Редакция CISOCLUB обсудила с Анастасией Федоренко, руководителем направления «Автоматизация ИБ» УЦСБ, ключевые аспекты автоматизации процессов информационной безопасности. В интервью эксперт подробно рассказала о том, какие процессы в ИБ можно автоматизировать и как это повышает эффективность защиты компании от киберугроз. По словам Анастасии, системы SGRC, Security Awareness, SIEM, SOAR и Threat Intelligence способны оптимизировать управление рисками, улучшить мониторинг инцидентов, автоматизировать реагирование и обогатить данные для выявления угроз ИБ.
Какие ключевые процессы в информационной безопасности можно полностью или частично автоматизировать для повышения эффективности обеспечения ИБ?
Анастасия Федоренко: На текущий момент большинство процессов информационной безопасности можно автоматизировать, из ключевых я выделю следующие:
- процессы, которые реализует система менеджмента информационной безопасности, например, управление рисками, комплаенс контроль, работа с документами ИБ (политики, регламенты, инструкции);
- повышение осведомленности пользователей;
- инвентаризация и управление активами;
- мониторинг и реагирование на инциденты;
- киберразведка.
Какие технологии используются для автоматизации этих ключевых процессов?
Анастасия Федоренко: Системы класса SGRC Security — Governance, Risk Management and Compliance помогают выстроить процессы управления информационной безопасности, оценки и управления рисками, аудита соответствия требованиям.
Системы класса Security Awareness автоматизируют процесс повышения компетенции персонала в области обеспечения ИБ.
Системы класса SIEM — Security Information and Event Management автоматизируют сбор и обработку данных о событиях корпоративной и технологической сети компании.
Системы класса SOAR — Security Orchestration, Automation and Response автоматизируют процессы инвентаризации и управления активами, реагирования на инциденты ИБ, обеспечивают оркестрацию средств защиты информации и обогащают данные о событиях безопасности.
Системы класса TI — Threat Intelligence осуществляют автоматический сбор, нормализацию и обогащение индикаторов компрометации с площадок обмена данными об угрозах, дополняют собранную информацию, используя сервисы обогащения. Дают знания о киберугрозах и применяемых тактиках.
Как автоматизация «бумажной» безопасности помогает повышать эффективность обеспечения ИБ?
Анастасия Федоренко: SGRC позволяет навести порядок в так называемой «бумажной» безопасности, выстроить процессы управления ИБ таким образом, чтобы компания соответствовала требованиям законодательства по ИБ. Помогает быстро и качественно оценивать риски на основании предустановленных методик. Это хорошее подспорье для CISO и CEO при стратегическом планировании и формировании системы безопасности компании в целом.
Системы класса SGRC повышают эффективность обеспечения безопасности за счет четкой структуры и шаблонов процессов управления ИБ, предусмотренных в программном обеспечении, за счет возможности работать сотрудникам ИБ с задачами централизованно, используя единое окно. Основной объем рутинных задач выполняется платформой, что позволяет минимизировать ошибки, а специалистам направления ИБ заниматься более критичными задачами.
Например, такой трудоемкий процесс, как категорирование объекта КИИ, с помощью данного инструмента автоматизации довольно легко реализовать. Пользователю необходимо заполнить требуемые поля, а дальше система SGRC сама рассчитает категорию значимости, меры безопасности и сформирует сопутствующие документы – акт категорирования, сведения об объекте КИИ и др.
Зачем автоматизировать процессы повышения киберграмотности?
Анастасия Федоренко: Практически все запросы на автоматизацию начинаются с потребности минимизировать время на повторяющиеся задачи и повысить эффективность сотрудников.
Повышение осведомленности персонала в ИБ – довольно трудоемкий процесс. Для всех сотрудников компании необходимо регулярно проводить обучения по безопасности и встраивать их в жизненный цикл рабочего процесса. То есть, каждого специалиста организации требуется направить на обучение, проверить уровень полученных знаний, провести атаки методами социальной инженерии, проанализировать итоги обучения, применить корректирующие меры, пересмотреть планы обучения и т.д. Security Awareness оптимизируют выполнение таких задач. В программе можно настроить курсы по расписанию, по задачам, например, при трудоустройстве сотрудника автоматически назначать ему базовый минимум по работе с конфиденциальной информацией. Имеются преднастроенные шаблоны имитации атак, администратору ИБ требуется указать условия их запуска, и можно прогнать пройденный материал на практике в условиях имитации фишинговых атак. По итогам формируется рейтинг безопасности и сводная аналитика – все оперативно, четко и наглядно.
Как автоматизация процессов реагирования на инциденты влияет на скорость и качество принятия решений?
Анастасия Федоренко: Инструменты автоматизации реагирования на инциденты позволяют избежать ошибок, связанных с человеческим фактором: невнимательность и переутомляемость – частые проблемы при работе с рутинными задачами, неспособность обработать объем данных в сжатые сроки. Системы класса SOAR снижают нагрузку с персонала центра реагирования, освобождая время и внимание на принятие тактически верных решений противодействия кибератаке.
SOAR автоматизирует обработку событий, полученных с SIEM, антивирусного ПО, сканеров уязвимостей, межсетевых экранов и других средств защиты, обработку информации инцидентов и их обогащения. Ранжирует инциденты по степени риска, сразу направляя внимание аналитика на объекты, которые требуют оперативных действий. Автоматизированное реагирование на инциденты, так называемые плейбуки, позволяет вовремя обнаружить, быстро и четко заблокировать вредоносное ПО в соответствии с заложенным сценарием.
Таким образом автоматизация реагирования на инциденты обеспечивает высокую скорость обработки информации, быстрое и точное реагирование, ошибки стремятся к нулю. Повышается качество и производительность работы системы безопасности предприятия.
В чем польза автоматизации процессов киберразведки?
Анастасия Федоренко: Основная цель автоматизации процессов киберразведки – превентивная защита организации от кибератак. Системы TI позволяют быстро и эффективно анализировать большое количество индикаторов компрометации (хэши вредоносных файлов, подозрительные IP-адреса, домены и пр.), обогащать их из открытых источников и баз данных ведущих игроков рынка. На основании этих метрик TI предоставляет информацию о тактиках и техниках злоумышленников в соответствии с матрицей MITRE ATT&CK, предоставляет информацию о потенциальных и реальных угрозах. Отдельным пунктом можно выделить функционал реагирования на инциденты – TI по преднастроеным сценариям передает показатели кибератаки напрямую на внутренние средства защиты для блокирующих команд.
Также TI – это помощник для CISO и CEO компании. Система в едином окне показывает весь ландшафт угроз, дает аналитику трендов, рисков, группировок по аналогичным сферам деятельности рассматриваемой компании, позволяет сформировать направление развития ИБ в компании по отношению к киберрискам бизнеса.
В каких случаях автоматизация ИБ может быть неэффективной или даже вредной для безопасности компании?
Анастасия Федоренко: Не стоит автоматизировать хаос. Если в компании не выстроены процессы безопасности, то системы автоматизации пока лучше не рассматривать. Автоматизация является помощником для оптимизации процессов ИБ, которые четкие и понятные, регламентированные, и потому уже не требуют постоянного человеческого вмешательства.
Для небольших предприятий, с маленьким объемом объектов защиты и персонала, может быть экономически нецелесообразно внедрять инструменты автоматизации.
Как обеспечивается интеграция решений по автоматизации процессов ИБ с существующими инструментами и процессами ИБ?
Анастасия Федоренко: На российском рынке довольно понятный и фиксированный перечень средств защиты информации и источников данных, которые распространены на предприятиях. Основная часть интеграций реализуются «из коробки» системы, необходимо выполнить определенные настройки в момент внедрения решения. Для иных случаев во многих инструментах автоматизации имеется возможность настроить интеграцию через API смежной системы, дописав различные скрипты на передачу необходимых полей и команд. Некоторые вендоры формируют экосистемы, и, например, связка SIEM+SOAR+TI может быть на одной платформе и интеграция между ними бесшовная, нативная.
Какой требуется набор инструментов автоматизации ИБ для устойчивой защиты от злоумышленников?
Анастасия Федоренко: В данном интервью я перечислила системы автоматизации, которые формируют необходимый уровень защиты от киберпреступников, при этом компании не требуется формировать масштабный штат персонала:
- Security Governance, Risk Management and Compliance;
- Security Awareness;
- Security Information and Event Management;
- Security Orchestration, Automation and Response;
- Threat Intelligence.
Давайте подведем итоги: SGRC – выстроит и оптимизирует процессы управления безопасностью, SA – подготовит пользователей к противостоянию социальной инженерии, SIEM, SOAR – выстроит и ускорит процессы реагирования на инциденты, TI – вишенка на торте, позволит быть на шаг впереди злоумышленника.
Какие метрики можно использовать для оценки эффективности автоматизации процессов информационной безопасности?
Анастасия Федоренко: Предлагаю рассматривать в качестве основных такие метрики (целевые показатели) эффективности инструментов автоматизации ИБ:
- Количество операций, выполняемых вручную – сократилось;
- Нагрузка на персонал снизилась, нет острого дефицита кадров;
- Скорость реагирования на инциденты – увеличилась и держится на оптимальном уровне;
- Объем превентивных мер – увеличился;
- Количество инцидентов безопасности – снизилось, в том числе и сформированных действиями пользователей;
- Проверки на соответствие требованиям от регуляторов – успешно пройдены.