Автоматизация ИБ
Последние несколько лет вопрос автоматизации процессов на предприятиях различных отраслей становится особенно актуальным. Это в полной мере относится и к сфере информационной безопасности. Кадровый дефицит специалистов по кибербезопасности является острой проблемой как в Российской Федерации, так и во многих других странах мира. В этой связи особое внимание уделяется оптимизации рутинных задач, как для специалистов по информационной безопасности, так и для сотрудников смежных областей.
В организациях с отлаженными процессами информационной безопасности, а также в центрах кибербезопасности активно используется программное обеспечение для автоматизации таких задач, как сбор и анализ данных, контроль доступа, управление инцидентами, обеспечение соответствия нормативным требованиям, оценка рисков и многое другое. Однако даже при наличии современных решений многим компаниям приходится разрабатывать собственные скрипты и сценарии для автоматизации рутинных операций.
Редакция CISOCLUB поговорила с экспертами на тему автоматизации процессов ИБ, спросив у них, о наиболее эффективных стратегиях и методологиях, о сложностях, возникающих при внедрении СЗИ, включая SOAR, и способах их преодоления. Эксперты поделились своим мнением о том, как автоматизация трансформирует традиционные процессы реагирования на инциденты, интегрируется с системами управления рисками и соблюдением нормативных требований (GRC), изменяет роль аналитиков и какие навыки становятся наиболее востребованными в новой реальности. С нами поговорили:
- Федор Музалевский, директор технического департамента RTM Group.
- Артем Артамонов, эксперт Security Vision.
- Владислав Михайлов, начальник отдела внедрения «Астрал.Безопасность».
- Дмитрий Михеев, технический директор «АйТи Бастион».
- Денис Фокин, руководитель отдела технического консалтинга и инженерной поддержки направления ИБ компании Axoft.
- Константин Карасев, архитектор проектов по информационной безопасности R-Vision.
Какие стратегии и методологии вы считаете наиболее эффективными для автоматизации процессов ИБ на основе вашего практического опыта?
Федор Музалевский, директор технического департамента RTM Group:
«При автоматизации процессов, на мой взгляд, наиболее применим AGILE с возможностью отката на шаг назад. Практически все проекты, которые ведутся в госсекторе и крупных корпорациях, не могут себе позволить применять его из-за бюрократизации и сложностей экономического планирования. В тоже время, именно спринтовый подход позволяет максимально быстро и наименее затратно внедрить автоматизацию не «на бумаге», а на практике».
Артем Артамонов, эксперт Security Vision:
«Как человек, уже длительное время работающий со стороны вендоров ИБ и наблюдающий практически с самого старта внедрение различных СЗИ, могу заметить, что на качество и эффективность автоматизации сильно влияет понимание целей и задач всеми участниками процесса, а также своевременный сбор требований у функциональных заказчиков на старте.
Понятное дело, что все происходит идеально только в идеальном мире, и не всегда есть возможность на этапе пилота и проектирования привлечь всех нужных специалистов, но к этому нужно стремиться, потому что автоматизация ради автоматизации точно не работает. К счастью, современные инструменты часто обладают различными инструментами и конструкторами, позволяющими гибко донастраивать автоматизацию и оркестрацию уже после внедрения».
Константин Карасев, архитектор проектов по информационной безопасности R-Vision:
«Существуют общемировые практики, отточенные годами, к ним относятся ISO и NIST. В них изложена как стратегия, так и методология, позволяющая обеспечить ИБ на высоком уровне. Но также необходимо непрерывно повышать уровень зрелости ИБ в организации, постоянно пересматривая, совершенствуя и модернизируя процессы, проводить обучение сотрудников, использовать новые, более совершенные технические решения».
С какими проблемами сталкиваются компании при внедрении SOAR и других решений, и как они решаются?
По мнению Артема Артамонова, инженера Security Vision, краеугольным камнем всех проблем внедрения SOAR и смежных решений является абсолютная новизна этих процессов в мировой практике. Нет единого универсального стандарта или, как принято говорить, «серебряной пули» для разработки, проектирования и внедрения таких решений, а если к этому добавить еще и различные входные условия, и задачи у разных компаний, то на выходе получаются абсолютно разные модели использования SOAR и непохожие друг на друга SOC.
«Это напоминает эволюционный процесс: происходят мутации, замены одних систем другими, а специалисты, и особенно руководители ИБ, внимательно смотрят по сторонам и стараются заполучить наиболее удачные и эффективные комбинации. В условиях такой неопределенности наилучшим образом проявляют себя максимально гибкие системы».
Владислав Михайлов, начальник отдела внедрения «Астрал.Безопасность»:
«Определение конкретных задач. Крайне важным является определение того, какие задачи должны быть автоматизированы. Без этого рассчитать дальнейшие затраты на внедрение и сопровождение решения не получится.
Интеграция с другими решениями. При внедрении SOAR одной из проблем с которой сталкивается компания — это интеграция с текущими сервисами и системами. Это касается не только средств ИБ, но и различных бизнес-приложений и инфраструктурных решений. К тому же сейчас идёт тенденция на замену всем знакомых устоявшихся решений на отечественные аналоги и пока не все SOAR готовы предложить для них готовые коннекторы. При этом разработка собственного коннектора (при наличии технической возможности) требует от сотрудников определённых компетенций.
Обучение персонала. Просто поставить SOAR мало. Это можно сделать и силами интегратора. Нужно ещё обучить сотрудников работать с системой, иначе она будет лежать мёртвым грузом.
Безопасность данных. SOAR, как и другие средства с широкими сетевыми доступами, сами нуждаются в тщательной защите. Для корректной работы такой системы ей открывают доступы на множество ресурсов, а также наделяю правами на изменения настроек других устройств. Это означает, что для злоумышленников SOAR сам может стать промежуточной целью для атаки.
Длительная отладка. Поскольку действия SOAR выполняются автоматически, то необходимо быть уверенным в том, что эти действия не нарушат бизнес-процессы. Требуется тщательно выбирать что и на каких сервисах можно делать.
Хотя SOAR были призваны сократить время реакции на инцидент, автоматизировать рутину и разгрузить сотрудников отдела ИБ, на деле же, её внедрение сопряжено с ещё большими трудозатратами на внедрение и дальнейшее сопровождение. Для того что бы внедрять SOAR компания должна уже иметь отлаженные процессы. Без этого успешного внедрения добиться будет невозможно».
Денис Фокин, руководитель отдела технического консалтинга и инженерной поддержки направления ИБ компании Axoft:
«SOAR – это инструмент автоматизации процессов реагирования (помимо других функций). Но самая распространенная проблема, с которой сталкиваются компании при внедрении решения – это отсутствие этих самых процессов или их описания. Таким образом развернуть SOAR и интегрировать его с теми или иными системами возможность есть, но понятной цели, что именно автоматизировать – нет. Кроме этого, могут быть сложности с интеграцией с сервисами и системами, которые интеграцию не предусматривают. Что является сильным ограничением в возможных сценариях автоматизации».
Константин Карасев, архитектор проектов по информационной безопасности R-Vision, уверен, что самая большая проблема — отсутствие подготовительных мероприятий к внедрению SOAR и других решений автоматизации. SOAR — это инструмент, позволяющий решать множество задач центра кибербезопасности, однако одного желания его внедрить недостаточно.
«К основным проблемам относится, во-первых, отсутствие понимания, где какое устройство размещено, кто его владелец, в какой среде (продуктивная, тестовая и др.) и какой информационной системе оно принадлежит. Во-вторых, отсутствие протестированных планов реагирования, отсутствие понимания ландшафта угроз. Зачастую в попытках усилить безопасность коллеги включают практически все возможные правила на SIEM, но это приводит лишь к избыточной генерации ложноположительных алертов (срабатываний).
В результате аналитики центра кибербезопасности вынуждены бороться с последствиями, закрывая огромное количество алертов группами, рискуя пропустить среди огромного потока действительно важные события. Поэтому важно начать с подготовки, чтобы добиться нужного результата и целевых показателей работы центра кибербезопасности. Если организация действительно готова к внедрению SOAR, то SOAR становится сильным инструментом в решении комплексных задач ИБ».
Как автоматизация ИБ может трансформировать традиционные процессы реагирования на инциденты?
Константин Карасев, архитектор проектов по информационной безопасности R-Vision, отметил, что что от организации к организации процесс реагирования очень сильно меняется. Глобально он придерживается цикла обработки NIST, но существует множество частных вещей со множеством условий, которые практически невозможно универсализировать. Это относится к системам, которые используются для обогащения информации об инцидентах, настройки процессов эскалации уведомлений, а также для взаимодействия с заинтересованными сторонами и другими аспектами. Однако, если правильно настроить эти инструменты и постоянно их совершенствовать, они способны автоматизировать до 90% рутинных операций.
«До внедрения средств автоматизации аналитику приходилось работать с десятком открытых окон и систем. Он открывал множество терминальных сессий, вручную выполнял поиск артефактов, ставил задачи в разные системы разным исполнителям, контролировал выполнение задач, отслеживал их статус и качество, формировал отчёты и докладывал о результатах руководству. Кроме того, необходимо учитывать такие аспекты, как разработка и контроль задач по устранению уязвимостей. В крупных организациях, где число уязвимостей может исчисляться миллионами, эта задача становится особенно сложной.
Также необходимо отслеживать и взаимодействовать с различными контролирующими органами, которые выпускают бюллетени с информацией о выявленных уязвимостях. Это лишь небольшая часть процессов ИБ, которые можно и нужно автоматизировать, чтобы освободить ресурсы под другие, более интересные задачи».
Дмитрий Михеев, технический директор «АйТи Бастион»:
«Вся сущность ИТ и ИБ — это управление рисками. Потенциально опасные события — они-то по определению «автоматизированы», то есть они произойдут вне зависимости от нашего желания. Соответственно, вся активность вокруг тематики ИБ — это те или иные мероприятия, направленные на некий перечень ситуаций, когда мы обеспечиваем управление каким-то набором рисков, как всегда ограниченными ресурсами.
Одного ответа на вопрос в такой постановке нет. Где-то мы сможем положиться на старые добрые правила, где-то нам поможет модный искусственный интеллект. А где-то посадим в цепь принятия решений какое-то количество людей.
Да, если мы автоматизированно собираем и выкатываем ПО и целые инфраструктуры, то примерно так же стараемся в практике автоматизировать как риски и стадии разработки в виде безопасного процесса разработки ПО и контроля за цепочками поставок, так и развертывание и эксплуатацию — devsecops, devops, и прочий разноцветный ops. Обносим это все автоматизированными средствами защиты и их цепочками — threat-intelligence, контролем аномалий в разных местах, реагированием на инциденты пассивным и активным, incident-intelligence и прочим scoring & human risk assessment. Это все было до, будет после. Надеюсь, что мы с течением времени сможем работать чуть более гибко, разумно и масштабируемо — но это, что называется, добрые пожелания и светлые цели. А вот практика покажет, насколько у нас это получилось».
Артем Артамонов, эксперт Security Vision, напомнил, что недавно закончился SOC Forum 2024, на котором участвовали и законодатели, и теоретики, и практики. Было много выступлений на совершенно разные темы, но красной нитью через все доклады проходила мысль о том, что концепция современного SOC и реагирования на инциденты будет значительно трансформироваться и развиваться в ближайшее время.
«Одна из наиболее весомых и интересных причин — это применение технологий ИИ как со стороны атакующих, так и со стороны защиты. ML-помощники, анализ ложных срабатываний при помощи ИИ, UEBA и другие инструменты в значительной мере повлияют как на количественные показатели обработки событий, так и на скорость реагирования. Спикеры сошлись на том, что такие трансформации гарантированно произойдут в ближайшие 5 лет, а возможно, и раньше».
Федор Музалевский, директор технического департамента RTM Group, указал на то, что в первую очередь, автоматизация сокращает время реакции и нивелирует риски «человеческого фактора» (особенно в части возможных ошибок). То же самое справедливо и для ИБ – после внедрения системы (практически любого класса) сотрудник больше не забудет, что ему надо выполнить ту или иную задачу – канбан помнит всё.
«Автоматизированная пересылка данных позволяет хранить данные в одном поле и быстро ими делиться. Иными словами: автоматизация — это «быстрее» и «качественнее», что для расследования инцидентов крайне важно».
Как автоматизация ИБ интегрируется с процессами управления рисками и соблюдением требований (GRC), и какие преимущества это дает организациям?
Федор Музалевский, директор технического департамента RTM Group, заявил, что при управлении рисками важны алгоритмы работы с данными. Автоматизация дает возможность сотрудникам лучше концентрироваться на интерпретации результатов, ведь сложная математика больше не во власти Excel.
«Часть параметров риск-анализа, например, качество данных – вообще плохо поддается расчету вручную. Поэтому для рисковиков автоматизация — это «точнее» и «быстрее».
Константин Карасев, архитектор проектов по информационной безопасности R-Vision, подчеркнул, что процесс управления рисками требует комплексного подхода. Безусловно, автоматизация позволяет контролировать возникновение рисков, отслеживая текущее состояние ИБ и появление новых угроз и вероятности их возникновения. Системы класса SGRC (Security Governance, Risk Management and Compliance) служат единой платформой, где аккумулируются сведения об активах и процессах информационной безопасности. Что касается соблюдения требований, то автоматизация процессов позволяет значительно повысить уровень контроля над их выполнением, а также автоматизировать отчетность.
«Систематическое разбиение схожих проверок из разных требований на контроли позволяет быть уверенным, что организация соответствует множеству внутренних и предъявляемых извне требований».
Как автоматизация влияет на работу аналитиков и специалистов по реагированию на инциденты, и какие навыки становятся наиболее востребованными?
Денис Фокин, руководитель отдела технического консалтинга и инженерной поддержки направления ИБ компании Axoft: «На текущей момент автоматизация позволяет снизить поток ложных срабатываний и количество однотипных инцидентов, которые попадают на первую линию. Таким образом вместо рутины инженерам первой линии поступают в работу более сложные и интересные инциденты, которые требуют больших компетенции для их проверки. Как итог – эффективность использования человеческих ресурсов растет, и первая линия приближается к функционалу второй линии. Так, в случае отсева большей части ложных срабатываний, специалистам первой линии необходимо проводить более тщательную и сложную техническую проверку инцидентов, что требует более глубокого понимания методов реализации атак и как они проявляют себя в системах мониторинга.
Константин Карасев, архитектор проектов по информационной безопасности R-Vision, уверен, что автоматизация повышает продуктивность команды, позволяя закрыть больше задач с меньшими трудозатратами. Когда рутинные задачи сведены к минимуму, специалисту не нужно выполнять монотонную работу вручную. Вместо этого он получает от системы конкретный результат, с которым может эффективно работать и принимать решения. Это значительно упрощает и ускоряет рабочий процесс, а также снижает риск выгорания.
«Таким образом, специалисты с хорошими аналитическими навыками становятся особенно востребованными».
Артем Артамонов, эксперт Security Vision, убеждён, что автоматизация процессов ИБ в абсолютном большинстве случаев является благом для специалистов по реагированию и аналитиков хотя бы тем, что позволяет сократить самую нудную и неинтересную часть работы — рутину. Практически не существует пайплайнов по обработке и анализу инцидентов, которые нельзя было бы автоматизировать в той или иной мере.
«Даже если реагирование и сбор информации ведется по почте, хорошие SOAR-системы позволяют автоматизировать почтовое взаимодействие, парсить содержимое писем и собирать все это в какую-то интеллектуальную обработку. Современные SOAR-системы поддерживают механизмы интеграции практически с любыми ИТ/ИБ системами. Соответственно, чем большим техническим кругозором и опытом обладают аналитики и специалисты по реагированию, тем глубже они могут собирать артефакты, точнее выносить вердикты и реагировать на инциденты, попутно формируя требования для непрерывного процесса автоматизации этих операций».
Федор Музалевский, директор технического департамента RTM Group, заметил, что автоматизация для аналитиков позволяет выполнять просто больше работы в единицу времени. При реагировании аналогично – от локализации инцидента до расчета последствий сотрудник тратит меньше времени на каждую операцию.
Как эффективно интегрировать средства защиты информации при автоматизации процессов ИБ?
Дмитрий Михеев, технический директор «АйТи Бастион»: «Общий принцип автоматизации — после неё должно быть меньше затрат на рутину, то есть внедрение автоматизированных средств должно в результате приводить к более производительной работе людей. Это касается не только ИБ. В целом, для более или менее любой автоматизированной системы это «общее» бизнес-требование. Как правило, мы уже делаем что-либо вручную, но сможем делать ещё больше и с меньшим количеством ошибок, если нам предоставить удобный инструмент.
Практика применения, конечно, может разниться как для общего результата, так и для конкретных рабочих ролей в рамках нее. Так или иначе, любой проект автоматизации начинается с постановки целей, граничных условий (бюджет — одно из них) и формулировки критериев успешности. Если участники этого мероприятия смогли найти компромисс на этом шаге, то можно уже говорить о планах и сроках движения по ним.
В массе своей, при сколько-нибудь развитых производственных процессах, у нас нет возможности обойтись каким-то одним средством, «серебрянной пулей». Это обычно тот или иной состав средств, методов и процессов, каждый элемент которого появился по какой-то причине и был интегрирован для общего блага. Технические методы бывают разнообразные, зависит от задачи, но обычно базовый вариант решения: «Давайте закинем все в SIEM и дальше будем управлять результатом оттуда». Такое решение не хуже других, но оно далеко не единственное: иногда его осознанно не применяют — затраты могут быть значительные».
Константин Карасев, архитектор проектов по информационной безопасности R-Vision, заявил, что эффективная интеграция в процесс означает, что результат соответствует ожиданиям. Это требует чёткого понимания и реалистичной оценки возможностей средства защиты. Кроме того, само по себе средство защиты требует постоянного контроля, обновления, настройки, тюнинга и, конечно, наличия процессов, в которые средство защиты вовлечено.
«Сотрудники должны быть обучены работе с ним. Каждое средство защиты решает определенную задачу, и при интеграции средства защиты важно учитывать его место в комплексных процессах, исходя из его возможностей. Автоматизировать процесс невозможно, если используемое средство защиты не имеет внешнего интерфейса взаимодействия. Чтобы оценить результаты изменений, необходимо иметь чёткие метрики».
Федор Музалевский, директор технического департамента RTM Group: «В первую очередь, необходимо понять, какие процессы автоматизируются. В противном случае, мы получим бесполезную нагрузку на сотрудников. Затем необходимо сформулировать этапы процессов и результат каждого их них.
Например, процесс категорирования КИИ имеет этап создания комиссии и определения перечня объектов для категорирования. Значит, результатом его выполнения будут приказ и акт (ранее их надо было направлять во ФСТЭК России и согласовывать с отраслевым регулятором, что можно считать отдельным этапом). Только после определения процессов и этапов можно приступать к автоматизации.
Здесь часто встречается типовая ошибка: ответственного ранее за «ручное» выполнение процесса назначают ответственным за работу с автоматизированной системой. Такой подход может быть непродуктивен, если сотрудник обладает высокой компетенцией, например, поиск следов вредоноса, которая не требуется для работы с тем же SOAR».
Какие процессы ИБ крайне тяжело или невозможно автоматизировать?
По словам Константина Карасева, архитектора проектов по информационной безопасности R-Vision, трудно автоматизировать процессы, которые не поддаются математическому или логическому описанию и не имеют чётких для автоматизированной системы критериев обработки. Например, некорректно построенный процесс управления уязвимостями, когда в результате автоматизации со стороны ИБ служба ИТ просто физически не в состоянии обработать количество постоянно поступающих заявок.
«В итоге автоматизация здесь только формальная, не имеющая ничего общего с фактическим достижением цели. Это касается и попытки автоматизировать процесс обработки инцидентов при отсутствии самого процесса или необходимой предварительной подготовки. В результате либо автоматизировать нечего, либо результаты автоматизации не соответствуют поставленным целям. Например, процесс управления активами без базовой подготовки не может быть реализован в полной мере. Автоматизация сбора данных из множества источников приводит к получению огромного массива информации, состоящего из имен хостов и их адресов. Однако без понимания того, к какой системе относится каждый актив, кто несет за него ответственность и какие бизнес-процессы он обеспечивает, процесс управления активами становится практически неосуществимым. Это касается любого процесса, связанного с ИБ».
Федор Музалевский, директор технического департамента RTM Group, отметил, что все, где требуется принятие решений и творческий подход. Анализ кода и вредоносных файлов – уже давно никого не удивляет, но обработка результатов работы сканера требует большой вовлеченности эксперта.
Дмитрий Михеев, технический директор «АйТи Бастион»: «Как известно, «автоматизировать» можно всё, однако для некоторых задач требуемые ресурсы могут стремиться к бесконечности.
Но что такое «автоматизация» в конкретном значении? Это может быть как «реализация полносвязного алгоритма, не требующего человека», так и «реализация автоматизированной системы». Разница в том, что в рамках «автоматизированной системы» человек может рассматриваться как её составной элемент.
Например, сам процесс ИБ — это циклический процесс и полностью его автоматизировать, скорее, не выйдет, но можно автоматизировать некоторые технологические операции. Но с точки зрения принятия решений, общей оценки результатов, целеполагания и стратегического планирования — тут только вручную, так или иначе. Считается, чем больше операций мы можем выполнять автоматически (автомагически), тем больше условно доступного времени для условно разумной деятельности нам остается».
Как оценивать эффективность автоматизации ИБ?
Артем Артамонов, эксперт Security Vision: «Оценка эффективности автоматизации ИБ — задача нетривиальная. Кто-то измеряет количество обрабатываемых инцидентов в пересчете на бюджет, кто-то старается за счет автоматизации закрыть как можно большее количество доменов ИБ согласно требованиям регуляторов, для кого-то критерием является среднее время реагирования по группам критичности и его сокращение. Но мне лично близок подход, основанный на реальной безопасности.
Множество факторов влияет на то, достигнет ли злоумышленник своей цели или нет, но скорость и качество реакции на его действия были и остаются наиболее значимыми. Что влияет на эффективность именно этих действий, помимо личных навыков стороны защиты? Автоматизация! А конкретно автоматизация, глубоко адаптированная под особенности конкретной инфраструктуры и процессов компании. Решение или совокупность решений, развернутые за три клика «из коробки», никогда не будут эффективными, сколько бы они ни стоили и сколько бы операторов на них ни выделили.
Тут же нужно сразу добавить еще один критерий — гибкость. С текущей скоростью изменений в ИТ и ИБ хорошо собранное решение уже через год может утратить актуальность. Если решение по автоматизации спроектировано и внедрено так, что позволяет гибко модифицировать оркестрацию, плейбуки, коннекторы и скрипты «на лету», то оно по определению будет более эффективным, чем любая статичная система».
Федор Музалевский, директор технического департамента RTM Group: «Эффективность автоматизации вообще можно оценивать по средней скорости выполнения операции и проценту ошибок. Если средняя скорость увеличилась хотя бы вдвое, а число ошибок (включая несвоевременное выполнение задач) снизилось втрое, то автоматизацию можно считать успешной».
Константин Карасев, архитектор проектов по информационной безопасности R-Vision: «Чтобы оценить, насколько эффективно автоматизация обеспечивает безопасность информации, используются разнообразные метрики. Эти показатели помогают достигать стратегических целей и решать повседневные задачи.
Количество используемых метрик может достигать сотен. Они отражают реальное положение дел как в статике, так и в динамике, что позволяет принимать обоснованные управленческие решения. Любая автоматизация направлена на достижение определённой цели. Именно понимание этой цели помогает определить наиболее подходящие метрики, которые позволят оценить эффективность и результативность автоматизации.
Если наша задача состояла в автоматизации процесса управления активами, то мы можем измерить процент покрытия СЗИ, покрытие внедрения стандартов на ОС и конфигурации и многое другое. Если процессы касаются управления уязвимостями, то целесообразно применять метрики по количеству открытых / обработанных уязвимостей, контроль SLA и закрытия обнаруженных уязвимостей в рамках задач. В процессе управления инцидентами также существуют десятки метрик, начиная с SLA и заканчивая метриками покрытия правилами реагирования фреймворка MITRE. Сами показатели задаются исходя из целей, и практически любая система автоматизации позволяет использовать метрики продукта для предоставления нужного результата для оценки».
