций активов — важный процесс, автоматизация которого позволит упорядочить работу с огромным массивом данных об установленном ПО, его уязвимостях и конфигурациях, а также обеспечить учет информации о критичности активов (из предыдущего процесса) при оценке опасности уязвимостей. Реализовать автоматизацию процесса управления уязвимостями и конфигурациями можно в системах класса Vulnerability Management — например, в решении Security Vision VM с собственным движком сканирования, сбором информации от различных сканеров защищённости и экспертных интернет-сервисов, с оценкой безопасности конфигураций и автопатчингом.

Автоматизация процесса управления событиями ИБ

Сбор, хранение, анализ, корреляция событий ИБ — это первый шаг к эффективному управлению киберинцидентами. Автоматизация процесса мониторинга ИБ позволит выявлять корреляции между событиями, формировать подозрения на инциденты и учитывать данные о свойствах затронутых аккаунтов, активов и уязвимостях на них (из предыдущих процессов). По результатам мониторинга ИБ-аналитик получает перечень подозрений на инциденты, которые обогащены информацией об инфраструктуре, что позволяет принять обоснованные решения о методах дальнейшей обработки киберинцидентов. Реализовать автоматизацию процесса мониторинга ИБ можно в системах класса SIEM (Security Information and Event Management) — например, в решении Security Vision NG SOAR со встроенной базовой корреляцией и поддержкой сбора сырых событий непосредственно из инфраструктуры и СЗИ.

Автоматизация процесса управления инцидентами ИБ

Автоматизация основных шагов управления киберинцидентами (подготовка, детектирование, анализ, сдерживание, устранение, восстановление, пост-инцидентные действия) позволит существенно сократить время реагирования на кибератаки, оперативно предпринять меры по их нейтрализации и тем самым снизить размер ущерба для компании. По результатам автоматизации предыдущих процессов (управление активами, уязвимостями, конфигурациями, событиями ИБ) аналитик получает список подозрений на инциденты, обогащенный сведениями об инфраструктуре. Решение для автоматизации процесса управления инцидентами ИБ позволит упростить и ускорить сбор и анализ дополнительной информации об инциденте, отправку и получение согласований от владельцев систем и ИТ-специалистов, выполнение активных мер реагирования (блокирование учетных записей, сетевая изоляция хостов и т.д.).

Реализовать автоматизацию процесса управления инцидентами ИБ можно в системах класса SOAR (Security Orchestration, Automation and Response) — например, в решении Security Vision SOAR / NG SOAR с использованием динамических плейбуков реагирования, автоматическим построением цепочки атаки, предоставлением экспертных рекомендаций, интеграцией с различными российскими и зарубежными СЗИ.

Автоматизация процесса управления киберугрозами

Дополнительный контекст для оперативного выявления кибератак и эффективного реагирования на киберинциденты дают системы класса TIP (Threat Intelligence Platform), которые позволяют получить обогащающую информацию о свойствах инцидента, включая индикаторы компрометации и индикаторы атак, а также обнаружить неочевидные взаимосвязи между сущностями в инциденте. Процесс управления киберугрозами характерен для зрелых команд реагирования и крупных SOC-центров, он требует хорошей внутренней экспертизы и отлаженных базовых процессов ИБ. Для автоматизации данного процесса можно использовать решение Security Vision TIP с поддержкой сбора, обогащения и анализа данных о киберугрозах, обнаружения угроз в потоке событий, ретро-поиском, DGA-механизмами, построением графов связей.

Автоматизация процесса выявления аномалий

Дополнительный контекст для оперативного выявления кибератак и эффективного реагирования на киберинциденты дают системы класса UEBA (User and Entity Behavior Analytics), которые позволяют выявить скрытые инциденты на основе аналитики поведения различных сущностей в инфраструктуре. Процесс выявления аномалий характерен для зрелых команд реагирования и крупных SOC-центров, он требует хорошей внутренней экспертизы и достаточно ресурсоемок, в том числе в части вычислительных мощностей. Для автоматизации данного процесса можно использовать решение Security Vision UEBA с анализом сырых событий, выстраиванием моделей поведения сущностей, обнаружением отклонений при помощи статического анализа и машинного обучения.

Автоматизация процесса управление киберрисками

Автоматизировать отдельные действия при управлении киберрисками достаточно легко, но для автоматизации всего процесса полностью компании потребуется выйти на высокий уровень зрелости СУИБ. Для осмысленной количественной оценки всех киберрисков, включая несоответствие законодательным и внутренним требованиям, непрерывность бизнес-процессов и последствия реализации кибератак, все процессы ИБ должны быть доведены как минимум до уровня «Количественно управляемый».

Однако, столь высокий уровень необязателен для автоматизации лишь некоторых аспектов управления рисками ИБ — например, моделирования угроз и нарушителей, формирования реестра рисков, угроз и мер защиты, проведения самооценок по выбранной методике, контроля исполнения задач и периодической переоценки уровня рисков. Более того, в качественные продукты для автоматизации управления киберрисками заложены пакеты экспертизы (стандарты, нормативные требования, методики, рекомендации и лучшие практики), которые подскажут молодым ИБ-командам верное направление движения для повышения уровня зрелости процессов кибербезопасности.

Для автоматизации процесса управление киберрисками можно использовать системы класса SGRC (Security Governance, Risk Management and Compliance) и RM (Risk Management ) — например, решение Security Vision RM позволяет проводить моделирование угроз (например, согласно методике ФСТЭК России), кастомизировать методологию оценки рисков (количественная, качественная, комбинированная), контролировать сроки исполнения поставленных задач, получать информацию о состоянии ИБ из интегрированных корпоративных ИТ/ИБ-систем.

Поделиться

Короткая ссылка