Александр Падурин, Security Vision: «Автоматизация сокращает срок устранения инцидента ИБ в 10 раз»

Александр, почему сегодня компаниям важно максимально сокращать время реагирования на инциденты? Насколько популярные на рынке СЗИ позволяют автоматизировать этот процесс?

– За последние полгода Россию покинуло большое количество специалистов ИТ и ИБ, дефицит на рынке труда в этих направлениях сохраняется. В то же время у оставшихся специалистов ИБ реагирование на инциденты – только одна из многих оперативных задач. Помимо этого им нужно заниматься управлением уязвимостями, развитием существующих СЗИ, харденнингом, чтобы уменьшать количество потенциальных точек входа злоумышленников в ИТ-инфраструктуру. К этому добавляются задачи стратегического характера. Конечно, есть компании в которых «бумажной» безопасностью занимаются отдельные департаменты – рассчитывают риски, вовремя выпускают соответствующие отчеты и т. д., – но в большинстве организаций отдел ИБ занимается всем сразу. Оперативная работа, включающая реагирование на инциденты, занимает, как правило, около половины рабочего времени сотрудников. Чем меньше времени они будут тратить на это, тем больше ресурсов у них останется на улучшение бизнес-процессов, написание документации, скриптов, пилотирование новых решений.

Александр Падурин, ведущий пресейл-менеджер Security Vision

Автоматизированные средства реагирования на разные типы инцидентов особенно важны для крупных центров мониторинга. Сегодня они только набирают популярность, разработок в этой области немного. Конечно, существуют атомарные СЗИ, например класса NGFW (Next Generation Firewall), которые в рамках выявляемых событий могут самостоятельно предпринять некие действия по устранению проблемы. Но далеко не все. В тех же системах класса SIEM, которые в последние пять лет особенно популярны на российском рынке, не предусмотрены средства реагирования.

Как сейчас в компаниях происходит процесс реагирования на инциденты? И где в этом процессе начинается автоматизация?

– Среди задач информационной безопасности есть те, которые легко поддаются автоматизации, а есть те, которые на текущем этапе развития технологий вовсе невозможно автоматизировать. Для примера можно взять несколько этапов жизненного цикла управления инцидентами из NIST-фреймворка (NIST Cybersecurity Framework) – они применимы к большинству инцидентов независимо от сферы деятельности компании. Есть, скажем, этап эскалации инцидента, когда специалист ИБ определяет, является ли событие, выявленное неким средством защиты информации, реальным инцидентом, а не ложноположительным срабатыванием. Это выполняется средствами любого СЗИ, которое умеет выявлять инциденты.

Другой пример – этап обогащения данных. Выявив инцидент, СЗИ предоставляет оператору большой перечень индикаторов компрометаций: хеши, IP-адреса, доменные имена, почтовые ящики внешних пользователей, откуда пришло подозрительное письмо. Прежде, чем всё блокировать, хочется проверить по репутационным спискам, являются ли те или иные индикаторы чем-то реально опасным, вредоносным. Есть множество внешних сервисов обогащения – такие, как VirusTotal, URLscan, Hybrid-Analysis и другие. Система может обратиться к соответствующему ресурсу, чтобы проверить информацию об индикаторах и уже потом предоставить готовую фактуру аналитику. Эта задача легко автоматизируется при помощи таких решений, как платформа Security Vision.

Но есть и такие этапы, где требуется понимание контекста, – и из них невозможно исключить ИБ-специалиста. Допустим, система выявила вредоносный IP, но инцидент произошел на компьютере директора. Вероятно, здесь требуется нестандартное решение проблемы: необходимо связаться с директором и уточнить подробности. В таких сценариях ИБ-специалист оценивает все вводные, которые предоставляет ему система автоматизации, и сам решает – срочно принимать компенсирующие меры или закрыть инцидент как ложноположительное срабатывание.

Что из себя представляет платформа автоматизации процессов ИБ Security Vision?

– Мы предлагаем заказчикам именно платформу автоматизации процессов информационной безопасности, а также информационных технологий – то есть большой конструктор, при помощи которого крупные центры мониторинга инцидентов могут централизованно, из одного интерфейса, вести всю свою операционную деятельность. Как нет двух одинаковых компаний, так нет и двух одинаковых центров мониторинга. Поэтому для автоматизации им необходим не коробочный продукт, а набор инструментария, при помощи которого можно учесть разные аспекты этого процесса.

Платформа Security Vision объединяет пять основных конструкторов. Первый – конструктор карточек и объектов. Под карточкой подразумевается страница на которой отображается исчерпывающая информация по интересующему нас объекту, активу, сущности: это может быть рабочее место пользователя, сервер, бизнес процесс, инцидент, уязвимость, риск или комплаенс.

С помощью конструктора рабочих процессов мы выстраиваем жизненный цикл указанных выше сущностей: например, ввод в эксплуатацию, вывод из эксплуатации, отправка оборудования на ремонт, обновление ПО. Жизненный цикл инцидента, например, – это та самая инструкция. У комплаенса жизненный цикл – это четкий алгоритм проведения аудита. Примеров множество. Всё, что система ИБ выполняет самостоятельно или аналитик делает вручную, конфигурируется и адаптируется под процессы заказчика.

Третий аспект – это конструктор интеграций. Так как наша система существует не «в вакууме», она должна уметь взаимодействовать с максимальным количеством существующих в ИТ-инфраструктуре заказчика систем: со средствами защиты, различными базами данных, Service Desk подразделения ИТ, с табличными файлами, в которых заказчик ведет информацию по активам. Кроме того у компаний может быть большое количество самописного софта, legacy-софт, который обновлять ни в коем случае нельзя. С ними платформе тоже надо уметь интегрироваться.

Четвертый элемент платформы – конструктор меню ролей. Это возможность адаптировать интерфейс решения под определенного пользователя: ИБ-специалиста, который работает с инцидентами, ИТ-специалиста, риск-менеджера, комплаенс-менеджера, руководителя и т. д. Сюда же включена опция мультиарендности (multi-tenancy) – возможность привязать объекты к конкретному предприятию в рамках разветвленной филиальной структуры компании.

Пятый, а также шестой конструкторы – это аналитика, дашборды, отчеты, то есть визуализация всех компонентов, которые система хранит и обрабатывает.

Какие еще процессы ИБ, помимо управления инцидентами, можно автоматизировать на вашей платформе?

– Это могут быть процессы управления активами и инвентаризацией, уязвимостями, рисками и комплаенсами и многие другие.

Любая ли компания может с помощью платформы Security Vision или другого решения автоматизировать бизнес-процессы с пользой для себя? Существуют ли какие-то противопоказания к этому?

– В целом практически перед любой компанией стоят задачи, связанные с активами: инвентаризации ИТ-активов, управления изменениями, построения патч-менеджмента и многие другие. Кроме того, множество компаний в том или ином виде занимаются устранением технических уязвимостей, внедряют соответствующие сканеры или системы анализа защищенности. Для решения таких задач отлично подходит наша платформа: в ней реализованы экспертные коробочные модули, которые могут быть адаптированы под любую инфраструктуру.

Дела обстоят сложнее, если мы говорим непосредственно про управление инцидентами. Далеко не во всех организациях ИБ-подразделения сегодня сосредоточены именно на построении процесса. Часто они просто решают текущие задачи: например, был взломан корпоративный сайт и надо что-то с этим сделать. То есть, когда что-то случилось, безопасники просто пытаются как-то это починить. Или же, например, у компании один специалист ИБ, который еще и инфраструктурой заведует. Решения классов SOAR (Security Orchestration, Automation and Response), SGRC (Security Governance, Risk, Compliance) для таких сценариев пока не применимы.

Когда компания переходит к мышлению процессами, она составляет соответствующие инструкции для безопасников: что делать, если взломали сайт, обнаружено вирусное ПО, пришла фишинговая рассылка, обнаружен нелегитимный актив в промышленном сегменте и т. д. Это разные типы инцидентов, по каждому из них должны быть инструкции. Возможно, в компании даже реализована какая-то автоматизация вручную, написаны скрипты. Тогда такое решение, как платформа Security Vision, поможет систематизировать все эти инструкции и представить их в виде удобного, понятного интерфейса с подсказками для безопасников, которые с этими инцидентами работают. Платформа даст возможность углубить текущий уровень автоматизации ИБ, централизованно управлять текущими средствами защиты: блокировать скомпрометированные учетки, редактировать правила межсетевого экрана, ставить задачи коллегам из ИТ в их Service Desk. Таких примеров очень много, и в каждом проекте у нас появляются какие-то новые.

Таким образом, сначала компании нужно систематизировать процессы ИБ, описать основные угрозы, продумать инструкции по их устранению. Или, как минимум, начать строить процесс для того, чтобы специалист ИБ четко понимал алгоритм своих действий. Пускай это будет хотя бы инструкция на бумаге или несколько пунктов в Notepad – компания уже начнет выстраивать процесс в каком-то виде, – и тогда платформа автоматизации окажется полезной.

Каким образом система может понять, обрабатывать ей тот или иной инцидент самостоятельно или передать право принятия решения специалисту?

– Это прописывается в сценарии после длительных испытаний, понемногу, шаг за шагом. Любой проект внедрения системы подразумевает поначалу минимальное количество автоматизации: например, система будет самостоятельно обрабатывать только процедуру обогащения, а все остальные решения останутся за безопасником. Обработав таким образом сотни инцидентов и поняв, что тот или иной конкретный  шаг в сценарии реагирования безопасен, специалист может переключить его в конструкторе рабочих процессов на полностью автоматизированный.

В чем конкурентное преимущество платформы Security Vision среди аналогичных решений на российском рынке?

– На самом деле на российском рынке совсем не много подобных решений. Наше главное преимущество – в возможности кастомизации и настройки абсолютно всех аспектов процесса  управления инцидентами при помощи упомянутых выше конструкторов. Наша платформа максимально гибко кастомизируется. Мы даже поощряем заказчиков самостоятельно улучшать процессы которые будут реализованы в рамках ее внедрения – так, чтобы при помощи имеющегося инструментария заказчик автоматизировал какие-то рутинные задачи, возможно, и не относящиеся к информационной безопасности напрямую. Например, в одной компании при помощи наших конструкторов специалисты смогли автоматизировать управление проектами: таск-менеджмент, постановку задач, отслеживание сроков.

Кроме того, в текущей версии платформы мы перешли на более гибкую архитектуру, которая может быть развернута как в монолите так и на микросервисах, в зависимости от предпочтения заказчика. Наш продукт совместим с отечественными дистрибутивами ОС и базами данных: в частности, у нас были внедрения на Astra Linux и ALT Linux, а в качестве базы использовался Postgres Pro. Мультиарендность нашей платформы реализована на нативном уровне и доступна всем.

Наконец, мы разработали очень лояльную к разным типам заказчиков систему лицензирования. Ее стоимость не зависит от количества пользователей, карточек, рабочих процессов, дашбордов или активов, которые обрабатываются системой. У нас всего одна количественная метрика – это количество интеграций. Например, если для автоматизации процессов требуется сделать четыре разные интеграции – допустим, с продуктами «Лаборатории Касперского», MaxPatrol, «Кода Безопасности» и «ИнфоТеКС», – мы предоставляем четыре коннектора.

Учитывая что ваша платформа оперирует чувствительной информацией, ее внедрение может быть только On-Premise, или возможно ее использование в облаке?

– Большинство внедрений платформы Security Vision происходит, конечно, On-Premise. Но при этом наше решение сейчас все чаще предлагается коммерческими центрами мониторинга и реагирования на инциденты ИБ (SOC) как услуга для конечных заказчиков, предоставляемая по подписке. В таком случае центр мониторинга сам отвечает за конфиденциальность, целостность и доступность той информации, которая обрабатывается платформой.

Сколько в целом происходит внедрение платформы Security Vision?

– В среднем проекты по внедрению нашей платформы длятся от трех месяцев: сюда входит установка системы, настройка интеграций, отрисовка процессов, которые заказчик хочет у себя видеть или реализация «коробочных» процессов с адаптацией под его требования, формирование дашбордов. Более крупные внедрения, с большим количеством сценариев и процессов, могут длиться больше года.

Нужен ли дополнительный персонал для управления этой системой? Как происходит обучение специалистов работе с ней?

– Подчеркну, что для управления нашей системой не требуется пополнять штат специалистов ИБ. Наоборот, она экономит время уже имеющихся в компании сотрудников, которые могут оптимизировать трудозатраты по текущим оперативным и стратегическим задачам – мы перечисляли их ранее. В среднем при корректном внедрении нашей платформы можно говорить об экономии времени в 10 раз по сравнению с предыдущими показателями. Например, если без автоматизации с момента выявления до закрытия инцидента проходит примерно полтора часа, то с автоматизацией это займет примерно 5-10 минут в зависимости от конкретного кейса.

Обучение сотрудников, безусловно, требуется. Все-таки системы автоматизации простыми не бывают – посмотрите, например, на SAP или 1С. Мы предоставляем обучение работе с платформой Security Vision в нашем учебном центре – проводим трехдневный курс, а на выходе выдаем сертификаты. Также и во время внедрения системы наши инженеры или инженеры партнеров знакомят сотрудников заказчика с ее функциональностью, показывают, как можно самостоятельно вносить в нее изменения, автоматизировать новые процессы.