Автоматизация обработки инцидентов через SOAR-платформы: сосредоточимся на приоритетных задачах

Важность своевременного реагирования на киберинциденты не вызывает сомнений: растут количество и сложность кибератак, регуляторные нормы по защите информации становятся всё строже, киберустойчивость информационной инфраструктуры становится критичным фактором даже для небольших бизнесов, а дефицит кадров в отрасли ИБ ощущается как никогда остро. В связи с этим неуклонно растет интерес компаний самых разных масштабов и сегментов к управлению киберинцидентами и к автоматизации этого процесса с помощью решений класса SOAR, которые позволяют роботизировать действия ИБ-специалистов по реагированию на инциденты, централизованно управлять средствами защиты в инфраструктуре, а также повысить зрелость всего процесса управления киберинцидентами и контролировать его с помощью различных метрик и количественных показателей.

Несмотря на то, что системы SOAR позволяют автоматизировать большинство этапов реагирования на инциденты ИБ, существуют приоритетные задачи, на которых нужно сосредоточиться в первую очередь при выстраивании соответствующих процессов кибербезопасности и внедрении SOAR – рассмотрим их в разрезе этапов реагирования на киберинциденты.

1. Подготовка

При подготовке к реагированию на киберинциденты важно выстроить базовые ИБ-процессы и автоматизировать их с применением подходящих решений:

— Управление активами и инвентаризацией можно автоматизировать с помощью решений для управления активами (Asset Management, CMDB). Важно видеть всю инфраструктуру, не оставлять «серых зон», своевременно обнаруживать новые системы, а также агрегировать информацию о свойствах активов, которая поможет в дальнейшем быстрее анализировать инциденты и приоритизировать действия по реагированию. Например, кибератака на критичную информационную систему может принести значительный ущерб, но во время реагирования важно обеспечить непрерывность зависимых от неё бизнес-процессов, поэтому меры реагирования не должны включать в себя сетевую изоляцию или перезагрузку серверов.

— Управление уязвимостями, особенно на периметре инфраструктуры, является ключевым процессом для повышения киберзащищенности организации. Для этого можно использовать сканеры защищенности и системы управления уязвимостями (Vulnerability Scanner, Vulnerability Management), которые помогут своевременно выявлять уязвимости, приоритизировать и контролировать их устранение.

— Контроль параметров безопасности позволяет управлять уязвимостями, связанными с небезопасными конфигурациями — оставленные по умолчанию параметры и неактивированные функции безопасности представляют не меньшую угрозу, чем неустраненные уязвимости. Для автоматизации контроля параметров безопасности можно использовать решения класса Security Profile Compliance, которые помогут проанализировать текущие конфигурации, выявить отклонения от рекомендованных безопасных настроек и привести их в соответствие требованиям по ИБ.

— Настройка журналирования событий ИБ, источников событий ИБ и правил корреляции осуществляется на конечных точках, в СЗИ и в SIEM-системе. Важно не только первоначально настроить логирование событий и подключить источники, передающие значимую информацию, но и контролировать непрерывность журналирования событий ИБ и их передачи в SIEM — злоумышленники активно используют меры противодействия обнаружению, что позволяет им оставаться незамеченными в инфраструктуре длительное время.

— Формирование сценариев реагирования, интеграция СЗИ и других внешних систем выполняется непосредственно в SOAR-решении. Сценарии реагирования в SOAR могут быть статическими или динамическими: статические плейбуки настраиваются заранее и учитывают различные вариации характеристик инцидента (количество затронутых хостов, критичность скомпрометированных учетных записей, тип сработавшей сигнатуры обнаружения и т.д.), а в динамических плейбуках действия по реагированию автоматически выбираются с учетом типа и свойств конкретного инцидента.

2. Детектирование

Результатом сбора событий безопасности, пересылки их в SIEM и обработки с помощью правил корреляции станут подозрения на инциденты, которые далее будут проанализированы ИБ-специалистом или переданы в SOAR-систему. Кроме того, срабатывания СЗИ могут передаваться напрямую в решения класса NG SOAR, в которых по ним сразу запускаются процедуры реагирования или сбора дополнительной информации — например, получение событий в окрестностях предполагаемого инцидента для более широкого охвата. Инцидентом ИБ может считаться и обнаружение неучтенного устройства, критичной уязвимости или небезопасной конфигурации на сетевом периметре — в этом случае также запускаются процедуры реагирования, включающие в себя анализ, обогащение, принятие решения по обработке и контроль его выполнения (например, обновление или удаление уязвимого компонента системы, отключение неизвестного устройства от сети). Кроме того, выявить инцидент можно и за счет использования платформ аналитики киберугроз (TIP-решений) путем ретроспективного или динамического поиска индикаторов компрометации (хэши, IP, URL, домены) и атак (тактики, техники, процедуры, инструменты злоумышленников) в событиях, поступающих в SIEM или напрямую в TIP. Еще одним способом детектирования подозрительных событий может быть анализ подозрительного поведения пользователей, устройств, приложений в инфраструктуре — анализ трафика и логов и поиск аномалий в них может выполнять решение класса UEBA.

3. Анализ

Выполнение анализа инцидента, включая оценку его критичности, массовости, потенциального ущерба и свойств затронутых активов — одна из самых трудоёмких и длительных операций, которые выполняются ИБ-аналитиками. Важно отфильтровать ложноположительные срабатывания и приоритизировать дальнейшие действия по реагированию на истинноположительные инциденты. На данном этапе помощь окажут подключенные к SOAR-решению внешние системы — информацию о свойствах атакованных активов и учётных записей можно получить из внутренних систем, а проверить репутацию внешних доменов, IP-адресов и подозрительных файлов можно во внешних аналитических сервисах. Быстрая контекстуализация и обогащение данных по киберинциденту, настроенные в SOAR, помогают аналитику принять взвешенное решение о дальнейших действиях по инциденту, а если настроено автоматическое реагирование, то действия могут быть выполнены в автономном режиме с учетом полученной информации о характеристиках инцидента и атакованных элементах инфраструктуры. Важной фишкой SOAR может быть интеграция с матрицей MITRE ATT&CK, что позволяет автоматически классифицировать инцидент на основе обнаруженных атрибутов кибератаки и действий злоумышленников.

4. Сдерживание, устранение

На этапах сдерживания (локализации) и устранения инцидента помогают настроенные интеграции с корпоративными СЗИ — аналитик вместо переключения между консолями различных защитных решений может выполнить процедуры активного противодействия угрозе непосредственно из SOAR-системы. В случае, если настроено автоматическое реагирование, то SOAR самостоятельно выполняет заранее определенные действия – например, завершает процесс, блокирует учетную запись или помещает устройство в сетевой карантин. Если же в SOAR применяются динамические сценарии реагирования, то перечень действий определяется свойствами инцидентов, а при использовании в SOAR технологий ИИ и машинного обучения аналитик дополнительно получает подсказки о похожих инцидентах и о том, как лучше всего отреагировать на текущую угрозу.

Автоматизация выполнения действий по сдерживанию и устранению кибератаки особенно важна для компаний, в которых нет круглосуточной команды реагирования на киберинциденты и которые не пользуются услугами внешнего SOC-центра. Атака может произойти в любое время, а самыми опасными периодами считаются ночные часы и выходные — если отреагировать на кибератаку будет некому, то хакеры могут украсть все данные и полностью уничтожить инфраструктуру буквально за считанные часы. Автоматизация реагирования на киберинциденты с помощью SOAR позволяет отчасти компенсировать отсутствие SOC-центра и помогает минимизировать ущерб компании за счет своевременной локализации кибератаки и противодействия нападающим.

5. Восстановление

После того, как кибератака была локализована и устранена, необходимо привести информационные системы и инфраструктуру в работоспособное состояние и вернуть бизнес-процессы в нормальный режим функционирования. Чем быстрее произойдет восстановление после кибератаки, тем меньшие потери понесет компания, поэтому этот этап также целесообразно автоматизировать. Скорость восстановления данных после инцидента может зависеть от быстродействия системы восстановления из резервных и архивных копий, но решения класса SOAR помогут упорядочить информацию об атакованных устройствах и системах, которые требуют приведения в защищенное состояние. Решения для управления активами, конфигурациями и уязвимостями позволят централизованно восстановить безопасные настройки и проверить, что на всех атакованных активах были проведены восстановительные и защитные мероприятия (например, обновлен уязвимый софт, изменены учетные записи, удалены следы присутствия атакующих). После инцидента важно устранить уязвимости и ошибки конфигураций, которыми воспользовались атакующие, а также обнаружить все вероятно оставленные бэкдоры и точки закрепления злоумышленников, которые могут помочь им вернуться в инфраструктуру спустя некоторое время.

6. Пост-инцидентные действия

Конечным результатом реагирования должно стать не столько устранение последствий кибератаки, сколько повышение уровня киберзащищенности компании и недопущение повторения аналогичных инцидентов в будущем. Важно провести пост-инцидентный анализ и понять, насколько корректно и оперативно были выполнены процедуры реагирования, были ли эффективны сценарии реагирования и настроенные интеграции. Например, в SOC-центрах непрерывно оценивается эффективность процессов, технологий и команды реагирования — для этого можно использовать информацию, которая накапливается в SOAR-решении в карточках закрытых инцидентов и в истории выполненных действий. Процесс управления инцидентами связан с другими процессами кибербезопасности — управлением активами, уязвимостями, конфигурациями, резервным копированием и восстановлением данных — следовательно, повышение эффективности и рост уровня зрелости процесса реагирования должен приводить и к совершенствованию связанных ИБ-процессов, а значит и к росту уровня общей киберзащищенности организации.

Применение средств автоматизации, таких как SOAR-решения, позволяет снизить рутинную нагрузку на ИБ-специалистов и повысить их мотивацию за счет высвобождения времени на более интересные и творческие задачи, а также помогает снизить долю ошибок, вызванных человеческим фактором, и уменьшить влияние субъективных оценок при реагировании на инциденты. В конечном итоге, с SOAR-системами дефицитные специалисты по кибербезопасности получают возможность выполнять больше задач с меньшими трудозатратами, при этом процесс реагирования на инциденты ИБ упрощается, систематизируется и ускоряется. Развитие различных ИИ-ассистентов позволяет подстраховать сотрудников, выдавая им рекомендации по сбору информации, приоритизации инцидентов, реагированию и выполнению сопутствующих действий. Подобные ИБ-автопилоты уже сейчас позволяют принимать решения без участия человека, запрашивая подтверждение при выполнении лишь критичных действий, а в скором времени непрерывно возрастающая точность их действий позволит обрабатывать киберинциденты практически полностью в автономном режиме, что обеспечит высокую скорость реакции и, как следствие, рост адаптивности систем защиты к современным сложным киберугрозам.

В продуктовой линейке Security Vision представлены почти все типы решений, которые упоминаются в данной статье – это решения классов SOAR/NG SOAR, Asset Management, Vulnerability Scanner, Vulnerability Management, Security Profile Compliance, TIP, UEBA, а также ряд других продуктов. Платформа Security Vision присутствует в реестре российского ПО и сертифицирована ФСТЭК России, а в прошлом году продукты Security Vision по результатам экспертной проверки были официально признаны решениями, использующими технологию искусственного интеллекта. Команда Security Vision успешно реализует проекты внедрения в крупнейших отечественных компаниях из государственного, финансового, телекоммуникационного, промышленного секторов и регулярно становится лауреатом престижных профессиональных премий.

Автор: Руслан Рахметов, Security Vision.