Контакты
Подписка 2025

Использование IRP в качестве ядра для процесса управления инцидентами ИБ

Илья Петров, 27/08/21

Главная идея использования IRP-системы заключается в максимальной автоматизации полного цикла обработки инцидентов, включая реагирование, расследование и устранение негативных последствий.

Автор: Илья Петров, директор департамента продвижения собственных продуктов по безопасности ГК Innostage

Для того чтобы выстроить эффективный процесс управления инцидентами ИБ, необходимо выполнить ряд мероприятий:

  • сформировать единую конфигурационную базу ИТ-активов защищаемого объекта и обеспечить ее поддержку в актуальном состоянии (в Innostage IRP это автоматизируется благодаря модулю "Управление ИТ-активами");
  • выстроить на базе IRP процессы учета, расследования и реагирования на инциденты ИБ, включая корректирующие воздействия на элементы ИТ-инфраструктуры или отправки команд на существующие СрЗИ, например блокирование сетевых портов на средстве МЭ (в Innostage IRP автоматизируется благодаря модулю "Управление инцидентами ИБ");
  • организовать деятельность по устранению уязвимостей и контролю за этим процессом с возможностью формирования отчетных документов (в Innostage IRP автоматизируется благодаря подсистеме "Управление уязвимостями");
  • организовать передачу информации о компьютерных атаках и инцидентах ИБ на объектах КИИ в центр ГосСОПКА (в Innostage IRP автоматизируется благодаря модулю "Взаимодействие с ГосСОПКА");
  • настроить вычисление и контроль изменений ключевых показателей эффективности процессов информационной безопасности компании для отслеживания общего уровня ИБ (в Innostage IRP автоматизируется благодаря модулю "Визуализации ключевых показателей эффективности").

Как проверить эффективность IRP

IRP как средство автоматизации и единая точка взаимодействия специалистов различных линий SOC и других задействованных подразделений заказчика должна повышать эффективность управления инцидентами. При выборе решения IRP, по нашей практике, важно обратить внимание на ряд ключевых моментов, которые позволят измерить пользу и эффект от внедрения.

  1. Использование IRP должно позволять снизить общее время обработки инцидента и, как следствие, обеспечить рост производительности команды SOC или группы реагирования. Тут на помощь приходит целый арсенал инструментов:
    а) возможности использования автоматизированных сценариев реагирования (плейбуков), в рамках которых необходимые действия по работе с инцидентом детализированы до уровня понятных задач, часть которых выполняется автоматизировано;
    б) возможности автоматизации типовых действий аналитиков SOC, которые обычно выполняются вручную, например обогащение информации по инциденту данными о затронутом ИТ-активе, о проверке вредоносности выявленного индикатора компрометации и прочими данными;
    в) возможности объединения однотипных инцидентов и их массового закрытия, применения для них единых сценариев реагирования;
    г) возможностей ведения базы знаний решенных инцидентов для быстрого поиска подходящих решений и предоставления аналитики по схожести текущего инцидента с ранее решенным.
  2. Использование IRP должно позволять снизить требования к квалификации части персонала SOC, прежде всего персонала первой линии, то есть снизить "порог входа" в виде знаний и навыков, которыми должен обладать сотрудник. В этой части IRP, во-первых, должна обладать интуитивно понятным и удобным интерфейсом, чтобы сотрудники могли быстро разобраться и включиться в процесс работы, во-вторых, автоматизировать типовые действия по типовым инцидентам и давать набор понятных инструкций в рамках плейбуков, разработанных "старшими товарищами" команды SOC – аналитиками и экспертами.
  3. Применение IRP должно повысить прозрачность и измеряемость работы SOC и процесса управления инцидентами в целом. Должен увеличиваться контроль эффективности работы команды SOC с инцидентами за счет отслеживания метрик эффективности и визуализации ключевых показателей.
  4. Архитектура IRP должна позволять учесть организационную структуру компании и особенности реализации тех или иных процессов. В частности, зачастую для крупных распределенных компаний важна возможность размещения на уровне дочерних обществ полнофункциональных инсталляций IRP, подчиненных центральной, например в случае слабых каналов связи между центром и дочерними обществами. Это позволяет организовать полноценную автоматизацию реагирования на уровне дочерних обществ, например в случае инцидентов на объектах КИИ, где требуется вовлечение локальных служб эксплуатации в процесс реагирования на инциденты.
  5. IRP должна реализовывать сервисную изолированность при автоматизированном реагировании на инцидент.
  6. Функционал IRP должен развиваться и наполняться сценариями реагирования, в том числе за счет практического использования решения в различных SOC.

Особенность процесса разработки и развития платформы Innostage IRP заключается в наличии в ГК собственного коммерческого SOC CyberArt, команда которого на практике испытывает функционал продукта и дает полезную обратную связь с учетом своей ежедневной практики отражения киберугроз. Это позволяет постоянно дорабатывать и развивать возможности Innostage IRP, делая продукт более гибким и эффективным.

CyberART, входящий в группу компаний Innostage, является оператором сервисов киберзащиты, отвечающим за противодействие современным компьютерным угрозам, и обладает всеми необходимыми средствами и возможностями для организации реагирования на компьютерные инциденты, включая взаимодействие с ГосСОПКА. Для обмена актуальными сведениями в области защиты информации заключены соглашения о сотрудничестве с рядом коммерческих и государственных центров реагирования и противодействия компьютерным атакам.

В качестве примера стоит привести недавнее добавление функции автоматической проверки выявленного индикатора компрометации в TI-системах и на внешних ресурсах, таких как VirusTotal.com. Результаты этих проверок теперь отображаются в карточке инцидента автоматически, вместо того чтобы аналитик выполнял их каждый раз вручную, что помогает сэкономить время и дает возможность сосредоточиться на глубокой аналитике инцидента.

Innostage IRP – это ядро нашего коммерческого SOC, который одновременно является и одним из наших ключевых заказчиков в части формулирования требований к функционалу системы и источником идей развития. В то же время Innostage IRP используется и во внутренних SOC ряда компаний. Функционал решения Innostage IRP позволяет решать актуальные задачи информационной безопасности за счет гибкой архитектуры (см. рис. 1).


Рис. 1. Архитектура Innostage IRP

Innostage IRP в свете импортозамещения

Innostage IRP является российской разработкой, в ближайшее время ожидается включение продукта в реестр российского ПО. В свете активного развития цифровизации и ускорения процесса перехода на отечественные решения и продукты в ГК Innostage хорошо понимают серьезность задач, стоящих за импортозамещением.

На данном этапе мы в активно вкладываемся в развитие дополнительного функционала платформы Innostage IRP, чтобы еще более точно отвечать запросам российского бизнеса, госструктур и субъектов КИИ.

Заключение

Innostage IRP помогает поддержать в организации правильные процессы ИБ, а также избавить от лишних затрат, соблюдая законодательство в сфере вопросов защиты КИИ, так как может использоваться в качестве ядра для создания SOC и быть ядром центров ГосСОПКА.

Гибкость архитектуры Innostage IRP позволяет добавлять дополнительный функционал в конкретные проекты с учетом индивидуальных запросов заказчиков. Такой подход дает возможность накапливать значительный опыт, лучше понимать потребности бизнеса и эффективно развивать продукт.

Автоматизация процессов реагирования позволяет сократить время реагирования на инциденты, значительно уменьшить влияние человеческого фактора, освободить время высококвалифицированных и высокооплачиваемых специалистов для решения более значимых задач, а самое главное – эффективно реагировать на возникающие киберугрозы.

Темы:УправлениеЖурнал "Информационная безопасность" №3, 2021InnostageIRP

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Кризисный менеджмент в информационной безопасности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В данной статье рассмотрим, что такое кризисный менеджмент и как его принципы соотносятся с классическим циклом PDCA, обеспечивая системный подход к управлению информационной безопасностью.
  • Ключевые индикаторы риска: как ими правильно пользоваться
    Кирилл Чекудаев, ведущий консультант по информационной безопасности RTM Group
    Ключевые индикаторы риска (КИР) необходимо корректно определить, и на этом этапе, как показывает практика, у многих организаций финансового сектора возникают проблемы.
  • Секьюритизация сотрудников: практики и инструменты в интересах безопасности организации
    Кирилл Шалеников, руководитель проектов в интеграторе Angara Security
    Security Awareness – неотъемлемая часть стратегии информационной безопасности для любой организации. Обученные сотрудники способствуют созданию более защищенной среды и снижают риски для потери данных и репутации компании. Инвестиции в обучение и повышение осведомленности сотрудников могут оказаться одной из наиболее эффективных мер по обеспечению безопасности информации.
  • Ключевые показатели эффективности для подразделений информационной безопасности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В практической деятельности у руководителей cлужб информационной безопасности часто возникают проблемы, связанные с оценкой эффективности возглавляемого ими подразделения.
  • Что такое Compromise Assessment и зачем он нужен бизнесу
    Семен Рогачев, руководитель отдела реагирования на инциденты системного интегратора “Бастион”
    Если СЗИ молчат, то это не значит, что систему безопасности организации не взломали. Некоторые хакеры могут годами прятаться в ИТ-инфраструктуре и шпионить, прежде чем решат нанести удар. Вовремя выявить такую опасность или убедиться в ее отсутствии помогает практика Compromise Assessment.
  • От черного ящика к прозрачности: что CEO должен знать об ИБ
     Евгений Сурков, менеджер продуктов компании Innostage
    Почему CEO и высшему руководству иногда сложно понять ИБ-вызовы, какие проблемы несет отсутствие единой методологии и где найти баланс между открытостью и безопасностью?

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...