В марте в прямом эфире AM Live эксперты ведущих компаний-разработчиков и интеграторов в сфере защиты информации рассмотрели, как автоматизировать реагирование на ИБ-инциденты и при этом избежать ошибок. Одним из экспертов эфира стал Константин Мушовец, директор USSC-SOC.
Информационная безопасность является ключевым фактором для любого современного бизнеса. В условиях высоких рисков и роста киберугроз быстрое эффективное реагирование на инциденты становится не только необходимостью, но и конкурентным преимуществом.
Однако традиционные подходы часто оказываются недостаточно гибкими и оперативными. Ручные процессы, отсутствие автоматизации и недостаточная координация между командами могут замедлять реагирование, увеличивая риски и ущерб. Современные средства защиты позволяют автоматизировать и упростить процессы управления инцидентами ИБ, минимизировать их последствия и повысить устойчивость бизнеса в условиях постоянно меняющейся цифровой среды.
По мнению директора USSC-SOC Константина Мушовца, автоматизация в процессе реагирования на инциденты ИБ решает четыре ключевые задачи:
- повышение скорости реагирования на инциденты: с помощью агента Endpoint Detection and Response (EDR), например, специалист может нажатием одной кнопки заблокировать заражённый хост;
- снижение нагрузки на специалистов ИБ: при автоматизации трудозатратных рутинных ИТ-процессов высвобождаются ресурсы на инвентаризацию активов и приведение в порядок инфраструктуры;
- повышение производительности: EDR или SOAR агрегирует данные о возможных инцидентах ИБ из множества источников, автоматизирует обогащение признаков инцидентов ИБ контекстом, осуществляет реагирование на них и активизирует защитные меры, обеспечивая единое пространство для совместной работы специалистов, задействованных в управлении инцидентами ИБ.
- помощь человеку в том, чего он не может сделать сам: примером может послужить выявление аномалий в сетевом трафике.
Эксперт считает, что для выстраивания автоматизированной защиты в классическом варианте в первую очередь нужно обеспечить мониторинг, чтобы видеть инциденты и действия злоумышленников. Для этого используются решения классов Security Information and Event Management, Incident Response Platform. Далее добавляются инструменты для углубления мониторинга — EDR, Network Traffic Analysis, почтовые шлюзы для выявления фишинга. Если атаку удается обнаружить на ранней стадии, то целесообразно переходить к автоматизации процессов реагирования.
Также эксперты эфира отметили основные ошибки при автоматизации реагирования:
«В вопросах автоматизации реагирования любая ошибка приводит к серьёзным последствиям. Одна из таких ошибок — это игнорирование динамических изменений в инфраструктуре. Не стоит рассматривать её как статический объект, важно учитывать сезонные или другие изменения», — прокомментировал Константин Мушовец, директор USSC-SOC.
Эксперты также обсудили, как будут эволюционировать решения. По мнению директора USSC-SOC, интерес к машинному обучению может снизиться из-за повсеместного применения в маркетинговых целях. Развитие средств реагирования на инциденты ИБ предполагает их дальнейшую сегментацию. Требуются различные инструменты для решения специфических задач. Провайдеры Managed Security Services и SOC сейчас расширяют набор сервисов и систем — к основному мониторингу добавляют сервисы Security Awareness, управление уязвимостями и другие решения. Это увеличивает объем выявляемых шагов злоумышленника, что повышает вероятность раннего обнаружения.
В заключение дискуссии спикеры пришли к выводу, что автоматизация рутинных задач уменьшает нагрузку на ИБ-специалистов, позволяя им сосредоточиться на более сложных и стратегических вопросах. Применение алгоритмов и машинного обучения помогает минимизировать ошибки и улучшить качество анализа инцидентов ИБ. Автоматизированные системы легко адаптируются к росту бизнеса и увеличению объема данных. Однако автоматизация не является универсальным решением. Для достижения наилучших результатов необходимо сочетать технологические решения с эффективной организацией процессов, обучением сотрудников и постоянным мониторингом текущих угроз.
Материал редакции и запись эфира «Как упростить и автоматизировать реагирование на инциденты ИБ» можно посмотреть здесь.
