Использование IRP в качестве ядра для процесса управления инцидентами ИБ
Илья Петров, 27/08/21
Главная идея использования IRP-системы заключается в максимальной автоматизации полного цикла обработки инцидентов, включая реагирование, расследование и устранение негативных последствий.
Автор: Илья Петров, директор департамента продвижения собственных продуктов по безопасности ГК Innostage
Для того чтобы выстроить эффективный процесс управления инцидентами ИБ, необходимо выполнить ряд мероприятий:
- сформировать единую конфигурационную базу ИТ-активов защищаемого объекта и обеспечить ее поддержку в актуальном состоянии (в Innostage IRP это автоматизируется благодаря модулю "Управление ИТ-активами");
- выстроить на базе IRP процессы учета, расследования и реагирования на инциденты ИБ, включая корректирующие воздействия на элементы ИТ-инфраструктуры или отправки команд на существующие СрЗИ, например блокирование сетевых портов на средстве МЭ (в Innostage IRP автоматизируется благодаря модулю "Управление инцидентами ИБ");
- организовать деятельность по устранению уязвимостей и контролю за этим процессом с возможностью формирования отчетных документов (в Innostage IRP автоматизируется благодаря подсистеме "Управление уязвимостями");
- организовать передачу информации о компьютерных атаках и инцидентах ИБ на объектах КИИ в центр ГосСОПКА (в Innostage IRP автоматизируется благодаря модулю "Взаимодействие с ГосСОПКА");
- настроить вычисление и контроль изменений ключевых показателей эффективности процессов информационной безопасности компании для отслеживания общего уровня ИБ (в Innostage IRP автоматизируется благодаря модулю "Визуализации ключевых показателей эффективности").
Как проверить эффективность IRP
IRP как средство автоматизации и единая точка взаимодействия специалистов различных линий SOC и других задействованных подразделений заказчика должна повышать эффективность управления инцидентами. При выборе решения IRP, по нашей практике, важно обратить внимание на ряд ключевых моментов, которые позволят измерить пользу и эффект от внедрения.
- Использование IRP должно позволять снизить общее время обработки инцидента и, как следствие, обеспечить рост производительности команды SOC или группы реагирования. Тут на помощь приходит целый арсенал инструментов:
а) возможности использования автоматизированных сценариев реагирования (плейбуков), в рамках которых необходимые действия по работе с инцидентом детализированы до уровня понятных задач, часть которых выполняется автоматизировано;
б) возможности автоматизации типовых действий аналитиков SOC, которые обычно выполняются вручную, например обогащение информации по инциденту данными о затронутом ИТ-активе, о проверке вредоносности выявленного индикатора компрометации и прочими данными;
в) возможности объединения однотипных инцидентов и их массового закрытия, применения для них единых сценариев реагирования;
г) возможностей ведения базы знаний решенных инцидентов для быстрого поиска подходящих решений и предоставления аналитики по схожести текущего инцидента с ранее решенным. - Использование IRP должно позволять снизить требования к квалификации части персонала SOC, прежде всего персонала первой линии, то есть снизить "порог входа" в виде знаний и навыков, которыми должен обладать сотрудник. В этой части IRP, во-первых, должна обладать интуитивно понятным и удобным интерфейсом, чтобы сотрудники могли быстро разобраться и включиться в процесс работы, во-вторых, автоматизировать типовые действия по типовым инцидентам и давать набор понятных инструкций в рамках плейбуков, разработанных "старшими товарищами" команды SOC – аналитиками и экспертами.
- Применение IRP должно повысить прозрачность и измеряемость работы SOC и процесса управления инцидентами в целом. Должен увеличиваться контроль эффективности работы команды SOC с инцидентами за счет отслеживания метрик эффективности и визуализации ключевых показателей.
- Архитектура IRP должна позволять учесть организационную структуру компании и особенности реализации тех или иных процессов. В частности, зачастую для крупных распределенных компаний важна возможность размещения на уровне дочерних обществ полнофункциональных инсталляций IRP, подчиненных центральной, например в случае слабых каналов связи между центром и дочерними обществами. Это позволяет организовать полноценную автоматизацию реагирования на уровне дочерних обществ, например в случае инцидентов на объектах КИИ, где требуется вовлечение локальных служб эксплуатации в процесс реагирования на инциденты.
- IRP должна реализовывать сервисную изолированность при автоматизированном реагировании на инцидент.
- Функционал IRP должен развиваться и наполняться сценариями реагирования, в том числе за счет практического использования решения в различных SOC.
Особенность процесса разработки и развития платформы Innostage IRP заключается в наличии в ГК собственного коммерческого SOC CyberArt, команда которого на практике испытывает функционал продукта и дает полезную обратную связь с учетом своей ежедневной практики отражения киберугроз. Это позволяет постоянно дорабатывать и развивать возможности Innostage IRP, делая продукт более гибким и эффективным.
CyberART, входящий в группу компаний Innostage, является оператором сервисов киберзащиты, отвечающим за противодействие современным компьютерным угрозам, и обладает всеми необходимыми средствами и возможностями для организации реагирования на компьютерные инциденты, включая взаимодействие с ГосСОПКА. Для обмена актуальными сведениями в области защиты информации заключены соглашения о сотрудничестве с рядом коммерческих и государственных центров реагирования и противодействия компьютерным атакам.
В качестве примера стоит привести недавнее добавление функции автоматической проверки выявленного индикатора компрометации в TI-системах и на внешних ресурсах, таких как VirusTotal.com. Результаты этих проверок теперь отображаются в карточке инцидента автоматически, вместо того чтобы аналитик выполнял их каждый раз вручную, что помогает сэкономить время и дает возможность сосредоточиться на глубокой аналитике инцидента.
Innostage IRP – это ядро нашего коммерческого SOC, который одновременно является и одним из наших ключевых заказчиков в части формулирования требований к функционалу системы и источником идей развития. В то же время Innostage IRP используется и во внутренних SOC ряда компаний. Функционал решения Innostage IRP позволяет решать актуальные задачи информационной безопасности за счет гибкой архитектуры (см. рис. 1).
Рис. 1. Архитектура Innostage IRP
Innostage IRP в свете импортозамещения
Innostage IRP является российской разработкой, в ближайшее время ожидается включение продукта в реестр российского ПО. В свете активного развития цифровизации и ускорения процесса перехода на отечественные решения и продукты в ГК Innostage хорошо понимают серьезность задач, стоящих за импортозамещением.
На данном этапе мы в активно вкладываемся в развитие дополнительного функционала платформы Innostage IRP, чтобы еще более точно отвечать запросам российского бизнеса, госструктур и субъектов КИИ.
Заключение
Innostage IRP помогает поддержать в организации правильные процессы ИБ, а также избавить от лишних затрат, соблюдая законодательство в сфере вопросов защиты КИИ, так как может использоваться в качестве ядра для создания SOC и быть ядром центров ГосСОПКА.
Гибкость архитектуры Innostage IRP позволяет добавлять дополнительный функционал в конкретные проекты с учетом индивидуальных запросов заказчиков. Такой подход дает возможность накапливать значительный опыт, лучше понимать потребности бизнеса и эффективно развивать продукт.
Автоматизация процессов реагирования позволяет сократить время реагирования на инциденты, значительно уменьшить влияние человеческого фактора, освободить время высококвалифицированных и высокооплачиваемых специалистов для решения более значимых задач, а самое главное – эффективно реагировать на возникающие киберугрозы.