Автоматизация реагирования на инциденты с помощью сценариев (playbook) на примере R-Vision IRP

Технология сценариев реагирования на инциденты информационной безопасности, так называемые плейбуки (от англ. playbook), позволяет задать для конкретного типа инцидента алгоритм действий по реагированию и в автоматическом режиме реализовать его при срабатывании определенного правила. Как это работает, рассмотрим на примере платформы R-Vision Incident Response Platform.

 

 

 

1. Введение
2. Как работать со сценариями реагирования в R-Vision IRP
1. 2.1. Подход к автоматизации сценариев
2. 2.2. Подготовка R-Vision IRP к формированию каталога сценариев реагирования
3. 2.3. Создание, визуализация и редактирование сценариев реагирования
4. 2.4. Основные типы действий в сценариях реагирования
3. Управление исполнением сценария реагирования и журналирование действий
4. Адаптация преднастроенных сценариев реагирования
5. Выводы

 

Введение

Сама по себе типизация цепочки действий реагирования на инциденты в виде плейбуков не является новой технологией. Обязательной практикой как в области информационной безопасности, так и в других отраслях, является регламентация правил возможной реакции на различные типы входных данных о поступившем событии, а также их дальнейшая автоматизация, особенно если дело касается потоковой обработки множества событий или обращений, как это, к примеру, происходит в SOC.

Сценарий реагирования в общем случае включает в себя как действия, направленные на сбор данных и свидетельств, сохранение их целостности и возможность исследования этих данных в будущем, так и мероприятия, которые позволяют снизить ущерб от инцидента, осуществить необходимые первоочередные шаги для блокирования атаки, а также максимально оперативно уведомить все заинтересованные стороны в соответствии с зонами ответственности и запланировать последующие задачи по обработке и аналитике.

До недавнего времени команды реагирования SOC чаще всего использовали в автоматизации своей деятельности инструменты, аналогичные тем, что используют коллеги из служб технической поддержки (service desk и т.д.).  Однако в настоящее время с развитием технологий набирает популярность класс специализированных программных решений, позволяющих максимально разгрузить персонал команды реагирования не только за счет маршрутизации заявок, но в большей степени уже за счет автоматизации рутинных и типовых операций, оставив на откуп специалистам принятие лишь ключевых решений по цепочке действий.

Рассмотрим подход к автоматизации сценариев реагирования на инциденты, реализованный в одной из таких платформ — R-Vision IRP.

 

Как работать со сценариями реагирования в R-Vision IRP

Подход к автоматизации сценариев

Автоматизация действий по реагированию на инциденты в R-Vision IRP заключается в инициации полностью или частично самостоятельной реакции набора инструментов реагирования на поступившую в систему информацию об инциденте с помощью срабатывания правил, определенных заранее в настройках. Критерием для срабатывания правил может выступать как принадлежность инцидента к определенному типу, так и значение любого поля-атрибута инцидента, например, связанный с инцидентом актив (узлы, пользователи и т.д.).

Рассмотрим пример – сценарий реагирования на инцидент типа «Компрометация доменной учетной записи». Вот как может выглядеть такой сценарий в форме перечня необходимых шагов специалиста, ответственного за обработку инцидента, в каком-либо внутреннем документе, регламентирующем его деятельность или деятельность команды реагирования SOC (Памятка, Инструкция, Регламент и т.д.):

Шаг 1. Зарегистрировать инцидент (событие) в учетной системе, присвоить номер, назначить исполнителя в соответствии с картой ответственности.

Шаг 2. Уведомить всех сотрудников группы реагирования, а также владельца актива, с которым связан инцидент.

Шаг 3. Если инцидент критичный, уведомить CISO.

Шаг 4. Запустить сбор информации о текущих сессиях скомпрометированной учетной записи

Шаг 5. Осуществить отключение (прерывание сессий) скомпрометированной учетной записи пользователя

Шаг 6. Уведомить ИТ-службу о блокировании учетной записи

Шаг 7. Осуществить сброс учетной записи и смену пароля при следующем входе.

Шаг 8. Разблокировать учетную запись.

Шаг 9. Провести действия по мониторингу действий пользователя под учетной записью и анализ собранных свидетельств,

Шаг 10. Уведомить пользователя с помощью смс, звонком или личного контакта.

Шаг 11. Инициировать служебное расследование, выявление причин возникновения инцидента.

Шаг 12. После выявления причин инцидента требуется осуществить действия по заполнению аналитической информации по инциденту, присвоить инциденту закрытый статус.

Шаг 13. Уведомить рабочую группу о закрытии инцидента

Шаг 14. Если инцидент был признан критичным, осуществить уведомление CISO.

Как видно, в данном примере все шаги, кроме пп. 9 – 12, могут быть автоматизированы, так как являются типовыми действиями и зависят от известных входных данных (параметры хоста, учетной записи, пользователь и т.п.). Более того, часть действий могут быть выполнены параллельно.  

А вот как приведенный пример может выглядеть в виде полуавтоматического сценария - схемы действий (на рисунке ниже). Видно, что одновременно запускается и выполняется сразу несколько веток реагирования. Блоки, требующие вовлеченности персонала, отмечены знаком «», остальные действия выполняются автоматически.

 

Рисунок 1. Пример сценария реагирования на инцидент типа «Компрометация доменной учетной записи»

Подготовка R-Vision IRP к формированию каталога сценариев реагирования

Базовая подготовка к формированию каталога сценариев реагирования начинается уже на этапе формирования типовых «карточек» инцидентов различных категорий (типов) и необходимых полей-атрибутов, применимых к соответствующим категориям (типам).

 

Рисунок 2. Окно настройки категории инцидента в R-Vision IRP

 

 

Далее именно эти поля-атрибуты, а чаще всего их комбинация, будут служить условиями срабатывания правил. Доступные для создания типы полей̆:

1. Стандартные (числовые, текстовые поля, дата, выпадающий̆ список, чек-бокс).
2. Выбор пользователя — позволяет указать в поле одного из пользователей̆, созданных в системе.
3. Счетчик времени — поле, в котором ведется отсчет времени с указанного в его свойствах момента (указанная вручную дата или значение выбранного поля типа Дата).

Для полей̆ инцидента могут быть заданы регулярные выражения. Настройка типовых карточек инцидентов осуществляется в интерфейсе Настроек. Далее требуется задать цикл и последовательность статусов, в соответствии с которыми осуществляется процесс работы с инцидентами ИБ, то есть сформировать т. н. воркфлоу (от англ. workflow) обработки инцидента.

 

Рисунок 3. Циклы обработки инцидентов в R-Vision IRP

 

 

Настройка сценариев реагирования на последующих шагах позволит при необходимости автоматизировать в том числе и перевод по статусам цикла обработки инцидента.

Создание, визуализация и редактирование сценариев реагирования

Создание типовых сценариев является ключевым шагом настройки автоматизации реагирования с помощью платформы R-Vision IRP. Чтобы создать сценарий реагирования, требуется:

1. Добавить условия, по которым сценарии будут срабатывать для инцидентов.

Критерии выбираются из двух типов: Значение поля или Связанный̆ актив. Для типа Связанный̆ актив требуется указать связанные активы.  Для типа Значение поля необходимо задать его значение: текст, несколько текстовых строк, время, дата, число, элемент списка (для полей̆ типа Дата и Время также можно выбрать способ оценки: значение или диапазон).

Существует возможность установить правило исключения, если необходимо искать любые значения, кроме указанного. Если установить флажок Значение не указано, то сценарий будет срабатывать на всех инцидентах, у которых указанное поле не заполнено.

При использовании нескольких критериев есть возможность настроить логику их сочетания с помощью логических операторов и выражений: <  >, AND, OR, а также скобок. Один критерий можно использовать несколько раз.

2. Добавить сами действия по инциденту, которые входят в состав сценария.

Можно добавить действия нескольких типов. После выбора типа действия на экране отобразится окно редактирования параметров действия, которые различаются в зависимости от типа действия.

 

Рисунок 4. Окно настройки сценария реагирования в R-Vision IRP

 

  

Созданные базовые сценарии можно визуализировать и осуществлять их тонкую настройку уже в наиболее удобном и наглядном представлении — режиме графического редактора. Можно создать сценарий и сразу в графической схеме. Переходы между действиями (блоками) в сценарии отмечены стрелками. Возможность изменять последовательность действий̆ реализована простым перетаскиванием блоков и стрелок мышью.

 

Рисунок 5. Визуализация сценария реагирования «Компрометация доменной учетной записи»

 

 

Существует возможность скопировать сценарий реагирования и на его основе создать аналогичный путем редактирования/добавления необходимых действий или последовательности.

Основные типы действий в сценариях реагирования

При использовании R-Vision IRP можно выполнять следующие типы действий в составе сценариев реагирования:

1. Уведомление — позволяет отправить уведомление выбранным пользователям или группам пользователей̆. Можно создавать шаблоны темы письма и текста письма с помощью переменных.
2. Назначение — позволяет сформировать для текущего инцидента список пользователей̆ и/или групп пользователей̆ и указать роли, которые будут им автоматически назначены.
3. Модификация — позволяет внести изменения в любые поля инцидента (например, установить уровень критичности, сменить статус и пр.).
4. Действие персонала — позволяет добавить действие/задачу, которое необходимо предпринять персоналу в отношении инцидента, с указанием типа запуска (сразу, после завершения другого действие и т. д.).
5. Скрипт — действие, которое позволяет исполнить скрипт из заранее определенного в настройках списка. В R-Vision IRP уже есть большая база скриптов реагирования (в системе предустановлено более 50 скриптов автоматизации).

 

Таблица 1. Пример списка предустановленных действий, которые исполнит скрипт реагирования в R-Vision IRP

Наименование	Тип	Описание
Сбросить сеансы всех пользователей Linux	sh script	Команда производит принудительный сброс сеансов всех пользователей узла Linux. Для этого производится запрос списка всех вошедших в систему,пользователей командой who -u и для каждого пользователя из списка производится сброс сеанса командой kill -9.
Конфигурация сетевого оборудования Cisco	Cisco	Команда возвращает конфигурацию сетевого оборудования Cisco
Завершить RDP сеансы всех пользователей	Power Shell	Команда производит завершение RDP сеансов всех пользователей узла Windows. Для этого производится запрос списка всех вошедших в систему пользователей командой quser, список пользователей фильтруется по наличию RDP сессии и для каждого пользователя производится завершение сеанса командой logoff.
Сменить пароль локального администратора Windows при следующем входе	cmd	С помощью команды net user производится включение параметра учетной записи локального администратора «Требовать смену пароля при следующем входе в систему». При этом параметр «Срок действия пароля не ограничен» должен быть отключен.

 

Также система позволяет добавлять собственные скрипты, написанные на различных языках, которые далее будет выполняться в процессе обработки инцидентов.

Запустить скрипт в сценарии можно как для всех связанных с инцидентом объектов, так и указать категорию и тип оборудования, для которого нужно выполнить скрипт (выборочное оборудование).

 

Рисунок 6. Окно добавления скрипта в сценарий реагирования в R-Vision IRP

 

 

6. Решение — позволяет создать разветвление хода сценария в зависимости от условий. В системе есть два вида решений: решения пользователя (в этом случае пользователь получает уведомление о том, что нужно принять решение по инциденту) и автоматическое решение (вариант решения выбирается автоматически в соответствии с заданными критериями).
7. Запрос информации — позволяет направить запрос дополнительной информации по инциденту выбранным пользователям или группам пользователей̆. Можно создавать шаблоны темы письма и текста письма с помощью переменных.
8. Инцидент HP Service Manager — действие, которое позволяет добавить или изменить инцидент, полученный через интеграцию с HP Service Manager. Можно сформировать список полей инцидентов HP Service Manager и задать соответствие полям инцидентов в системе R-Vision IRP.
9. Запрос событий по инциденту в SIEM (QRadar SIEM/ ArcSight ESM) — действие, которое позволяет сделать запрос событий по инциденту в SIEM и просмотреть результаты запроса в виде таблицы и графика.
10. Сканирование связанного оборудования — позволяет выполнить сканирование определенных внутренних узлов, связанных с инцидентом.
11. Запуск сценария реагирования — позволяет запустить сценарий реагирования из списка сценариев, существующих в системе.
12. Запуск коннектора — позволяет запустить коннектор из списка коннекторов, существующих в системе. Система поддерживает работу с коннекторами следующих типов:

• LDAP — включая Active Directory (поиск, чтение, создание, изменение, удаление).
• SSH — выполнение скрипта bash.
• SOAP.
• REST.
• CMD.
• Power Shell — выполнение скрипта PowerShell.
• SNMP — v3.
• MS SQL.
• PostgreSQL.
• MySQL.
• Oracle.
• R-Vision — выполнение скрипта на коллекторе (поддерживаются скрипты Bash, Java, Python, JavaScript).
• SMB (DNS — парсинг файлов с общего ресурса).
• WMI.

 

Управление исполнением сценария реагирования и журналирование действий

При добавлении или изменении инцидента система осуществляет проверку справочника настроенных сценариев реагирования. Если инцидент соответствует заданным критериям, система запускает нужный сценарий. Система может запустить несколько сценариев. Для каждого инцидента сценарий реагирования срабатывает только один раз.

Все действия по инциденту, которые были применены в соответствии со сценарием, а также их статус и прогресс, можно просмотреть. При этом графическое отображение дерева действий̆ для инцидента также доступно. Цвет блока зависит от статуса действия:

• Желтый — действия выполняется.
• Зеленый — действие выполнено.
• Серый — действие запланировано.

 

Рисунок 7. Карточка инцидента с информацией по сценарию реагирования

 

 

Рисунок 8. Карта рабочего процесса по инциденту

 

 

Можно внести корректировки в действия на лету: изменить срок исполнения, ответственного, статус.

 

Адаптация преднастроенных сценариев реагирования

Вместе с платформой R-Vision IRP производитель предоставляет несколько предустановленных шаблонных плейбуков, а благодаря удобному графическому интерфейсу они могут быть оперативно адаптированы под специфику организации и непосредственно структуру команды реагирования. Например, для адаптации действия «Уведомление», достаточно выбрать в сценарии нужный блок, нажать кнопку «Изменить» и скорректировать пользователей и текст уведомления.

 

Рисунок 9. Изменение действия в графическом редакторе

 

 

Рисунок 10. Окно настройки действия типа Уведомление

 

 

Также можно добавить дополнительные действия, если это требуется.

 

Рисунок 11. Добавление действия в сценарий в графическом редакторе

 

 

Выводы

От эффективности, качества и скорости обработки инцидентов напрямую зависит масштаб возможных финансовых и репутационных потерь для компании вследствие реализации киберугрозы. При современном количестве инцидентов и применении ускоренных методов взлома киберпреступниками для команд реагирования счет идет на минуты, иногда секунды. Без автоматизации действий и использования готовых алгоритмов современному SOC практически невозможно обеспечить адекватную скорость реакции.

Автоматизация реагирования с помощью сценариев дает командам SOC сразу несколько преимуществ:

• Экономия времени специалистов за счет выполнения действий в автоматическом режиме и распараллеливания операций. На первичный сбор данных по инциденту и базовые действия по его регистрации и уведомлению сотрудников может требоваться от 10 до 30 минут. С помощью плейбуков их можно осуществить в 2-5 раз быстрее.
• Повышение скорости обработки инцидента и развертывания защитных мер. Сценарий реагирования позволяет в автоматическом режиме выполнять действия в инфраструктуре прямо из интерфейса IRP-платформы.
• Сведение к минимуму человеческого фактора, соблюдение точности процедур и обеспечение непрерывности процессов. Когда алгоритм действий четко зафиксирован в сценарии, ни одно из них не будет пропущено, а весь рабочий процесс навсегда останется в логах.
• Удобство в отслеживании и управлении процессом реагирования. В любой момент времени можно посмотреть, на каком этапе находится сценарий, кто какие действия выполнял и каковы были результаты, а также оперативно скорректировать ход выполнения.

Наличие автоматизированных сценариев реагирования – функциональность, без которой крайне трудно получить нужный эффект при внедрении решения класса Incident Response Platform. Мы рассмотрели его реализацию на примере российской платформы R-Vision IRP. Стоит отметить, что данное решение имеет весьма широкий набор возможностей в области формирования плейбуков, предусматривает гибкие инструменты и предустановленные справочники, чтобы создавать максимально автоматизированные варианты сценариев реагирования с минимальным количеством действий пользователя. Однако при необходимости можно создать как комбинированный, так и полностью «ручной» сценарий, который может служить подсказкой для специалиста и своеобразным регламентом реагирования на инциденты.