Безопасность в одном окне: как оптимизировать реагирование с помощью IRP

Безопасность в одном окне: как оптимизировать реагирование с помощью IRP

Платформа автоматизации реагирования на инциденты в информационной безопасности — Incident Response Platform (IRP) — это относительно новый для нашего рынка инструмент, который позволяет автоматизировать процессы мониторинга и повысить эффективность реагирования на кибератаки. Ниже расскажем о том, как именно IRP помогает специалистам по ИБ и как её подключить.

 

 

 

 

 

  1. Введение
  2. Как автоматизировать процесс?
  3. Варианты реализации IRP
  4. Зачем нужен сервис-провайдер?
  5. Выводы

Введение

Прогресс не стоит на месте, постоянно появляются новые инструменты, делающие бизнес-процессы проще, удобнее и быстрее. Вместе с этим значительно увеличивается объём обрабатываемых и передаваемых данных и усложняется ИТ-инфраструктура. Постоянно растущий объём ценной информации заставляет киберпреступников совершенствовать свой инструментарий и искать новые векторы атак, чтобы эффективно действовать против даже самых технологичных отраслей.

В таких условиях помимо оперативного выявления инцидента в информационной безопасности остро ощутим вопрос оперативного реагирования на него. Этот процесс, как и остальные в организации, также нужно упростить, оптимизировать и ускорить. Для этого есть несколько подходов. Первый заключается в создании и внедрении на предприятии чётких регламентов реагирования и ликвидации последствий киберинцидентов. Но такой вариант подойдет только небольшим компаниям, в которых нет огромной информационной инфраструктуры и большого количества эксплуатирующих подразделений. В этом случае регламентов будет достаточно для выстраивания эффективных процессов реагирования на инциденты в ИБ.

Второй подход помимо разработки и внедрения регламентирующей документации предусматривает автоматизацию и маршрутизацию рутинных задач для того, чтобы организовать эффективное управление жизненным циклом инцидента. Этот вариант подходит для крупных компаний с развитой инфраструктурой, множеством подразделений и большим штатом.

Как автоматизировать процесс?

На сегодня одни из наиболее оптимальных инструментов автоматизации — решения класса Incident Response Platform (IRP). Такая платформа позволяет оперативно реагировать на любые инциденты, происходящие в инфраструктуре, локализовать и обогащать сведения о них дополнительной информацией (например, данными с подключённых СЗИ). В итоге это обеспечивает эффективную работу и координацию служб вовлечённых в процесс реагирования на инцидент в ИБ (ИБ, ИТ, иные эксплуатирующие подразделения) в режиме «единого окна».

Функциональные возможности IRP позволяют:

  • автоматизировать регламенты реагирования;
  • обеспечить аудит инфраструктуры на предмет соответствия требованиям стандартов и нормативным актам регуляторов;
  • обеспечить учёт и контроль находящихся в инфраструктуре ИТ-активов;
  • автоматизировать процесс реагирования на инциденты.

Автоматизация реагирования происходит за счёт преднастроенных сценариев (playbook) и скриптов. В плейбуках отображаются последовательность действий, контроль их исполнения, а также перечень вовлечённых в процесс реагирования подразделений, пользователей и систем. Процесс автоматизирован и запускается при возникновении соответствующего инцидента, то есть можно без малейших проволочек подключить к процессу реагирования все необходимые подразделения. В свою очередь скрипты автоматизации позволяют совершать определённые (необходимые для реагирования) действия на хостах, подверженных атаке злоумышленников.

Как известно, контроль инфраструктуры невозможен без инвентаризации активов, а также обнаружения нелегитимно установленного ПО и актуальных уязвимостей. IRP может стать своеобразной мастер-системой, в которой собираются и хранятся сведения об ИТ-активах компании. Более того, данная информация помимо хранения и учёта будет использоваться в качестве источника обогащения инцидента в процессе реагирования.

Варианты реализации IRP

Мы в Solar JSOC используем R-Vision IRP и в настоящее время предоставляем платформу уже действующим клиентам по облачной и гибридной моделям. Таким образом, заметно расширяются возможности SOC в части оперативного реагирования на инциденты в ИБ.

Облачный вариант подключения предусматривает размещение на площадке заказчика коллекторов платформы, которые обеспечивают сбор и передачу (по защищённому каналу) данных с источников на сервер IRP, расположенный в защищённом облаке Solar JSOC. Взаимодействие эксплуатирующих команд заказчика и сервис-провайдера осуществляется через интерфейс системы.

Таким образом, заказчик получает готовый инструмент для управления инцидентами с возможностью сквозного контроля за действиями как сервис-провайдера, так и внутренней ИБ-службы. Появляется возможность видеть в реальном времени необходимые этапы реагирования с распределением ролей ответственных, статусы и сроки выполнения каждого из этапов.

 

Рисунок 1. Облачный вариант подключения IRP

Облачный вариант подключения IRP

 

Основным плюсом такого подхода является существенное сокращение финансовых затрат, так как компании-заказчику не нужно содержать специалистов службы поддержки IRP, выделять дополнительные системные мощности, а также приобретать лицензии.

Гибридный вариант подключения предусматривает размещение компонентов платформы непосредственно в инфраструктуре заказчика. В этом случае взаимодействие с сервис-провайдером (при необходимости его привлечения) осуществляется в рамках построенной интеграции, а также в формате услуг консалтинга.

 

Рисунок 2. Гибридный вариант подключения IRP

Гибридный вариант подключения IRP

 

Преимущество такого подхода — локальное хранение данных об активах и отсутствие необходимости передачи этих данных за пределы организации.

Зачем нужен сервис-провайдер?

В первую очередь нужно понимать, что Incident Response Platform на большой инфраструктуре и собственными силами — это долго и дорого, а результат — не всегда качественный. IRP-система нуждается в большом внимании с стороны поддерживающих и эксплуатирующих подразделений, её правильное проектирование, эксплуатация и сопровождение требуют значительной профильной экспертизы. В свою очередь, специалистов, способных закрыть эти потребности, на рынке крайне мало, а их услуги весьма дороги. Поэтому логичнее всего выглядят варианты привлечения сервис-провайдера с последующим обучением собственных сотрудников и постепенной передачей компетенций.

Выводы

Чтобы эффективно противостоять киберпреступникам любой квалификации, ИБ-специалисты должны иметь оперативный доступ к данным о состоянии всей инфраструктуры и обо всех инцидентах, зафиксированных в ней. Платформа реагирования на инциденты (IRP) позволяет автоматизировать контроль над жизненным циклом инцидента, предоставив специалистам всю необходимую информацию в режиме одного окна. Это особенно актуально, если речь идёт о разветвлённой инфраструктуре со множеством филиалов.

Самый простой вариант получить услугу — обратиться к сервис-провайдеру. Для подключения к IRP на площадке компании установят коллекторы, которые будут собирать и передавать данные с источников на сервер IRP, расположенный в облаке провайдера. Естественно, все данные передаются по защищённым каналам связи. Специалисты сервис-провайдера отвечают за администрирование платформы, а ИБ-служба заказчика получает готовый инструмент, на котором видит всё, что происходит в инфраструктуре. Через IRP штатные безопасники также смогут контролировать действия сервис-провайдера.

Если же использование облачных решений в компании исключено, то IRP может быть установлена непосредственно в инфраструктуре заказчика, а эксперты сервис-провайдера предоставят свои экспертные навыки в настройке платформы, написании плейбуков, скриптов и т. п. Правда, тогда компании придётся заплатить за лицензии и внедрение IRP.

Полезные ссылки: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru