Автоматизация информационной безопасности — не просто модный тренд, а необходимость, позволяющая предупреждать угрозы до их реализации. Разбираемся вместе с экспертами AM Live, как внедрение автоматизации меняет подход к защите данных, анализируем успешные кейсы, учимся избегать рисков и ошибок.
- Введение
- Причины и стимулы для автоматизации процессов информационной безопасности
- Как получить максимум пользы от автоматизации информационной безопасности
- Лучшие практики автоматизации ИБ: опыт российских компаний
- Неочевидные кейсы автоматизации ИБ: примеры и уроки
- Авторские решения и разработки для автоматизации информационной безопасности
- Выводы
Введение
Автоматизация меняет правила игры: машины обрабатывают типовые инциденты, коррелируют события и даже блокируют атаки по заранее утверждённым сценариям, пока люди занимаются тем, что действительно требует экспертизы — анализом сложных угроз и развитием защитных систем. Автоматизация позволяет сократить время реагирования на инциденты, минимизируя человеческий фактор, обрабатывать большие объёмы данных для выявления аномалий и угроз в режиме реального времени. С её помощью можно снизить нагрузку на специалистов, что позволяет им сосредоточиться на стратегических задачах, а также повысить точность обнаружения атак за счёт машинного обучения и поведенческого анализа.
Рисунок 1. Эксперты в студии AM Live
На фото участники эфира (справа налево):
- Алексей Семёнычев, руководитель отдела аналитики угроз информационной безопасности, группа компаний «Гарда».
- Ева Беляева, руководитель отдела развития, Security Vision.
- Николай Казанцев, генеральный директор (CEO) SECURITM.
- Ярослав Киселёв, технический директор, руководитель направления защиты инфраструктуры, «К2 Кибербезопасность».
Ведущий и модератор эфира — Анна Олейникова, директор по продуктовому развитию компании Innostage.
Причины и стимулы для автоматизации процессов информационной безопасности
Ярослав Киселёв объяснил, что задача автоматизации — это сокращение ручного труда, чтобы делать работу быстрее, сократить трудозатраты. В целом у бизнеса повышается эффективность и конкурентоспособность. Кроме того, внедрение автоматизации способствует профессиональному росту технических специалистов.
Николай Казанцев уверен, что автоматизация не только снижает нагрузку на людей, но и повышает качество информационной безопасности. Это доступно и нужно компаниям любого размера и уровня зрелости.
С ростом зрелости компании сложность механизмов автоматизации растёт. Эксперт предупредил, что не стоит начинать автоматизацию в компании с внедрения Identity Management. Для этого нужен высокий уровень зрелости, когда давно решены все вопросы базового уровня ИТ и ИБ. Иначе есть риск, что называется, увязнуть.
Николай Казанцев, генеральный директор (CEO) SECURITM
Алексей Семёнычев считает, что скепсис рождается из несоответствия ожиданий и реальности. Зачастую процессы, которые уже реализованы в ИТ компании, могут не соответствовать документации из-за динамичного развития.
Какую модель лучше использовать — Waterfall или Agile? Ева Беляева считает, что лучше есть слона по частям, используя модель Agile — постепенно улучшать там, где это требуется именно сейчас, тратить средства на простые решения, которые закрывают самые важные проблемы. Но всё зависит от конкретной компании и организации процессов в ней.
Комментарий от заказчика Дмитрия Кострова:
«Нужно исходить от простого вопроса — что больше всего тяготит службу ИБ, что занимает больше времени, при этом не требует глубокой проработки и знаний аудитора. Например, срабатывания в Security Operations Center среднего и низкого уровня можно автоматизировать. В системах класса DLP тоже может быть много сработок, для которых создаются специальные профили, которые также можно автоматизировать. Настройки нужно делать специалистам, для высоких уровней угроз должно проводиться расследование. В системах класса EDR и XDR есть автоматическая блокировка, но с серьёзными процессами и угрозами должны работать специалисты вручную».
Дмитрий Костров, заместитель генерального директора по информационной безопасности iEK
Как получить максимум пользы от автоматизации информационной безопасности
Ярослав Киселёв:
«Мы используем процедуру автоматизации в проектах по локализации, когда западные юрлица уходят с российского рынка, остаются отечественные дочерние компании, у которых ИТ и ИБ на разных уровнях. Зачастую ИТ-инфраструктуры, где дальше может работать компания, не остаётся. Чтобы осуществлять свою деятельность, ей нужно быстро куда-то переехать. Чаще всего выбирают облако, и здесь средства автоматизации сильно помогают».
Николай Казанцев:
«Первое, с чего стоит начать, — разобраться с базой знаний ИБ и процессами постановки и управления задачами. Далее необходимо внедрить Asset Management, чтобы понимать, из чего состоит компания и что нужно защищать. Кроме этого нужно средство по управлению изменениями».
Ева Беляева:
«Приведу личный пример, связанный с проблемой адаптации новых сотрудников к процессам компании и SOC. Формирование базы знаний, сбор накопленного опыта, автоматизация получения информации из разных источников — всё это сильно ускоряет работу».
Алексей Семёнычев:
«Управление учётными записями и устройствами хорошо автоматизируется и сильно экономит время службы ИБ. Это даёт много преимуществ: разгружает сотрудников и службу поддержки, пользователи и руководители знают ресурсы и права доступа».
В первом опросе зрители AM Live ответили, какие процессы ИБ автоматизированы в их компании: только некоторые неинвазивные операции — 56%, большинство простых рутинных операций — 35%, против автоматизации — 7%, автоматизировано всё — 2%. По сравнению с прошлым годом картина почти не изменилась.
Рисунок 2. Какие процессы ИБ автоматизированы в вашей компании?
Лучшие практики автоматизации ИБ: опыт российских компаний
Ярослав Киселёв рассказал, что стажёрам и начинающим специалистам нужны тестовые стенды, где они могут знакомиться с решениями, практиковаться. При большом количестве стажёров подготовка стендов требует много времени. Автоматизация этих процессов экономит трудозатраты наставников, ускоряя адаптацию новичков.
В рамках командной работы, если уровень автоматизации невысок, то нужно пригласить экспертов. Тогда, с одной стороны, будут специалисты по ИБ, которые знают, как в ручном режиме правильно устанавливать и настраивать средства защиты информации, а с другой стороны, им на помощь придут специалисты, которые умеют автоматизировать разные задачи. В такой команде коллеги получат опыт работы со средствами автоматизации и впоследствии перенесут его в свою постоянную деятельность.
Ярослав Киселёв, технический директор, руководитель направления защиты инфраструктуры, «К2 Кибербезопасность»
Ева Беляева рассказала о применении ИИ в своей компании на примере автоматизации распознавания ложноположительных инцидентов. Эту работу можно отдать машине, в то время как специалисты могут заниматься другими, более полезными, делами. Это эффективно с точки зрения трудозатрат, времени и денег.
Прежде чем переходить к автоматизации, важно определить задачи, цели и выгоды для всех участников процесса — чтобы после внедрения не оказалось, что системой никто не пользуется, сотрудник отказывается работать с этой системой или ИБ и ИТ не могут договориться, кто с этим должен работать.
Ева Беляева, руководитель отдела развития, Security Vision
Николай Казанцев рассказал, какие платформы и системы нужны для автоматизации. Большинство инструментов ИБ могут многое автоматизировать — есть такие функции у антивирусов, DLP, некоторые SIEM-системы могут запускать скрипты. Базовый пул средств защиты можно и нужно использовать для автоматизации, как минимум автоматических отчётов, уведомлений. Инструменты на уровне выше — SGRC, SIEM, SOAR, Asset Management. Они агрегируют данные с первого уровня и позволяют автоматизировать более сложные процессы.
В рамках второго опроса выяснилось, что больше всего мешает автоматизации процессов ИБ в компаниях: высокая стоимость автоматизации — 36%, недостаток экспертизы для внедрения автоматизации — 28%, отсутствие необходимых инструментов — 16%, страх возникновения ошибок и потери контроля — 12%, непонимание, какие процессы можно автоматизировать — 8%. По сравнению с 2024 годом заметно перераспределились доли по первым двум пунктам.
Рисунок 3. Что больше всего мешает автоматизации процессов ИБ в вашей компании?
Типичные ошибки автоматизации информационной безопасности и как их избежать
Николай Казанцев объяснил, что в готовых продуктах для управления процессами и автоматизации инцидентов уже заложена определённая экспертиза. Вместо того, чтобы переделывать продукт под своё видение, стоит попробовать использовать инструменты из коробки — это экономит время на внедрение и даёт хороший результат. Перед автоматизацией процесса нужно убедиться, что он действительно работает. Иногда выясняется, что внедрённая система не нужна или используется раз в год.
Алексей Семёнычев уверен, что следует учитывать процессы, которые существуют не на бумаге, а в реальной жизни. Стоит разработать метрики, чтобы понять на перспективу, насколько это помогает компании. В моменте можно решить задачу автоматизацией, но со временем обрабатываемый процесс может поменяться, исключения и доработки могут нивелировать весь эффект автоматизации.
Алексей Семёнычев, руководитель отдела аналитики угроз информационной безопасности, группа компаний «Гарда»
Ярослав Киселёв призывает не автоматизировать ради автоматизации. Нужно подумать, стоит ли прибегать к автоматизации для повторяющихся задач, а не для разовых уникальных случаев. Тратить время на попытку автоматизировать единоразовую задачу неэффективно. Но если же эту задачу нужно сделать на 10 тысячах рабочих мест, то автоматизацию стоит применять.
Ева Беляева назвала ошибкой не привлекать к процессу тех самых людей, которые будут на практике взаимодействовать и обмениваться конфиденциальной информацией. Другой пример — автоматизация уходит «в стол», поскольку компании не хватает сил и ресурсов. Процесс встаёт, потому что его некому обслуживать.
Неочевидные кейсы автоматизации ИБ: примеры и уроки
Анна Олейникова привела пример металлургической компании, которая задействовала машинное обучение для анализа телеметрии с целью контроля устройств и оптимизации процессов, чтобы результирующий продукт был более качественным с меньшим использованием ингредиентов. Это дало возможность повысить эффективность производства.
Анна Олейникова, директор по продуктовому развитию компании Innostage
Ярослав Киселёв напомнил, что порог входа в тему автоматизации для технических специалистов высокий, этот процесс происходит не очень быстро, нужно к этому двигаться постепенно. Как следствие, поначалу автоматизация может реализовываться весьма простыми средствами. Один из примеров — использование табличных редакторов для описания моделей угроз.
Еву Беляеву поразила возможность переиспользования инструментов, которые на первый взгляд заточены под конкретную задачу. Например, правила корреляции: ещё совсем недавно нельзя было и подумать, что их можно использовать для расчёта рисков, поведенческого анализа, прогнозирования угроз.
Алексей Семёнычев рассказал про интересную задачу, когда нужно было на основе логов веб-сервера научиться выявлять вредоносные хосты, которые пытаются реализовать какую-то активность. Для этого применили кластеризацию с использованием искусственного интеллекта, и первые же результаты оказались очень обнадёживающими.
В третьем опросе зрители AM Live поделились, насколько автоматизация повлияла на эффективность процессов информационной безопасности в их компании: незначительно повысила — 40%, существенно повысила — 20%, не изменила — 13%. Затруднились ответить 27% респондентов.
Рисунок 4. Как автоматизация повлияла на эффективность процессов ИБ в вашей компании?
Авторские решения и разработки для автоматизации информационной безопасности
Спикеры рассказали о том, как в их компаниях воплощаются новейшие тенденции по части автоматизации информационной безопасности.
Ярослав Киселёв:
«Базовые средства защиты, настройка сетей, межсетевых экранов, средств антивирусной защиты, также используется идея по работе с документами и созданию модели угроз. Можно работать с полным комплектом рабочей проектной документации. Вовлечение новых сотрудников в работу и тестирование решений, создание виртуальных стендов. Для SOC должен быть полигон, где команда может тренироваться. Можно добавить функцию, когда полигон ломается и чинится по нажатию одной кнопки».
Николай Казанцев:
«Наша цель — стопроцентное покрытие всех доменов в части автоматизации организационных процессов. Мы не будем первым уровнем средств защиты, никогда не станем антивирусом или DLP, но мы интегрируемся со всеми этими средствами и дальше вокруг этого создаём процессы, развиваем продукт под потребности рынка».
Ева Беляева:
«Мы пришли к объединению процессов. Берётся один процесс, например, расследование инцидентов, и раскладывается по этапам, которые в него обязательно должны входить: нельзя из него убрать Asset Management или корреляцию событий — всё это должно быть в едином месте, в одном окне. Во всех наших продуктах мы пытаемся к этому максимально приблизиться. Этому помогает модульная архитектура, в которой можно как угодно объединять модули платформы в одном решении. В этом году мы движемся в сторону удобства работы с этими продуктами, чтобы заказчик мог сразу ими пользоваться, не теряя времени».
Алексей Семёнычев:
«Мы создали профессиональный сервис. Есть отдельные команды экспертов, которые участвуют в разработке правил индексирования различных угроз в рамках продукта, в том числе в интеграции с другими решениями, в автоматизации. Заказчик не остаётся один. Также создали развёрнутую документацию отдельно по каждому методу, политике, правилам. На портале документации для заказчиков всё это можно посмотреть. Есть отдельная команда для аналитиков TI, чтобы можно было информацию об угрозах получать раньше».
По результатам четвёртого опроса выяснилось, каково мнение зрителей об автоматизации процессов ИБ после эфира. Убедились, что всё делают правильно — 33%, будут активнее использовать автоматизацию — 27%, заинтересовались и готовы тестировать — 20%, считают пока избыточным для своей компании — 13%.
Рисунок 5. Каково ваше мнение об автоматизации процессов ИБ после эфира?
Выводы
Автоматизация в информационной безопасности позволяет организациям быстрее обнаруживать угрозы, эффективнее реагировать на инциденты и снижать нагрузку на специалистов по ИБ. Однако её применение требует взвешенного подхода.
Для успешного внедрения автоматизации в процессы ИБ важно комбинировать автоматизированные и ручные методы контроля, постоянно тестировать и дорабатывать алгоритмы, обучать сотрудников работе с новыми инструментами, обеспечивать мониторинг и аудит автоматизированных систем.
В будущем развитие технологий искусственного интеллекта и аналитики больших данных сделает автоматизацию ещё более мощным инструментом защиты. Тем не менее именно сбалансированное сочетание технологий и человеческой экспертизы останется основой эффективной защиты в условиях цифровой эры.
Телепроект AM Live еженедельно приглашает экспертов отрасли в студию, чтобы обсудить актуальные темы российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!
