Количество инцидентов информационной безопасности, особенно в крупных организациях, велико и с каждым годом продолжает расти. При реагировании на них счет идет буквально на минуты, а позволить себе нанять большое количество высококлассных ИБ-специалистов могут далеко не все. Поэтому вопрос о том, как помочь аналитикам ИБ при реагировании на инциденты и снять с них рутинную нагрузку по выполнению однотипных операций, стоит достаточно остро.
Авторы:
Екатерина Черун, коммерческий директор Security Vision
Виктор Сердюк, генеральный директор АО “ДиалогНаука”
Системы IRP (Incident Response Platform) помогают выполнить ряд рутинных операций по сбору дополнительной информации, осуществить неотложные действия по сдерживанию и устранению угрозы, восстановить атакованную систему, оповестить заинтересованных лиц, а также собрать и структурировать данные о расследованных инцидентах информационной безопасности.
Системы IRP реализуют меры противодействия угрозам ИБ в соответствии с заранее заданными сценариями реагирования (так называемые playbooks или runbooks). Такие сценарии представляют собой набор автоматизированных задач по детектированию угроз и аномалий в защищаемой инфраструктуре, а также реагированию на угрозы в режиме реального времени. Сценарии реагирования действуют на основании настраиваемых правил и типов инцидентов, выполняя те или иные действия в зависимости от данных, поступающих со средств защиты или от информационных систем. По окончании реагирования на инцидент IRP-платформа поможет создать отчет об инциденте и предпринятых действиях по его устранению.
Можно подумать, что работа аналитиков по кибербезопасности уже в достаточной мере автоматизирована, а применение разнообразных средств защиты (IRP/SGRC/SIEM) позволяет значительно упростить работу сотрудникам SOC-центров. Но зачастую для обеспечения кибербезопасности используются настолько разные системы и средства защиты, а при обработке киберинцидентов нужно решать столько разнородных задач, что реагирование на инциденты ИБ требует еще большей степени автоматизации процессов. Причем речь даже не столько про непосредственно активное противодействие угрозам (с этим справляются IRP-решения), сколько про интеграцию систем обработки данных киберразведки, обогащение полученных данных, коммуникации по инцидентам, применение методов машинного обучения и анализа больших данных (Big Data).
При необходимости автоматизировать большое количество смежных процессов реагирования на инциденты применяются системы класса SOAR (Security Orchestration, Automation and Response), платформы оркестрации, автоматизации и реагирования на инциденты ИБ. Данные продукты являются эволюцией платформ реагирования на киберинциденты и предоставляют расширенные функции автоматизации процессов обработки инцидентов информационной безопасности. Платформы SOAR сочетают в себе следующий функционал:
Дополнительно в решения класса SOAR могут быть включены модули управления данными киберразведки (Threat Intelligence), управления конфигурациями (Configuration Management), обновлениями (Patch Management) и уязвимостями (Vulnerability Management) программного обеспечения, модули аналитики и визуализации информации (дашборды, отчеты, метрики), а также функции машинного обучения и анализа Big Data.
Основные возможности систем SOAR:
На сегодняшний день одним из наиболее эффективных продуктов класса IRP/SOAR является система Security Vision IRP/SOAR – российский программный продукт для автоматизации и роботизации действий по реагированию на инциденты кибербезопасности. Security Vision IRP/SOAR позволяет автоматизировать широкий спектр процессов и охватывает полный цикл работы с инцидентами, включая:
Остановимся подробнее на двух базовых составляющих управления инцидентами, обнаружении и реагировании – активном действии, направленном на локализацию, сдерживание, устранение угрозы и на возврат информационной системы в состояние "до начала атаки". В рамках обнаружения инцидентов с помощью Security Vision IRP/SOAR автоматизируются следующие процессы:
В рамках реагирования на инциденты с помощью Security Vision IRP/SOAR могут быть автоматизированы следующие действия:
Внедрение системы Security Vision IRP/SOAR позволяет достичь следующих результатов:
Итак, с организационной точки зрения Security Vision IRP/SOAR позволяет существенно упростить решение профильных задач ИБ-аналитикам, снять с них рутинную нагрузку и, как следствие, высвободить их ценное время для решения более важных задач, а значит, уменьшить вероятность профессионального выгорания и текучки кадров.
С точки зрения бизнеса Security Vision IRP/SOAR демонстрирует высокий коэффициент возврата инвестиций ROI (Return On Investment) путем подсчета сэкономленных за счет автоматизации человеко-часов аналитиков, а также сокращения времени обнаружения и реагирования на инциденты, уменьшения расчетного ущерба от реализации киберугрозы, отсутствия штрафных санкций со стороны регуляторов и выполнения временных нормативов реагирования на киберинциденты.