Многообразие киберугроз, их высокая активность, постоянное обновление требуют быстрого реагирования на них со стороны сотрудника кибербезопасности. Это невозможно без применения автоматизированных систем защиты и сопутствующих им инструментов, которые позволяют сотрудникам реагировать быстрее и охватывают большую зону. Одним из полезных решений для специалиста по кибербезопасности считается использование Incident Response Platform (IRP). За счет грамотной и глубокой настройки этот инструмент может принести много пользы и облегчить работу.
Что умеет IRP?
Это платформы, которые помогают офицеру безопасности выполнять аналитическую работу, реагировать на инциденты безопасности в системе. Проще говоря, с их помощью можно устранять конкретные проблемы безопасности, используя готовые алгоритмы и сценарии, которые повышают эффективность и быстроту принятия решений при реагировании на угрозу. Благодаря IRP решаются следующие задачи:
1. Единая регистрация всех инцидентов безопасности в системе. Incident Response Platform поддерживает работу в режиме «одного окна» с использованием единой рабочей среды, где происходит создание, выполнение задач, контроль их состояния.
2. Ускорение отклика на инциденты. Достигается путем автоматизированного анализа, сбора дополнительной информации для расследования инцидентов путем интеграции различных СЗИ. То же самое касается автоматизированной обработки и расширения карточек инцидентов безопасности, проведения коррекции ответных мер на основании анализа разных источников угроз.
3. Своевременное оповещение соответствующих лиц в системе о наступлении критически важных инцидентов. Реализуется благодаря использованию разнообразных механизмов оповещения: локальные сообщения в местных интерфейсах, электронная почта, мессенджеры, sms.
4. Предоставление актуальной статистики, иллюстрирующей текущее состояние IT-активов, число инцидентов, уязвимостей. IRP предоставляют пользователю дашборды, сводки, которые содержат выборку данных по требующимся метрикам.
5. Предоставление единого централизованного инструмента для выполнения инвентаризации IT-активов компании. Посредством IRP можно собрать полную информацию о текущих IT-активах на базе одного решения, предоставить пользователям права доступа в систему на основе разграничения прав. Эти процессы автоматизированы, затрагивают полный жизненный цикл IT-активов, что в разы повышает удобство и эффективность управления ими.
Как сделать IRP эффективной?
Внедрение IRP-системы подразумевает ряд объемных подготовительных работ и настройку группы процессов, направленных на повышение уровня автоматизации через управление безопасностью по линиям используемых активов или киберугроз. От точности и детальности настроек рабочих процессов, плейбуков, глубины автоматизации во многом зависит уровень кибербезопасности информационной инфраструктуры. Здесь не могут использоваться универсальные подходы по построению информационной безопасности ввиду многообразия решений и необходимости детальной проработки процессов, стримов под индивидуальный проект для конкретной организации. Для повышения эффективности использования IRP нужно действовать по двум направлениям:
1. Контролировать процессы, имеющие отношение к реагированию по линии IT-активов.
2. Контролировать процессы, касающиеся реагирования на ИБ, и релевантные им плейбуки.
В ходе внедрения IRP-системы необходимо действовать поэтапно, использовать тематические стримы, чтобы добиться желаемого результата и исключить слабые места в IT-инфраструктуре. Обычно для создания проекта применяют четыре стрима:
1. Дизайн-стрим. Первоочередная задача – проработка всех процессов, имеющих отношение к IT-активам. При отсутствии достаточных данных по IT-активам становится невозможным детальное изучение и предотвращение инцидентов. Это затрудняет создание эффективной защиты. Проработка процессов и подключение к ним соответствующих инструментов управления уязвимостями дает возможность полноценно задействовать IRP, дополнить инциденты актуальной информацией. Конечный результат дизайн-стрима – документация автономных и взаимосвязанных процессов в системе посредством создания блок-схем, аналитических таблиц, отчетов. На их основе в дальнейшем создаются распорядительно-организационные документы в компании, которые рассматриваются в качестве руководств по кибербезопасности.
2. Стрим технического проектирования. На этапе проектирования выполняется создание конкретной модели данных. Она содержит подробный подбор IT-систем, СЗИ, дополненных рекомендациями по типам и категориям используемой информации. Согласно вводной информации создается перечень сведений вроде информации о персонале, используемых технических средствах, которые заносятся в карточки IT-активов для дальнейшей привязки к отдельным IT-системам. Грамотно созданная модель помогает избежать заполнения IRP-системы ненужными и неиспользуемыми данными. Также на основании модели рассчитывается предполагаемая нагрузка на платформу, вычисляются необходимые мощности для запуска системы. Далее подбираются индивидуальные параметры интеграции, выбираются вендоры, выполняется документация архитектурных решений. Результатом всех проделанных действий на данном этапе становится документация по разработанной модели данных, сопутствующим ей параметрам, настройкам.
3. Стрим внедрения. Включает установку и первичную настройку IRP. На этой стадии происходит выстраивание цепочек взаимодействия IRP-системы с другими IT-системами, СЗИ. На основе первичных результатов, взятых с первого этапа, формируется перечень рабочих процессов согласно функционалу платформы, интегрированным элементам. Проводится тест IRP с учетом собранных аналитических данных, метрик. Результат стрима внедрения – успешный запуск платформы в работу после проведенных испытаний со всеми необходимыми настройками.
4. Стрим обучения. Включает проведение разъяснительных и образовательных программ для персонала компании по работе и использованию IRP-системы. В ходе обучения сотрудники должны понять, какую роль они играют, как нужно реагировать на ИБ, какие действия совершать, чтобы поддерживать должный уровень кибербезопасности.
Особенности автоматизации плейбуков
Чтобы разобрать процесс разработки плейбуков, необходимо обратиться к базовой терминологии и рассмотреть составляющие плейбуков. Без этого проблематично провести автоматизацию и настройку рабочих процессов. Компонентами плейбука являются:
-
Вводные данные.
-
Выходные данные.
-
Ответственные лица за конкретную процедуру.
-
Круг участников: оператор, пользователь, специалист.
-
Алгоритмы работы.
-
Идентификатор процедуры.
Эти параметры требуют точного изначального представления в системе во избежание двусмысленности. Участники платформы должны понимать общие принципы, общаться на одном профессиональном уровне, решать общие задачи. Первоначально тщательной настройки требуют процессы, имеющие отношение к входным, выходным данным, а также алгоритмам работы. Они – база, с помощью которой строятся все дальнейшие процессы. Если они не были первоначально обозначены, отлажены, категоризированы – возникнут ошибки, что приведет к некорректному завершению процессов, сведет на нет автоматизацию.
Автоматизация плейбуков подразумевает тесную интеграцию с разными классами систем, задействованных в IT-инфраструктуре. Следует придерживаться принципа рациональности: нет надобности наполнять IRP-систему ненужной и факультативной информацией, которая сыграет роль балласта. Оптимально использовать те данные, которые помогают решать конкретные задачи и необходимы в определенном объеме. Излишки информации мешают ИБ-специалисту работать быстро и продуктивно, потому что они рассеивают внимание, требуют больше времени на обработку. Например, для небольших компаний, не имеющих филиалов, отсутствует необходимость в обработке и заполнении отдельных полей, которые содержат географические параметры вроде области, города. Такие сведения не несут никакого смысла, не оказывают влияния на проведение инвентаризации, реагирования на инциденты, поэтому отбрасываются как ненужные изначально. Ключевым моментом при автоматизации плейбуков выступает рациональное использование инструментов интеграции и поддержание баланса между ними.
IRP – это сложный и полезный инструмент для кибербезопасности. Не получится сразу взять и внедрить его. Здесь нужна тщательная, глубокая подготовительная работа, которая прямым образом влияет на сроки реализации проекта, глубину автоматизации. Индивидуальный подход, совмещение групп решений, тщательная аналитика помогут перейти от теории к практике и внедрить IRP-систему в инфраструктуру компании.
Решение IRP компании «Ростелеком-Солар» входит в экосистему Solar JSOC и наиболее эффективно в качестве дополнения к сервису мониторинга и анализа инцидентов. Сервисы и услуги центра противодействия кибератакам Solar JSOC ориентированы на крупные государственные и коммерческие организации. Специалисты центра гарантируют помощь на любом этапе атаки – от разведки и выявления интереса злоумышленников к компании до реагирования и ликвидации последствий.