Контакты
Подписка 2023

Автоматизация процессов информационной безопасности. Автоматический ответ на инциденты

Константин Саматов, 16/02/21

Обеспечение информационной безопасности – это деятельность, состоящая из огромного числа процессов, часть из которых может быть рутинной и/или трудоемкой. Константин Саматов познакомит читателей с некоторыми инструментами автоматизации процессов информационной безопасности и опытом их применения в процессах обеспечения безопасности объектов критической информационной инфраструктуры.

Автор: Константин Саматов, эксперт по кибербезопасности Уральского центра систем безопасности, руководитель комитета по безопасности КИИ, член правления Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова

Процесс – это деятельность, использующая ресурсы и управляемая в целях преобразования входов в выходы1. Приведем в качестве примера процесс реагирования на инцидент информационной безопасности, где вход – это события информационной безопасности, деятельность – это реализация мероприятий по идентификации события в качестве инцидента и реагирование на него, а выход – восстановление исходного состояния информационного актива. Процессы являются центральным элементом информационной безопасности и реализуются на разных уровнях управления (см. табл. 1).

Как видно из табл. 1, есть несколько уровней и на каждом уровне множество процессов, которые необходимо сначала реализовать (с учетом широкого набора регулятивных требований), затем поддерживать (с учетом новых угроз и рисков, а также постоянного увеличения количества информационных активов) и совершенствовать (повышать их зрелость). При этом текущие реалии таковы, что численность работников подразделений информационной безопасности, как правило, невелика, причем даже в крупных компаниях.

Очевидно, что для эффективного выстраивания процессов информационной безопасности и их непрерывного совершенствования требуется применение инструментов автоматизации.

Инструменты автоматизации процессов информационной безопасности

На сегодняшний день существует большое количество различных инструментов автоматизации процессов информационной безопасности, практически для каждого процесса есть свой инструмент. В табл. 2 в качестве примера приведены наиболее распространенные инструменты автоматизации и показано, какие процессы они автоматизируют.

Далее я проиллюстрирую то, каким образом можно автоматизировать процессы информационной безопасности при помощи описанных выше инструментов на примере актуального для большинства организаций обеспечения безопасности значимых объектов критической информационной инфраструктуры (КИИ).

Автоматизация процессов обеспечения безопасности объектов КИИ. Автоматический ответ на инцидент

В рамках обеспечения безопасности значимых объектов КИИ можно выделить следующие группы процессов:

  1. Категорирование объектов КИИ.
  2. Создание и функционирование системы безопасности значимых объектов КИИ (СБ ЗОКИИ).
  3. Реагирование на инциденты и взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).

Рассмотрим автоматизацию каждой из этих групп более подробно.

Категорирование объектов КИИ2

Основным инструментом автоматизации данной группы процессов служит Security GRC. Возможности использования данного инструмента представлены в табл. 3.

Следует также отметить, что категорирование – это не разовый процесс. Пересмотр результатов категорирования требуется в таких случаях, как:

  1. Истечение пяти лет с момента первичного категорирования. В данном случае посредством среды Workflow организуется совместная работа членов комиссии, которые оценивают с точки зрения актуальности имеющиеся в Security GRC данные первичного категорирования, вносят корректировки (при необходимости) и генерируют итоговые документы – акт категорирования и сведения о категорировании, если категория значимости изменилась.
  2. Создание нового объекта КИИ. В данном случае в Security GRC достаточно создать карточку нового объекта. При этом информация о его компонентах и используемых средствах защиты автоматически подтянется (при наличии соответствующих настроек и коннекторов) от систем контроля конфигурации, затем при помощи среды Workflow организуется совместная работа членов комиссии по оценке критериев значимости и создаются итоговые документы.
  3. Изменение объекта КИИ. При изменении состава объекта, количества компонентов, его архитектуры и т.п. новые сведения попадут в карточку объекта, как правило, автоматически, комиссии достаточно будет провести оценку их влияния на значимость и сгенерировать итоговые документы.

Создание и функционирование СБ ЗОКИИ

Основным инструментом автоматизации данной группы процессов также служит Security GRC.

На этапе создания СБ ЗОКИИ используются исходные данные, полученные Security GRC в ходе категорирования. В частности, на основе проведенного в рамках категорирования анализа угроз (включая моделирование нарушителя) проводится генерация моделей угроз для значимых объектов КИИ, а собранные инвентаризационные данные используются в рамках технического проектирования.

Однако больший эффект от использования данного инструмента достигается на этапе функционирования СБ ЗОКИИ (табл. 4).

Реагирование на инциденты и взаимодействие с ГосСОПКА

Несмотря на то что данная группа пересекается с процессами функционирования СБ ЗОКИИ, по моему мнению, следует рассматривать ее как самостоятельную ввиду того, что в рамках реализации требований законодательства о безопасности КИИ в этой части появилось целое направление обеспечения информационной безопасности – корпоративные (ведомственные) центры мониторинга и реагирования на инциденты информационной безопасности, также известные как SOC (Security Operations Center), и центры ГосСОПКА3.

Основным инструментом автоматизации деятельности SOC служит SOAR (Security Orchestration, Automation and Response), который может представлять собой единое решение (то есть один продукт, сочетающий в себе все функции), а может состоять из совокупности следующих инструментов автоматизации:

  • SIEM (Security Information and Event Management) – осуществляет сбор и анализ информации о событиях информационной безопасности, сигнализирует о возможных инцидентах. Источниками событий служат такие инструменты как IdM, IDS\IPS, DLP\UAM\UEBA, EDR, MDM и т.п.;
  • TIP (Threat Intelligence Platform) – осуществляет сбор и анализ информации об уязвимостях и угрозах из внешних источников;
  • IRP (Incident Response Platform) – данный инструмент представляет собой платформу для управления инцидентами информационной безопасности и совместной работы команды реагирования.

Все указанные выше инструменты, объединенные в одну систему, позволяют практически полностью автоматизировать процессы управления инцидентами информационной безопасности, в частности:

  • сбор данных о событиях информационной безопасности со всех источников в единую среду, анализ и управление ими (Orchestration);
  • автоматизация выполняемых в рамках реагирования на инцидент действий посредством заранее подготовленных шаблонов, так называемых плейбуков, в том числе заполнения карточки компьютерного инцидента для передачи (ручной либо автоматической) в ГосСОПКА (Automation);
  • автоматическое реагирование на инциденты в форме сдерживания или локализации – включение профилей с более жесткими настройками на средствах защиты, изолирование атакованных хостов, выключение некритичных сервисов и т.п. (Response).

  1. ГОСТ Р ИСО/МЭК 27001–2006. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности требования.
  2. Подробнее про категорирование можно посмотреть в статье: Саматов К.М. Проблемные вопросы процедуры категорирования объектов КИИ // InformationSecurity/Информационная безопасность. 2019. No 2. С. 12–15.
  3. Подробнее данные вопросы рассмотрены в статьях: Саматов К.М. Проблемные вопросы взаимодействия с ГосСОПКА // Information Security/Информационная безопасность. 2019. No 4. С. 4–7; Саматов К.М. SOC в действии // InformationSecurity/Информационная безопасность. 2019. No 5. С. 24–25.
Темы:АвтоматизацияКИИУправлениеЖурнал "Информационная безопасность" №4, 2020

Импортозамещение ИТ-решений и ПО в ключевых отраслях

22 июня 2023

Жми для участия
22 июня 2023. Импортозамещение ИТ-решений и ПО
22 июня 2023. Импортозамещение ИТ-решений и ПО в госсекторе и ключевых отраслях
Жми, чтобы участвовать
Статьи по той же темеСтатьи по той же теме

  • Повышение защищенности автоматизированных систем управления технологическими процессами
    Валерий Конявский, д.т.н., зав. кафедрой "Защита информации" МФТИ
    В большинстве технологических процессов используется программно-управляемое оборудование, выполняющее программы, поступающие из центра управления по каналам связи. При этом центр управления может быть значительно удален от конечного оборудования, а в качестве каналов связи могут использоваться любые физические линии с любыми протоколами. Все это создает предпосылки для возможного вмешательства в технологический процесс извне.
  • 5 атак нового поколения, актуальных в 2023 году
    Александра Соколова, редактор Cloud Networks
    Технологии развиваются беспрецедентными темпами, и, как следствие, растет арсенал инструментов, доступных киберпреступникам для проведения сложных атак.
  • SECURITY AWARENESS: разработка мероприятий по повышению осведомленности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    Поговорим о создании системы мероприятий по повышению осведомленности персонала организации в вопросах информационной безопасности. Рассмотрим, зачем они нужны, кто является их потребителем и как их организовать.
  • ЧЕК-ЛИСТ: организация реагирования на инциденты ИБ
    Чтобы решить задачу по организации/модернизации системы реагирования на инциденты, задайте себе несколько следующих вопросов.
  • Защита конечных точек: начало любой ИБ-стратегии
    Татьяна Белева, менеджер по развитию бизнеса ИБ “Сиссофт”
    Защита конечных точек (Endpoint Security) подразумевает обеспечение безопасности ПК, смартфонов и планшетов, офисной техники и серверов, которые входят в ИТ-ландшафт компании. Являясь точками ввода/вывода данных, все они вызывают повышенный интерес со стороны злоумышленников. Давайте посмотрим, как обстоят дела с защитой конечных точек сегодня.
  • Обзор изменений в законодательстве. Январь и февраль 2023 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Особенности трансграничной передачи ПДн, обработка биометрических ПДн, госсистема защиты информации, рекомендации ФСТЭК по безопасности ОС Linux и безопасность средств виртуализации

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Безопасные российские СУБД и защита от утечек
20.06.23. Безопасные российские СУБД и защита от утечек
Жми, чтобы участвовать

More...
Форум ITSEC 2023: информационная и кибербезопасность России
Форум ITSEC 11-20 апреля 2023: информационная и кибербезопасность России
Жми, чтобы участвовать